Различия

Показаны различия между двумя версиями страницы.

Ссылка на это сравнение

Предыдущая версия справа и слева Предыдущая версия
Следующая версия		 Предыдущая версия
system:shorewall [2016/04/25 10:29] – [shorewall.conf] mirocowsystem:shorewall [2016/12/13 23:30] (текущий) – [Интерфейсы и хосты] mirocow
Строка 1: Строка 1:
-{{tag>firewall iptables utils shell}}+{{tag>firewall iptables utils shell networks networking network}}
  
 ====== Shorewall - Инструмент конфигурирования шлюза/фаервола ====== ====== Shorewall - Инструмент конфигурирования шлюза/фаервола ======
Строка 31: Строка 31:
      
   net     eth0            detect          tcpflags,logmartians,nosmurfs   net     eth0            detect          tcpflags,logmartians,nosmurfs
 +
  
 Подробнее: http://www.shorewall.net/manpages/shorewall-interfaces.html Подробнее: http://www.shorewall.net/manpages/shorewall-interfaces.html
Строка 94: Строка 95:
 Правила содержат действия, макросы их настройки. Все макросы находятся в папке /usr/share/shorewall и обозначаются как macro.[ACTION].  Правила содержат действия, макросы их настройки. Все макросы находятся в папке /usr/share/shorewall и обозначаются как macro.[ACTION]. 
 Пример: /usr/share/shorewall/macro.SSH, /usr/share/shorewall/macro.AMQP, /usr/share/shorewall/macro.SMTP Пример: /usr/share/shorewall/macro.SSH, /usr/share/shorewall/macro.AMQP, /usr/share/shorewall/macro.SMTP
 +
 +<note tip>Разобраться с DNAT на localhost</note>
  
 Подробнее: http://www.shorewall.net/manpages/shorewall-rules.html Подробнее: http://www.shorewall.net/manpages/shorewall-rules.html
Строка 127: Строка 130:
   #    # 
                                                         PORT    PORT(S)         DEST            LIMIT           GROUP                                                         PORT    PORT(S)         DEST            LIMIT           GROUP
-  # MySql 
-  DNAT            mysql           $FW             tcp     3306 
-   
-  # MongoDB 
-  DNAT            mongo           $FW             tcp     27017  
      
 === Firewall === === Firewall ===
Строка 157: Строка 155:
  
 ===== shorewall.conf ===== ===== shorewall.conf =====
 +
 +Внести изменения в основной конфиг
  
 # nano /etc/shorewall/shorewall.conf # nano /etc/shorewall/shorewall.conf
-  STARTUP_ENABLED=Yes — пусть запускается + 
-  VERBOSITY=1 — многословность в консоли +  * STARTUP_ENABLED=Yes — пусть запускается 
-  SHOREWALL_COMPILER=perl — чтобы не перепуталось, если что +  VERBOSITY=1 — многословность в консоли 
-  *_LOG_LEVEL — когда все заработаеткак надо, поставьте в none, чтобы не засоряло dmesg +  SHOREWALL_COMPILER=perl — чтобы не перепуталось, если что  
-  LOG_MARTIANS — так же +  *_LOG_LEVEL — когда все заработает как надо, поставьте в none, чтобы не засоряло dmesg 
-  IP_FORWARDING=On — для маскарадинга очень нужно. Можно, кончно, и в sysctl.conf это делать, но тут уместнее +  LOG_MARTIANS — так же 
-  CLAMPMSS=Yes — лучше включить, если у аплинка MTU меньше, чем у какой-нибудь из машин в домашней сетке.  +  IP_FORWARDING=On — для маскарадинга очень нужно. Можно, кончно, и в sysctl.conf это делать, но тут уместнее 
-                     No здесь может привести к крайне неприятному багу с неработающей википедией на части компов. +  CLAMPMSS=Yes — лучше включить, если у аплинка MTU меньше, чем у какой-нибудь из машин в домашней сетке. \\ No здесь может привести к крайне неприятному багу с неработающей википедией на части компов. 
-  ADMINISABSENTMINDED=Yes — не мните себя б-гом, оставьте так+  ADMINISABSENTMINDED=Yes — не мните себя б-гом, оставьте так
  
 ===== Макросы ===== ===== Макросы =====