Setting Iptables Smoothwall Router Proxy

Halaman ini menjelaskan cara untuk menambahkan aturan firewall tambahan untuk script firewall Ekspres Smoothwall 2.0.

Untuk informasi tentang membuat perubahan mirip dengan kotak GPL Smoothwall 1.0 (menggunakan ipchains), lihat Hilton situs web GPL Smoothwall 1.0 .

Persyaratan:
Anda harus:
  • Sebuah Smoothwall Express 2.0 instalasi (obviously. ..).
  • Sebuah cara untuk mendapatkan prompt baris perintah pada kotak Smoothwall Anda (baik dengan masuk langsung ke kotak Smoothwall Anda, menggunakan klien SSH seperti Putty atau SSH Secure Shell , atau melalui antarmuka web Smoothwall).
Mengedit Script Firewall:
Iptables konfigurasi firewall smoothwall itu disimpan di / etc / rc.d / rc.firewall.up, sehingga untuk membuat perubahan pada firewall, Anda harus mengedit script ini.

Perhatikan bahwa Anda dapat menggunakan alias berbagai script firewall untuk referensi antarmuka jaringan merah dan hijau (yaitu, $ RED_DEV, $ GREEN_DEV), alamat ip (yaitu, $ GREEN_ADDRESS), alamat jaringan (misalnya, $ GREEN_NETADDRESS), dan subnet ( yaitu, $ GREEN_NETMASK).
Ini alias didefinisikan di / var / smoothwall / ethernet / pengaturan dan file ini tidak boleh diedit, seperti itu dihasilkan oleh program setup Smoothwall itu.
Catatan bahwa jika antarmuka merah adalah modem, ISDN, atau menggunakan PPPoE atau PPPoA, Anda tidak dapat menggunakan $ alias RED_DEV, tetapi perlu menentukan nama antarmuka yang sebenarnya, misalnya, ppp0.

Seperti halnya modifikasi Smoothwall Anda, membuat salinan cadangan dari berkas ini sebelum melakukan perubahan untuk itu, sehingga Anda dengan mudah dapat kembali ke versi kerja dikenal.

Menerapkan Perubahan Anda:
Setiap perubahan yang Anda buat untuk script firewall tidak akan segera berlaku.

Setelah melakukan perubahan pada script firewall, Anda dapat reboot Smoothwall, atau jalankan perintah berikut dari baris perintah:

 / Etc / rc.d / rc.netaddress.down; / etc / rc.d / rc.netaddress.up

Ini akan kembali menerapkan firewall (dan juga me-restart Snort, setiap VPN, dll), dan modifikasi Anda ke skrip firewall harus mengambil efek.

Jika Anda melihat kesalahan iptables segera setelah baris

 Seting firewall

maka Anda mungkin telah membuat kesalahan ketik atau lainnya dalam script firewall, dan Anda harus membuat koreksi yang sesuai.

Perhatikan bahwa Anda perlu menjalankan ini sebagai satu baris jika Anda mengakses Smoothwall Anda melalui SSH - jika Anda SSH koneksi akan dihentikan, dan Anda tidak akan dapat membangun kembali tanpa login ke konsol Smoothwall untuk menjalankan script up !

Perlu diketahui juga bahwa jika Anda menggunakan web proxy Smoothwall di mode transparan, dan menggunakan rc.netaddress.down / atas script untuk me-restart firewall tanpa reboot, sesuai aturan iptables untuk mengarahkan lalu lintas web melalui proxy tidak akan dimuat.
Pengoperasian transparent proxy Anda dapat dikembalikan dengan menjalankan berikut dari command prompt:

 / Usr / local / bin / restartsquid

Berhenti Logging Hit Blaster:
Hal ini akan menghentikan log firewall Anda dari mengisi dengan hits pada TCP port 135 dari worm Blaster.
Perhatikan bahwa Smoothwall masih akan memblokir semua lalu lintas masuk pada port 135 - hanya saja tidak logging hits lagi.

