我有一个pptpd服务器和shorewall运行在同一台服务器上。 服务器有两个以太网连接(eth0 – > WAN,eth1 – > LAN),局域网上的IP为10.11.100.201 我可以从家用电脑上build立一个VPN隧道,但是我不能访问办公室局域网上的任何计算机,包括VPN服务器。 如果我ping的VPN隧道(10.11.100.20)的另一端,我得到“目标主机无法访问”。 但是,如果我closuresShorewall一切正常! 我的岸墙configuration有问题吗? 接口: wan eth0 detect dhcp,routefilter,tcpflags lan eth1 detect dhcp vpn ppp + 区域: FW防火墙 wan ipv4 局域网ipv4 vpn ipv4 伪装: eth0 eth1 政策: vpn lan接受 lan vpn接受 万全DROP 局域网全部拒绝 fw全部接受 全部都是拒绝 隧道: pptpserver wan 0.0.0.0/0 更新 我现在已经解决了这个问题,但是我不知道为什么我必须这样做。 无论如何,解决办法是增加另一个政策: vpn全部接受 我认为Shorewall的VPN ppp0接口将是一个networking接口,但似乎知道ppp0stream量通过eth0,并不会让它,除非我添加这个策略。 它是否正确?
我们一直在试图摆脱SonicWall防火墙一段时间。 通过谷歌search和数小时的反复试验,我们已经通过不同的防火墙发行版,如m0n0wall,Smoothwall,PFSense,Vyatta等,获得了不同程度的成功。 我们目前的设置是运行Shorewall的Ubuntu Server 11.04发行版。 到目前为止,这是我们最成功的设置,但是我们仍然有几个路由问题。 我们已经注意到在基于Debian的发行版上运行Shorewall时出现了一些奇怪的或错误的行为,我们想知道这是否与我们当前的问题有关。 因为我们有这么多的设置失败,我们得出结论,我们正在做一些根本性的错误。 那么将会是一个简单的设置,将处理我们下面概述的? 我们的防火墙上有三个接口: eth0(LAN):10.10.0.0/16 eth1(XO):xxx178 / 30 gateway:xxx177(路由单独的公共子网zzzz / 24的stream量) eth2(Qwest):yyy225 / 29网关:yyy230 我们需要从zzzz和yyyy地址到内部服务器的NATstream量。 但是,除非明确指示通过Qwest连接,否则所有出站通信都需要默认为XO。 非常感谢您的意见!
我使用shorewall作为生产站点的防火墙和网关。 该站点还有一些虚拟专用网(VPN)运行在同一站点的不同服务器上(位于受保护区域)。 我在网站(在保护区域)的服务器的设置是让shorewall网关作为他们的默认网关,当他们需要访问VPN隧道另一端的资源时,网关会将stream量路由到本地VPN端点(当然是在接受防火墙规则之后),所以stream量基本上进入了保护区域接口,并通过相同的接口被路由出去。 这个设置在closuresshorewall的时候效果很好,但是当shorewall打开的时候,它会阻止这个stream量。 我想configurationshorewall允许这种types的stream量,但我不知道如何做到这一点。 Shorewall有一个名为route_rules的文件,所以我在其中添加了一个规则,如下所示: #SOURCE DEST PROVIDER PRIORITY eth1 192.168.1.0/24 main 1000 ( eth1是受保护区域的接口名称, 192.168.1.0/24是VPN的其他大小的networking, main是'shorewall-route_rules'手册页说的,您应该让路由表处理路由1000是根据所述手册页的默认优先级)。 但是这似乎对iptables规则根本没有影响,我也没有看到任何其他configuration更改作为这个规则的结果 – 显然我的stream量仍然被阻止。
我们有一台Linux机器作为自定义路由器运行,目前正在使用Shorewall。 这位于我们的传入Internet连接和内部LAN之间。 我们希望实现的是在每个IP基础上“合理使用”带宽。 如果只有一个人目前有一个活跃的连接,那么他们得到100%的利用率。 但是,如果有20人有活跃的联系,那么他们每个人应该得到5%的利用率。 这应该与每个用户持有的连接数量无关。 例如,假设我们有两个用户Bill和Ted,他们都有活跃的联系。 Bill有一个活动连接,而Ted有十个活动连接。 比尔应该得到50%的利用率,而Ted应该为他的10个连接中的每一个获得5%的利用率,使得Ted的总利用率达到50%。
我有一个与虚拟机运行Windows服务器的Ubuntu主机系统。 在Virtualbox中,我已经为vm中运行的RDP deamonconfiguration了一个NAT接口和端口转发的networking。 这真的很好 – 我可以通过互联网连接到Windows rdp服务。 TCP *:3389 – > *:3389 现在我想限制只有3个公共IP地址的rdp服务的访问,并不知道如何通过iptables / shorewall做到这一点。 就像是: 接受净额:91.xxx fw tcp 3389 (shorewall规则)不起作用。 会很高兴的任何提示。
设置shorewalldynamic区域, http: shorewall show dynamic zone命令shorewall show dynamic zone ,zone是您的区域之一。 我可以使用add和delete命令,但不能使用show dynamic命令。 这是一个shell会话,输出来自ipset list ,certificate这些项目确实存在。 $ ipset list CPREM_br0 Name: CPREM_br0 Type: hash:ip Header: family inet hashsize 1024 maxelem 65536 Size in memory: 16520 References: 66 Members: 192.168.85.153 $ shorewall add br0:192.168.85.200 CPREM Host br0:192.168.85.200 added to zone CPREM $ shorewall show dynamic CPREM $ […]
我已经通过与shorewall和黑名单文件的IP阻止。 我已经决定完全阻止一些国家,黑名单文件是巨大的! 所以我的问题是这样的: 有没有可能有多个黑名单文件的shorewall? 如果是的话,你将如何去装载它们? 如果没有,是否有另一种select?
