Pular para o conteúdo

Shorewall - Firewall passo a passo no Linux

Neste artigo estarei mostrando passo-a-passo como instalar e configurar um firewall utilizando o Shorewall (um front-end para o Iptables). O Shorewall, além de ser muito fácil de se configurar, também é muito completo, permitindo configurar quase tudo o que o iptables permite: filter, NAT, SNAT, DNAT, QOS/traffic shapping, nfqueue etc.
Eduardo Vieira Mendes vodooo

Por Eduardo Vieira Mendes em 19/01/2009

Hits: 197.101 Categoria: Linux Subcategoria: Firewall
  • Indicar
  • Impressora
  • Denunciar

Instalação

Debian:

# apt-get install shorewall shorewall-doc

Copiar os arquivos da pasta /usr/share/doc/shorewall/examples/two-interfaces/ para /etc/shorewall/:

# cp /usr/share/doc/shorewall/examples/two-interfaces/* /etc/shorewall/

Editar o arquivo /etc/default/shorewall e mudar a seguinte linha:

startup=0

para:

startup=1

Obs.: Os desenvolvedores deixaram assim para que não inicie o shorewall sem que este esteja configurado.

Outras distribuições:

Entrar no site do Shorewall, fazer o download dos seguintes arquivos:

Shorewall-common: shorewall-common-4.2.4.tar.bz2

Shorewall-perl (compilador escrito em perl): shorewall-perl-4.2.4.6.tar.bz2

* Existe também o Shorewall-shell (compilador escrito em bash), mas abordarei a instalação apenas da versão em Perl por ser mais rápida.

Descompactar o shorewall-perl:

# tar -xvjf shorewall-perl-4.2.4.6.tar.bz2

Entrar na pasta descompactada:

# cd shorewall-perl-4.2.4.6

Rodar o comando:

# ./install.sh

Descompactar o shorewall-common:

# tar -xvjf shorewall-common-4.2.4.tar.bz2

Entrar na pasta descompactada:

# cd shorewall-common-4.2.4

Rodar o comando:

# ./install.sh

Pronto, seu shorewall já está instalado!

Vamos às configurações.

Páginas do artigo

   1. Instalação
   2. Configurando o Shorewall
   3. O arquivo zone
   4. O arquivo interfaces
   5. O arquivo masq
   6. O arquivo policy
   7. O arquivo rules - seu fiel escudeiro
   8. Utilizando macros
   9. Conclusão

Outros artigos deste autor

Utilizando o Protheus em estações Linux

Trabalhando com RPM

Bluefish - um poderoso editor para web designers

Permissões e propriedades de arquivos

Redes PLC

Leitura recomendada

Hotspot - Atualização - CoovaChilli

Construindo um Firewall / Proxy com o Fedora Core 4

Criando DMZ com o PFSense

Bloqueando MSN, orkut, trojans e mais

Como bloquear o Ultrasurf - solução definitiva (iptables + Fail2ban)

Comentários

#1 Comentário enviado por odirneto em 19/01/2009 - 16:06h
O shorewall é até facil, mas ainda prefito o iptables na raça mesmo... sei la, eu tenho um certo problema com alguns front-ends... sempre me parece que num vo entende a logica por tras

mas mto bom o tutorial, gostei.. bem legal =]
#2 Comentário enviado por vodooo em 20/01/2009 - 08:48h
Olá odirneto, bom dia!

Primeiramente, obrigado pelo elogio!

A maioria dos Administradores de rede experientes gostam mesmo de mexer diretamente com o Iptables, o que te dá um controle muito maior do que está ocorrendo no seu firewall, mas ainda assim existem Administradores (experientes ou não) que utilizam alguma ferramenta como o Shorewall, seja por facilidade, ou por gosto mesmo.

PS.: A quem estiver dando nota ao artigo. favor dar a nota e explicar em comentário o porque de não ter gostado do artigo, expondo assim suas críticas, as quais serão muito bem vindas e me ajudarão a criar um artigo ainda melhor da próxima vez.

No mais, abraços a todos e Viva a Liberdade!!!
#3 Comentário enviado por odirneto em 20/01/2009 - 11:11h
É, isso é verdade mesmo vodoo.. eu, apesar de tar longe de ser um administrador experiente e tal, prefiro o iptables mesmo.. é que tem aquele negocio né, quando você tem um front-end, você nunca entende o que o front-end está fazendo para você né.. ?

Enfim, mas o seu tutorial é muito bom mesmo cara, bem completinho e bem explicado. Ta de parabens mesmo.

ps - Po, vamo troca umas figurinhas, me manda um e-mail ae odirneto@petmais.net
#4 Comentário enviado por anarco2002 em 20/01/2009 - 17:32h
Parabéns, filho!!!
#5 Comentário enviado por vodooo em 26/01/2009 - 10:49h
Olá anarco2002.

Obrigado pelo elogio!!!

Abraços
#6 Comentário enviado por alexpfo em 03/08/2009 - 10:53h
COmo faço está regra no Shorewall
Preciso usar o msn-proxy mas não funciona o comando do iptables por causa do firewall.
comando do msn-proxy: iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 1863 -j REDIRECT --to-port 1863

Podem me ajudar.


Obrigado.

#7 Comentário enviado por erikogp em 31/03/2011 - 13:50h
Vi que o tópico está antigo, mas tenho esperança de alguém ver esse comentário e me responder. Não sei mais o que fazer. Não consigo fazer o redirecionamento do TSWeb funcionar.
Recentemente instalei o mandriva server e ele vem nativamente com o Shorewall. Está tudo muito bom, tenho o squid 3.0 rodando 100%, o SARG também e o shorewall funciona tudo, menos o redirecionamento para o servidor Terminal services. Não é problema no servidor, pois aqui temos dois e já testei com os dois e nada. Tenho duas conexões e a outra roda o debian 4.0 e faz o redirecionamento. Só que o script dele não funciona no Mandriva.
Segue abaixo a configuração do arquivo RULES do shorewall, que é onde fica o comando para redirecionamento:


ACCEPT+ fw net tcp http - - - squid
REDIRECT fw 3128 tcp http -
REDIRECT loc 3128 tcp http -
DNAT net loc:192.168.147.12:3389 tcp 3389

Já estou há exatamente uma semana tentando e não consigo. Internamente acesso normalmente o servidor. O serviço de terminal do server 2008 está instalado e funcionando perfeitamente, pois comprei a licença e instalei o serviço de terminal.
Há algum outro arquivo onde devo fazer alguma outra modificação?
#8 Comentário enviado por gideaobf em 07/03/2012 - 17:45h
Eae erikogp, conseguiu? alguma novidade?

Contribuir com comentário

Entre na sua conta para comentar.