扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
shorewall不是一个daemon的程序,它是一个加载iptables指令的套件,所以请别指望使用ps -aux这类的指令来查询它的行程,接下来的部份就分别说明各个设定文件的功能及格式。
本质上来说,shorewall是Iptables的配置工具。因为Iptables的语法晦涩难懂,命令繁多,难以记忆和理解。所以通过配置相对容易理解的shorewall进行防火墙的配置,之后shorewall会自动的调用Iptables完成配置。
一、下载安装与卸载
1、下载
ShoreWall的官方网址为http://www.shorewall.net,在安装之前先要去下载它的原始码程序,地址在http://www.shorewall.net/download.htm这个页面,您可以选择一个Mirror站台来下载,笔者是选择USA的站点来下载,进入画面之后,选择一个您想要使用的版本,最新的版本已经出到了3.2,它的更新速度非常的快,随后安装即可
2、反安装过程
Tarball:
请在原来的安装目录中输入以下的指令:
#./uninstall.sh
这个指令会将shorewall的所有设定档给移除掉。
RPM:
#rpm-eshorewall
二、编辑设定档
安装完毕后,必需先要设定各个设定档才能启动shorewall。
1、/etc/shorewall/shorewall.conf
shorewall.conf这个设定文件是整个软件配置中最重要的一个档案,里面有许多的设定,若是搞错的话,很可能会造成shorewall的启动失败或是错误:
STARTUP_ENABLED=Yes |
预设是为No,如果您决定要使用shorewall来管理您的防火墙的话,那么强烈的建议您将这个选项设定为Yes。
LOGFILE=/var/log/messages |
设定记录文件的位置,预设的记录文件是messages这个档案,您也可以指定另外的档案,以区分防火墙及一般讯息,便于除错时较能快速掌握状况。
LOGNEWNOTSYN=info |
设定记录文件的等级,一般来说shorewall的记录是由syslog这只程序来进行,一共有八级,而shorewall预设的记录等级为info,您可以参考/etc/syslog.conf来了解其它等级的记录内容为何。
CONFIG_PATH=/etc/shorewall:/usr/share/shorewall |
设定shorewall的所有配置文件所存放的目录位置为何,如果您的设定档不是放在这个位置的话,请自行修改至正确的路径。
FW=fw |
预设的防火墙接口名称,在shorewall中,会内定一个防火墙的Zone名称,这个名称不需要在/etc/shorewall/zones中定义,直接可以在各个设定档中使用。
IP_FORWARDING=On |
预设是打开的,这个选项代表是开启IPForward的功能,如果您的Linux主机是独立型的主机,并不需要使用到NAT或者是DNAT等功能的话,那么这个选项就可以把它给关闭。
以一个最简单的网络架构来做为设定的例子,以一台Linux主机为主要单位,有两张以太网络卡,eth0是对外部的网络卡,而eth1则是对内的网络卡,内部局域网络透过NAT连结到外部网络,而这台Linux主机同时具备有简易防火墙的功能,针对下面的各个设定档案做说明。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者