Articles of shorewall

我有一个ipsec隧道工作，可以访问192.168.4.0/24局域网。 它工作正常，我可以访问没有问题的另一边的主机： # from fw and lan hosts: # ping 192.168.4.44 PING 192.168.4.44 (192.168.4.44) 56(84) bytes of data. 64 bytes from 192.168.4.44: icmp_req=1 ttl=127 time=4.41 ms 但是当我尝试将公共IP地址上的一个端口转发到另一端的主机时，它不会路由stream量： # from wan side: # telnet xxxx 33901 telnet: Unable to connect to remote host: No route to host 在防火墙上执行telnet（wan）的tcpdump捕获： # tcpdump -n -i eth0.20 host 37.15.173.52 10:09:48.312840 […]

我正在设置我的防火墙，并安装和configurationshorewall。 不幸的是我试图直接configurationiptables，但是这不起作用。 当我启动shorewall时，我在/var/log/shorewall-init.log中得到这个消息： Processing /etc/shorewall/params … Processing /etc/shorewall/shorewall.conf… ERROR: UNTRACKED state requires Raw Table in your kernel and iptables 我能做什么？ （Ubuntu的服务器14.04.1 LTS在一个虚拟机）

概要 我目前正在Debian Wheezy上使用Shorewall 4.5.5.3开发一个三接口软件防火墙，而我在loc（eth2）和dmz（eth1）接口上遇到了一些困难。 fw（eth0）接口似乎工作得很好，但我不能在loc或dmz区域上ping PC。 networking中的/ etc / network / interfaces设置可能有问题。 fw接口通过ISP运行在dhcp上，我使用静态IP在这些区域内configuration了loc和dmz接口和PC。 我试图使用的configuration是三接口和单个IPconfiguration。 参考文档位于Shorewall网站“ 三接口防火墙 ”上。 我不知道如何处理eth1或eth2接口上的网关，Shorewall文档没有解释这一点。 我认为这将是eth0相同的网关，但我不知道如何做，因为eth0是在dhcp。 联网 / etc / network / interfaces用于固件节点： # The loopback network interface auto lo iface lo inet loopback # The primary network interface auto eth0 iface eth0 inet dhcp # Secondary network interface for dmz auto […]

我正在使用shorewall和我的Fedora 21服务器和云使用fail2ban。 所有充斥着以下错误信息： SELinux is preventing shorewall from write access on the file /tmp/fai2ban*.[stderr|stdout] (deleted). For complete SELinux messages. run sealert -l … 当然，fail2ban显示IP被禁止，但shorewall并不实际禁止它。 在指定文件上运行sealert -l将不会产生任何内容，因为该文件被删除。 当我试图使相关的政策有效时也是如此： [root@fedora server]# semodule -i shorewall.pp libsepol.print_missing_requirements: shorewall's global requirements were not met: type/attribute shorewall_t (No such file or directory). libsemanage.semanage_link_sandbox: Link packages failed (No such file or directory). […]

在Shorewall中我没有发现增量configuration的任何规定。 有这样的机制吗？ 我正在寻找的是在/etc/shorewall/rules.d文件夹中添加configuration文件的能力（例如规则）（除了/etc/shorewall/rules 。 这样的function会对dynamicconfiguration有很大帮助，其中一些元素被作为一个整体添加/删除（我有一个容器的情况，我在脚本中添加和删除，并希望通过添加或删除文件来处理防火墙更改，而不是parsing一个单一的文件）

我使用Shorewall （在Ubuntu 16.04上），并希望确保在启动过程开始和应用iptables规则的时刻之间，networking处于closures状态。 在/etc/network/interfaces的pre-up部分提供了设置这样一个状态的规定，但是我想用Shorewall保留所有的防火墙configuration。 这可能吗？ 我看到的问题是Shorewall在networking连接启动后开始设置： root@ubuntu ~# grep Required-Start /etc/init.d/shorewall # Required-Start: $network $remote_fs 我想知道是否强迫Shorewall在$network可以成为解决scheme之前就开始了，但是由于这不是默认的，所以我担心这种改变会带来意想不到的后果。

我有一个debian安装与shorewall，openvpn和谷歌authenticator。 我可以得到一个VPN连接 – 但我不能通过任何stream量到本地局域网或互联网 – 我在这里错过了什么： 我的shorewallconfiguration shorewall.conf IP_FORWARDING On 的/ etc /的shorewall /接口 net eth0 tcpflags,dhcp,nosmurfs,routefilter,logmartians,sourceroute=0 loc eth1 tcpflags,dhcp,nosmurfs,routefilter,logmartians dmz eth2 tcpflags,dhcp,nosmurfs,routefilter,logmartians road tun tcpflags,logmartians,nosmurfs 在/ etc /的shorewall /区 fw firewall net ipv4 loc ipv4 dmz ipv4 road ipv4 在/ etc /的shorewall /规则 ?SECTION ESTABLISHED ?SECTION RELATED ?SECTION INVALID ?SECTION UNTRACKED ?SECTION NEW VNC/ACCEPT […]

我已经安装Shorewall完美的VPN服务器。 我为主eth0接口获得了更多的IP，因此服务器接受来自任何xxxx / 25公有IP的VPN连接。 但是，问题在于，每个连接（来自任何IP）都会为传出stream量获取一个主IP。 问题是我如何划分我的tap接口（VPN正在使用）并将每4个（例如）本地IP分配给下一个公共IP？ 以下是我添加的Shorewall masq行，但没有成功： eth0:xxx3 tap:192.168.30.12-192.168.30.15 eth0:xxx4 tap:192.168.30.16-192.168.30.19 eth0:xxx5 tap:192.168.30.20-192.168.30.23

我正在尝试在shorewall中启用docker支持（版本5.1.3.2）。 我遵循指南http://shorewall.org/Docker.html 。 但是，当我尝试启动shorewall时出现以下错误： * Starting shorewall …iptables-restore v1.6.1: Couldn't load target `DOCKER-INGRESS':No such file or directory Error occurred at line: 39 Try `iptables-restore -h' or 'iptables-restore –help' for more information. ERROR: iptables-restore Failed. Input is in /var/lib/shorewall/.iptables-restore-input iptables-restore v1.6.1: Couldn't load target `DOCKER-INGRESS':No such file or directory Error occurred at line: 14 Try `iptables-restore […]

我正在configuration一个服务器的shorewall，到目前为止事情进展顺利。 不过，有一件事我很想知道。 “规则”文件包含以下几行： # # Drop Ping from the "bad" net zone.. and prevent your log from being flooded.. # Ping(DROP) net $FW ACCEPT $FW loc icmp ACCEPT $FW net icmp 据我所知，最后两行允许防火墙ping本地networking和互联网上的机器。 然而，似乎从底部的第四行从互联网ping平。 所有的线似乎都与ping有关。 然而，是接受与Ping（DROP）不同的ICMP，还是可以写下来（我已经从底部改变了第四行），正如我在下面所做的那样？ # # Drop Ping from the "bad" net zone.. and prevent your log from being flooded.. # DROP net $FW […]