我有一个不支持绑定到不同接口的应用程序。 它目前通过eth0发送传出连接,但我想通过eth0:1(它是一个虚拟接口)发送它。 所有stream量都通过特定的端口范围发送。 有什么办法可以使用Shorewall将stream量路由到合适的接口? 我宁愿不使用iptables,但如果这是唯一的方法,那么我也愿意这样做。
我正在尝试使用Shorewall的REDIRECT动作拦截目的地为防火墙的端口514(TCP和UDP)到端口5000(也包括TCP和UDP)的stream量,同时也允许直接stream量到后端端口。 (原因并不重要,但简短的版本是我们将日志聚合器作为非特权用户运行,但守护进程不支持删除root权限,因此它不能监听特权端口;同时我们有很多旧的syslog实现,不允许发送到其他端口。) 除防火墙本身之外,还定义了3个区域:loc(10.0.0.0/8),dmz(172.16.0.0/16)和net(其他)。 后者主要是为了拒绝/放弃“不可信”networking的一切。 相关规则如下所示: #ACTION SOURCE DEST PROTO DEST # PORT SECTION NEW REDIRECT:info loc 5000 tcp,udp 514 REDIRECT:info dmz 5000 tcp,udp 514 ACCEPT:info loc $FW tcp,udp 5000 ACCEPT:info dmz $FW tcp,udp 5000 到现在为止还挺好。 (还有其他规则,例如允许SSH和HTTP连接,但是这些是唯一与端口514或5000相关的规则。)默认策略是针对loc和dmz的REJECT ,针对networking的DROP 。 问题是,我有许多主机被拒绝的实例,而同一networking中的相邻主机正在被redirect和接受。 例如,172.16.0.194正在尽可能快地将消息填充到聚合器中,但172.16.0.166却使每个数据包都被拒绝。 同样,10.140.88.150被接受,而10.192.253.4被拒绝。 以下是后者对的示例系统日志消息: Shorewall:loc_dnat:REDIRECT:IN=eth0 OUT= MAC=/*anon*/:08:00 SRC=10.140.88.150 DST=10.1.25.14 LEN=134 TOS=0x00 PREC=0x00 TTL=253 ID=9092 PROTO=UDP SPT=62162 DPT=514 […]
我有一个服务器汇集来自其他各种服务器的日志。 它大多工作得很好,但不时(重启后,但不是所有的重启),它将决定各种UDP“连接”处于一个奇怪的状态,并拒绝传入的数据包。 事情是,这是没有道理的,因为处理UDP时没有“连接”! 下面是我的防火墙日志中显示的一个例子: Shorewall:loc2fw:REJECT:IN=eth0 OUT= MAC=/*snip*/ SRC=10.xx4 DST=10.yy14 LEN=159 TOS=0x00 PREC=0x00 TTL=254 ID=37407 PROTO=UDP SPT=514 DPT=514 LEN=139 在运行命令sudo conntrack -D -p udp从conntrack清除所有UDP“连接”后,下面是一个日志,显示来自同一主机的传入消息: Shorewall:loc_dnat:REDIRECT:IN=eth0 OUT= MAC=/*snip*/ SRC=10.xx4 DST=10.yy14 LEN=201 TOS=0x00 PREC=0x00 TTL=254 ID=50542 PROTO=UDP SPT=514 DPT=514 LEN=181 在我运行-D命令之前,这个主机显示的是conntrack: udp 17 29 src=10.xx4 dst=10.yy14 sport=514 dport=514 [UNREPLIED] src=10.yy14 dst=10.xx4 sport=514 dport=514 mark=0 use=1 以下是我的Shorewallconfiguration中对此端口的相关位: #ACTION SOURCE […]