我目前有一台带有两个networking接口的Debian PC作为路由器/网关。 我有几个廉价的IP摄像机试图访问外部服务,大概是为了某种“云”function。 此function无法禁用。 我想向Shorewall添加规则,从这些相机中删除出站数据包,以防止他们访问互联网。 我曾经使用过类似的方法来防止二手消费级VOIP设备在过去下载不需要的configuration文件。 为了达到这个目的,我可以通过MAC地址或IP为每台摄像机添加filter。 这有点乏味。 例如 DROP local:~AA:BB:CC:11:22:33 DROP local:~AA:BB:CC:11:22:44 DROP local:~AA:BB:CC:11:22:55 etc.. 我可以使用某种通配符吗? 例如 DROP local:~AA:BB:CC:* 这些摄像机与其他几个设备共享一个子网,并将它们移动到一个新的子网中,只是为了将防火墙规则应用到这些子网上是不可取的。 内核3.16.0-4-amd64上的Shorewall版本是5.0.15.6
我有一个像192.168.0.0/15这样的networking,默认网关设置为192.168.0.1。 所有的networking工作站都使用这个网关来访问互联网。 现在我正在testing一个新的互联网连接与另一个提供商,为此,我正在使用192.168.0.2 IP地址在同一子网上的第二个网关。 我只想将HTTP和HTTPSstream量redirect到第二个网关,保持每个工作站内默认网关集的地址不变。 我怎样才能完成这个任务? 第一个网关的防火墙configuration或路由里面有什么我要更改的? 我尝试使用DNAT: DNAT loc:192.168.0.1 loc:192.168.0.2 tcp 80 但没有任何工作。 我使用Shorewall来简化configuration,但是我甚至可以理解我将尝试适应我的情况的理论答案。
假设我有一个策略文件,例如 fw net ACCEPT net fw DROP trusted fw ACCEPT trusted net ACCEPT untrusted fw DROP* untrusted net ACCEPT all all REJECT 我想要做的就是将来自不可信networking的所有stream量发送到防火墙(用*标记)到一个数据包捕获工具,如tcpdump或tshark进行分析。 看起来QUEUE或者NFQUEUE的行动可能会诀窍,或者我可以使用行动 …但是我没有玩过任何一个shorewall的组件,所以我不知道他们前进的道路。
我有一个防火墙(10.8.0.1)通过VPN连接到内部服务器(10.8.0.2)。 在防火墙上,VPN接口被称为tun0 。 所以在我的shorewallconfiguration我有这个: $ cat interfaces #ZONE INTERFACE OPTIONS – lo ignore vpn tun+ optional net eth+ dhcp,physical=+,routeback,optional $ cat zones #ZONE TYPE OPTIONS IN OUT # OPTIONS OPTIONS fw firewall vpn ipv4 net ip $ cat policy #SOURCE DEST POLICY LOG LIMIT: CONNLIMIT: # LEVEL BURST MASK $FW net ACCEPT $FW vpn ACCEPT […]
我有一个networking,我运行多个服务器,每个服务器专用于一个给定的服务。 因为大多数服务运行在不同的端口上,我目前正在寻找一种统一“全部”服务到单个“代理”机器的方法。 这个想法是抽象哪个机器正在访问,但仍然允许直接连接,如果需要/要求。 这个“代理”机器只有一个networking接口,它与所有其他服务提供机器是同一networking的一部分。 我已经研究了路由和NAT,但是到目前为止我还没有弄清楚如何使它工作。 我试图用shorewall做到这一点,但找不到明确的例子。 不过,我不完全确定这是最好的/最简单的策略。 这样说,达到这个结果的最好方法是什么? 示例情况: Proxy IP – Listening port – Send requests to 192.168.0.50 80 (http) 192.168.0.1:80 " 22 (ssh) 192.168.0.2:2222 " 3306 (mysql) 192.168.0.3:3000 " 5432 (postgres) 192.168.0.4:5432 " 5222 (jabber) 192.168.0.5:5222 PS:我不关心代理的单点故障性质。 谢谢
我使用iptables多年,因为这是一个简单的解决scheme,没有任何魔法。 但是现在我正在为自己构build一个路由器,我发现Shorewall提供了许多有用的function。 是否有可能在同一时间使用iptables和Shorewall? 我知道Shorewall只是iptables的前端。 但是我不知道是否会引起冲突。 此外,我需要阻止大量的地址,所以ipset是完美的解决scheme。 使用所有这三个防火墙是安全的吗?
所以我有一个有4个接口的Linux机器: enp1s0 enp2s0 enp3s0 enp4s0 我想要做的就是将WAN接口设置为enp1s0,并通过DHCP获取其IP地址,DNS和网关。 对于其他三个接口,我希望他们有: 同一子网上的IP地址 让一个局域网接口上的所有主机都能够看到其他局域网接口上的所有其他主机 运行shorewall作为防火墙 使用DNS Masq 这是我到目前为止: 猫/ etc / network / interfaces #此文件描述您的系统上可用的networking接口 #以及如何激活它们。 有关更多信息,请参阅接口(5)。 源/etc/network/interfaces.d/* #环回networking接口 汽车 iface lo inet loopback #主要networking接口 #列为#1 #这是wan界面 自动enp1s0 iface enp1s0 inet dhcp #列为#2 #这条路线到楼上 自动enp3s0 iface enp3s0 inet static 地址192.168.47.254 networking掩码255.255.255.0 networking192.168.47.0 广播192.168.47.255 #列为#4 自动enp2s0 iface enp2s0 inet static 地址192.168.47.253 […]
当我处理configuration文件,尤其是邮件服务器的configuration文件时,我想暂时删除除端口22以外的所有传入stream量。因此,如果我需要将邮件服务器移动到另一个服务器, 或类似的东西。 使用shorewall,我该怎么做? 我正在考虑创build一个规则文件,将所有stream量转移到一个不存在的内部IP地址,并在需要时使用正常的文件进行切换。
我们正在对我们的SQL服务器进行字典攻击,所以我想用shorewall黑名单来阻止一些IP。 我在/ etc / shorewall / blacklist中提到了IP #ADDRESS/SUBNET PROTOCOL PORT Some IP 没有工作,所以我再次尝试像下面,但再次没有工作 #ADDRESS/SUBNET PROTOCOL PORT Some IP – – 我有这个configurationBLACKLIST_DISPOSITION = DROP,我使用的是shorewall版本4.4.6 有什么我必须检查或添加?
目前我们有防火墙作为防火墙运行,但我们正在将networking切换到更轻的设备。 我们正在考虑使用Linksys E2000并安装DD-WRT。 我们有一个有三个分配IP的有线互联网连接。 作为我们内部networking的一部分,我们有三台服务器进入DMZ。 目前,10.1.3.X子网中的所有机器都在DMZ中。 10.1.4.X子网上的所有机器都是本地基础架构,如域控制器,内部开发,数据库服务器。 networking上的机器上的各种端口都打开到外面的世界。 这里有一台networking服务器,一台邮件服务器。 这对WRT来说太多了吗? 任何指针如何做到这一点? 路由器的select是否合适? 编辑:我应该补充说,这是最好的,如果其中一个港口是非军事区。 那可能吗?