Различия

Показаны различия между двумя версиями страницы.

--- system:shorewall [2016/04/25 09:36] – [Hosts] mirocow
+++ system:shorewall [2016/12/13 23:30] (текущий) – [Интерфейсы и хосты] mirocow
@@ Строка 1: / Строка 1: @@
-{{tag>firewall iptables utils shell}}
+{{tag>firewall iptables utils shell networks networking network}}
 ====== Shorewall - Инструмент конфигурирования шлюза/фаервола ======
@@ Строка 31: / Строка 31: @@
   net     eth0            detect          tcpflags,logmartians,nosmurfs
 Подробнее: http://www.shorewall.net/manpages/shorewall-interfaces.html
@@ Строка 85: / Строка 86: @@
   # all servers from hosts
   ACCEPT          bots            $FW
   ACCEPT          $FW             bots
-  # MySql
-  DNAT            $FW             mysql:62.210.189.99             tcp     3306
-  DNAT            mongo           mysql:62.210.189.99             tcp     3306
-  # MongoDB
-  DNAT            $FW             mysql:62.210.189.99             tcp     27017
-  DNAT            mongo           mysql:62.210.189.99             tcp     27017
   # SMTP
@@ Строка 102: / Строка 95: @@
 Правила содержат действия, макросы их настройки. Все макросы находятся в папке /usr/share/shorewall и обозначаются как macro.[ACTION].
 Пример: /usr/share/shorewall/macro.SSH, /usr/share/shorewall/macro.AMQP, /usr/share/shorewall/macro.SMTP
+<note tip>Разобраться с DNAT на localhost</note>
 Подробнее: http://www.shorewall.net/manpages/shorewall-rules.html
@@ Строка 133: / Строка 128: @@
 # nano /etc/shorewall/rules
   #ACTION         SOURCE          DEST            PROTO   DEST    SOURCE          ORIGINAL        RATE            USER/   MARK
-  #                                                       PORT    PORT(S)         DEST            LIMIT           GROUP
+  #
+                                                        PORT    PORT(S)         DEST            LIMIT           GROUP
-  DNAT            all             mork:navoff:31840 udp   31840
-  DNAT            net             mork:navoff:7777 udp    7777
-  DNAT            net             mork:navoff:7777 tcp    7777
 === Firewall ===
@@ Строка 148: / Строка 140: @@
   ACCEPT          $FW             net             icmp
   ACCEPT          net             $FW             tcp     22
+  # MySql
+  ACCEPT            mysql           $FW             tcp     3306
+  # MongoDB
+  ACCEPT            mongo           $FW             tcp     27017
   ACCEPT          bots            $FW
   ACCEPT          $FW             bots
+При условии что mysql настроен на вешний IP адресс **bind-address            = 0.0.0.0**
 Разрешаем подключение по ssh и разрешаем все подключения из /etc/shorewall/hosts
 ===== shorewall.conf =====
+Внести изменения в основной конфиг
 # nano /etc/shorewall/shorewall.conf
-  STARTUP_ENABLED=Yes — пусть запускается
-  VERBOSITY=1 — многословность в консоли
-  SHOREWALL_COMPILER=perl — чтобы не перепуталось, если что
-  *_LOG_LEVEL — когда все заработаеткак надо, поставьте в none, чтобы не засоряло dmesg
-  LOG_MARTIANS — так же
-  IP_FORWARDING=On — для маскарадинга очень нужно. Можно, кончно, и в sysctl.conf это делать, но тут уместнее
-  CLAMPMSS=Yes — лучше включить, если у аплинка MTU меньше, чем у какой-нибудь из машин в домашней сетке.
-                     No здесь может привести к крайне неприятному багу с неработающей википедией на части компов.
