Re: Byta till Shorewall? (Förr: Re: Trixa med ipchains...)
Heh, det här påminner mig om varför jag till och med tröttnade på Shorewall och gick över till FreeBSD och PF (samt bättre kärnmoduler för mitt atheros-kort, iofs) :-) Oscar 2008/8/4 Martin Leben [EMAIL PROTECTED] Magnus Ihse Bursie wrote: Nä, det har du rätt i. Jag har nog varit lite rädd i onödan för binds konfigurationsfiler bara. :) Tusen tack för hjälpen! Jag har implementerat din lösning och den fungerar hur bra som helst. Tänk att det var så enkelt. :) Gôtt att det funkar! Varsågod. :-) Känner själv lite vånda varje år när det är dags att fixa SSL-cert. När jag såg ditt brandväggskript i det ursprungliga brevet så påmindes jag dessutom om varför jag började använda Shorewall som brandvägg. Den beskrivs som ... a high-level tool for configuring Netfilter. När jag ändå håller på och prackar på folk mina konfigurationsfiler så kan jag lika gärna infoga min Shorewall-konfig för den som är intresserad. :-) Helt vanlig NAT plus en server på insidan. (eth1 är externt. Har statisk IP, därav avsaknaden av dhcp i interfaces:net eth1.) # cd /etc/shorewall # egrep -v ^( *$|#) * | egrep -v (Makefile|shorewall\.conf|README\.txt): interfaces:net eth1 detect tcpflags,norfc1918,nosmurfs,logmartians interfaces:loc eth0 detect dhcp,tcpflags,detectnets,nosmurfs masq:eth1 eth0 params:matthew=192.168.221.3 policy:loc net ACCEPT policy:loc $FW ACCEPT policy:loc all REJECT info policy:$FW all ACCEPT policy:net $FW DROP policy:net loc DROP info policy:net all DROP info policy:all all REJECT info routestopped:eth1 - rules:Ping/ACCEPT all all rules:SSH/ACCEPTall $FW rules:SMTP/DNAT net loc:$matthew rules:IMAP/DNAT net loc:$matthew rules:IMAPS/DNATnet loc:$matthew rules:HTTP/DNAT net loc:$matthew rules:HTTPS/DNATnet loc:$matthew rules:FTP/DNAT net loc:$matthew rules:DNAT net loc:$matthew:22 tcp 3527 zones:fwfirewall zones:net ipv4 zones:loc ipv4 (Ingen av filerna Makefile, shorewall.conf eller README.txt har jag pillat i, vad jag kan minnas.) God natt! /Martin -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Byta till Shorewall? (Förr: Re: Trixa med ipchains...)
Den den 4 augusti 2008 00:20 skrev Martin Leben [EMAIL PROTECTED]: Magnus Ihse Bursie wrote: Nä, det har du rätt i. Jag har nog varit lite rädd i onödan för binds konfigurationsfiler bara. :) Tusen tack för hjälpen! Jag har implementerat din lösning och den fungerar hur bra som helst. Tänk att det var så enkelt. :) Gôtt att det funkar! Varsågod. :-) Känner själv lite vånda varje år när det är dags att fixa SSL-cert. När jag såg ditt brandväggskript i det ursprungliga brevet så påmindes jag dessutom om varför jag började använda Shorewall som brandvägg. Den beskrivs som ... a high-level tool for configuring Netfilter. När jag ändå håller på och prackar på folk mina konfigurationsfiler så kan jag lika gärna infoga min Shorewall-konfig för den som är intresserad. :-) Helt vanlig NAT plus en server på insidan. (eth1 är externt. Har statisk IP, därav avsaknaden av dhcp i interfaces:net eth1.) # cd /etc/shorewall # egrep -v ^( *$|#) * | egrep -v (Makefile|shorewall\.conf|README\.txt): interfaces:net eth1 detect tcpflags,norfc1918,nosmurfs,logmartians interfaces:loc eth0 detect dhcp,tcpflags,detectnets,nosmurfs masq:eth1 eth0 params:matthew=192.168.221.3 policy:loc net ACCEPT policy:loc $FW ACCEPT policy:loc all REJECT info policy:$FW all ACCEPT policy:net $FW DROP policy:net loc DROP info policy:net all DROP info policy:all all REJECT info routestopped:eth1 - rules:Ping/ACCEPT all all rules:SSH/ACCEPTall $FW rules:SMTP/DNAT net loc:$matthew rules:IMAP/DNAT net loc:$matthew rules:IMAPS/DNATnet loc:$matthew rules:HTTP/DNAT net loc:$matthew rules:HTTPS/DNATnet loc:$matthew rules:FTP/DNAT net loc:$matthew rules:DNAT net loc:$matthew:22 tcp 3527 zones:fwfirewall zones:net ipv4 zones:loc ipv4 (Ingen av filerna Makefile, shorewall.conf eller README.txt har jag pillat i, vad jag kan minnas.) God natt! /Martin Någon som satt upp/använder IPV6? Tips hur man sätter upp det (och brandvägg). Jag vill använda riktiga IP-adresser till mina servrar, och inte behöva hantera RNAT-adresser. Det är så bökigt...
