> A /etc/shorewall-ban elég beszédesek a file nevek, abból lehet tudni > mit konfigolsz. :-) Pl.: > interfaces, zones, policy, rules, masq, stb. Na meg persze van egy > shorewall.conf is. Minden konfig tele van példákkal, magyarázatokkal, Ezek a fájlnevek OK.
> vannak 1-3 hálókártyáig mintakonfigok, a shorewall.net pedig > szerintem példaértékű dokumentációt tartalmaz. Hát ... olvasgatom majd, bár valamilyen bonyibb, de kész konfignek jobban örülnék, amin el lehetne gondolkozni. Pl. az elkészült iptables és amiből készült. Olyan lenne nagyon, de nagyon jó, ha visszafelé is lehetne dolgozni ezekkel az FW konfigurátorokkal. Magyarul: van egy iptables szabály "rengetegem" és abból csinálna valami grafikus, áttekinthető kimenetet. A másik a tesztelés, kipróbálás. Élesben igen-igen macerás tud lenni, főleg távolról. Erre ott is a figyelmeztetés az oldalukon. Főleg az ilyen kezdőknek, mint én. > > Olyan alap dolgokkal nem vagyok tisztában, mint a maszkolás, > > ha nem teljes zónát akarok kimaszkolni. > > Vagy egy zóna egy gépcsoport? Én úgy gondoltam, hogy külső, > > belső, WLAN, VPN. (az én esetemben) > > A zóna az interface mögötti világot jelenti, de egy zónába tartozhat > több interface is. Ha szabályokat állítasz fel, akkor azt megteheted > a zóna egy részére is, pl.: dmz:192.168.1.1/24 OK. Nálam most úgy tűnik, hogy a zona megfelel az interfészeknek. Kérdés: azt hogyan lehet definiálni, ha adott "zónában" csak egyes gépek maszkolódhatnak? Ráadásul nem folyamatos tartomány, hanem innen-onnan. (zóna: 192.168.1.0/24 és a kiengedendő gép pl. a .1,5, 12, 23, 35, 36, 87, stb.) > Az interfaces file-ban adhatsz meg wildcard-ot (hogyan is van ez > magyarul? :-) az interface-re, pl.: > net tun+ detect > net ppp+ detect No ez jó ötlet, hgy ilyet is tud. Webminben ilyet mindha nem láttam volna. Apropó: esetleg van valahol valami ici-pici Linux image, amit qemu-ban elindítva "eltűzfalazhatnék"? Sajnos a VPN eléggé megnehezíti a dolgot, mert így sok RAM kell a qemu-knak is és akkor dől a dolog. Az egyik FW-n meglevő SuSEfirewall2 szabályait nem lehet valahogy "behozni" a Shorewall-ba? Sokkal kevésbé kéne mindent nulláról kezdenem. Üdv: Ruzsi _________________________________________________ linux lista - [email protected] http://mlf2.linux.rulez.org/mailman/listinfo/linux