-  ADMINISABSENTMINDED=Yes — не мните себя б-гом, оставьте так
+  * STARTUP_ENABLED=Yes — пусть запускается
+  * VERBOSITY=1 — многословность в консоли
+  * SHOREWALL_COMPILER=perl — чтобы не перепуталось, если что
+  * *_LOG_LEVEL — когда все заработает как надо, поставьте в none, чтобы не засоряло dmesg
+  * LOG_MARTIANS — так же
+  * IP_FORWARDING=On — для маскарадинга очень нужно. Можно, кончно, и в sysctl.conf это делать, но тут уместнее
+  * CLAMPMSS=Yes — лучше включить, если у аплинка MTU меньше, чем у какой-нибудь из машин в домашней сетке. \\ No здесь может привести к крайне неприятному багу с неработающей википедией на части компов.
+  * ADMINISABSENTMINDED=Yes — не мните себя б-гом, оставьте так
+===== Макросы =====
+ls /usr/share/shorewall/
+<code>
+action.A_Drop        action.SetEvent     macro.A_DropDNSrep  macro.DropUPnP      macro.IPP           macro.MongoDB     macro.Puppet   macro.SNMP        macro.Webcache
+action.allowInvalid  actions.std         macro.A_DropUPnP    macro.Edonkey       macro.IPPbrd        macro.MSNP        macro.Razor    macro.SNMPTrap    macro.Webmin
+action.A_Reject      action.TCPFlags     macro.AllowICMPs    macro.Finger        macro.IPPserver     macro.MSSQL       macro.Rdate    macro.SPAMD       macro.Whois
+action.AutoBL        action.template     macro.Amanda        macro.FTP           macro.IPsec         macro.Munin       macro.RDP      macro.Squid       macro.Xymon
+action.AutoBLL       action.Untracked    macro.AMQP          macro.Git           macro.IPsecah       macro.MySQL       macro.Redis    macro.SSH         modules
+action.Broadcast     compiler.pl         macro.Auth          macro.GNUnet        macro.IPsecnat      macro.NNTP        macro.Reject   macro.Submission  modules.essential
+action.DNSAmp        configfiles         macro.BGP           macro.Gnutella      macro.IRC           macro.NNTPS       macro.Rfc1918  macro.SVN         modules.extensions
+action.Drop          configpath          macro.BitTorrent    macro.Goto-Meeting  macro.Jabberd       macro.NTP         macro.RIPbi    macro.Syslog      modules.ipset
+action.dropInvalid   coreversion         macro.BitTorrent32  macro.GRE           macro.JabberPlain   macro.NTPbi       macro.RNDC     macro.Telnet      modules.tc
+action.DropSmurfs    functions           macro.BLACKLIST     macro.HKP           macro.JabberSecure  macro.NTPbrd      macro.Rsync    macro.Telnets     modules.xtables
+action.Established   getparams           macro.Citrix        macro.HTTP          macro.JAP           macro.OpenVPN     macro.SANE     macro.template    prog.footer
+action.IfEvent       helpers             macro.CVS           macro.HTTPS         macro.Jetdirect     macro.OSPF        macro.Sieve    macro.Teredo      Shorewall
+action.Invalid       lib.base            macro.DAAP          macro.ICPV2         macro.Kerberos      macro.PCA         macro.SIP      macro.TFTP        shorewallrc
+action.New           lib.cli             macro.DCC           macro.ICQ           macro.L2TP          macro.Ping        macro.SixXS    macro.Time        version
+action.NotSyn        lib.cli-std         macro.DHCPfwd       macro.ILO           macro.LDAP          macro.POP3        macro.SMB      macro.Trcrt       wait4ifup
+action.Reject        lib.common          macro.Distcc        macro.IMAP          macro.LDAPS         macro.POP3S       macro.SMBBI    macro.VNC
+action.Related       lib.core            macro.DNS           macro.IMAPS         macro.Mail          macro.PostgreSQL  macro.SMBswat  macro.VNCL
+action.ResetEvent    macro.A_AllowICMPs  macro.Drop          macro.IPIP          macro.mDNS          macro.PPtP        macro.SMTP     macro.VRRP
+action.RST           macro.ActiveDir     macro.DropDNSrep    macro.IPMI          macro.mDNSbi        macro.Printer     macro.SMTPS    macro.Web
+</code>
 ===== Ссылки =====