Shorewall 2/3

Következzen a policy.

A policy, mint azt az előző oldalon említettem, főleg irányokkal foglalkozik. Mivel nem szeretnénk semmit, ami a netről származik és nem magunk kértük, ezért dobjuk a hívatlan csomagokat. Egyszerű műveletek, amelyek a csomagok forrásától és céljától függően kerülnek végrehajtásra.

vi /etc/shorewall/policy

###############################################################################
#SOURCE DEST POLICY LOG LIMIT:BURST
# LEVEL
#NEW Config
fw net REJECT debug
fw loc REJECT warning
fw dmz REJECT info
# Policies defining traffic originating from the loc
loc fw REJECT info
loc net REJECT info
loc dmz REJECT info
loc all REJECT info
# Policies defining traffic originating from the dmz
dmz fw REJECT info
dmz net ACCEPT info
dmz loc REJECT info
dmz all REJECT info
# Policies defining traffic originating from the net
net loc DROP info
net dmz DROP info
net all DROP info
# The FOLLOWING POLICY MUST BE LAST
all all REJECT info
#LAST LINE -- DO NOT REMOVE

Ebben a fájlban nem kötelességünk minden "irányt" definiálni. Csak amelyek érdekesek. Többet definiáltam, mint amennyit kellett volna. Az utolsó szabály megoldja a definiálatlan irányokat.

A fájlban a definiciók "ereje" olvasási sorrendben dől el. Ha az utolsó szabály után írnék bármit, az nem kerül feldolgozásra. Hiszen előbb volt az all all REJECT ami illett az irányra.

Nézzük a többi elemét általánosságban. Rengeteg DROP és REJECT. Ez a tűzfal dolga. Egyszerűbb eldobnom mindent és kivételeket megadnom.

A dmz zóna semminemű védelmet/korlátozást nem élvez/tapasztal!!!

Különbség DROP és REJECT között a forrás értesítése (telnet egy REJECT policyval rendelkező irányba azonnali hibaüzenettel jár, DROP irányba várakozás, majd timeout).

Következzenek a kivételek.

A cikk még nem ért véget, kérlek, lapozz!