Edit / etc / rc.d / rc.firewall.up dan segera setelah baris berisi

 / Sbin / iptables-P OUTPUT ACCEPT

masukkan berikut

 # Menjatuhkan hits dari worm Blaster
 / Sbin / iptables-A INPUT-p TCP-i $ RED_DEV - dport 135-s 0/0-j DROP

Berhenti Logging Hit NetBIOS:
Hal ini akan menghentikan log firewall Anda dari mengisi dengan hits pada UDP port 137.
Perhatikan bahwa Smoothwall masih akan memblokir semua lalu lintas masuk pada port 137 - hanya saja tidak logging hits lagi.

Edit / etc / rc.d / rc.firewall.up dan segera setelah baris berisi

 / Sbin / iptables-P OUTPUT ACCEPT 

masukkan berikut

 # Drop traffic netbios
 / Sbin / iptables-A INPUT-p UDP-i $ RED_DEV - dport 137-s 0/0-j DROP

Berhenti Logging Hit dari Sasser / etc Worms:
Hal ini akan menghentikan log firewall Anda dari mengisi dengan hits pada TCP port 445 dari worm Sasser dan banyak varian nya.
Perhatikan bahwa Smoothwall masih akan memblokir semua lalu lintas masuk pada port 445 - hanya saja tidak logging hits lagi.

Edit / etc / rc.d / rc.firewall.up dan segera setelah baris berisi

 / Sbin / iptables-P OUTPUT ACCEPT

masukkan berikut

 # Menjatuhkan hits dari Sasser dan cacing lainnya
 / Sbin / iptables-A INPUT-p TCP-i $ RED_DEV - dport 445-s 0/0-j DROP

Blokir Lalu Lintas Outbound Dari PC Khusus:
Jika Anda ingin mencegah satu atau lebih PC tertentu pada jaringan hijau Anda dari mengakses internet, edit / etc / rc.d / rc.firewall.up dan segera setelah baris berisi

 / Sbin / iptables-P OUTPUT ACCEPT

masukkan berikut

 # Memblokir semua lalu lintas keluar dari PC ini
 / Sbin / iptables-A FORWARD-p ALL-i $ GREEN_DEV-s 192.168.0.3-j DROP

Untuk memblokir lalu lintas tertentu dari PC pada jaringan hijau Anda (misalnya, lalu lintas web pada port 80), menggunakan

 # Memblokir semua lalu lintas web keluar dari PC ini
 / Sbin / iptables-A FORWARD-p TCP-i $ GREEN_DEV-s 192.168.0.3 - dport 80-j DROP

Perhatikan bahwa memblokir lalu lintas keluar dengan cara ini tidak akan memiliki efek apapun jika Anda memiliki web proxy Smoothwall itu diaktifkan, dan pengguna mengkonfigurasi browser mereka untuk menggunakan proxy. Untuk memblokir lalu lintas ini juga, Anda harus memblokir lalu lintas masuk dari pengguna tersebut pada port 800 (port web proxy), atau menerapkan ACL di squid.

Anda juga dapat memblokir lalu lintas berdasarkan alamat sumber MAC:

 # Memblokir semua lalu lintas keluar dari PC ini
 / Sbin / iptables-A FORWARD-p ALL-i $ GREEN_DEV-m mac - mac-source XX: XX: XX: XX: XX: XX-j DROP

Hanya Terima lalu lintas Outbound Dari PC Khusus:
Jika Anda ingin memblokir semua lalu lintas keluar dari jaringan hijau, dan hanya memungkinkan satu atau lebih PC khusus untuk mengakses intenet, edit / etc / rc.d / rc.firewall.up dan segera setelah baris berisi

 / Sbin / iptables-P OUTPUT ACCEPT

masukkan berikut

 # Memungkinkan lalu lintas keluar dari ini PC
 / Sbin / iptables-A FORWARD-p ALL-i $ GREEN_DEV-s 192.168.0.3-j ACCEPT
 / Sbin / iptables-A FORWARD-p ALL-i $ GREEN_DEV-s 192.168.0.4-j ACCEPT
 # Memblokir semua lalu lintas keluar lain 
 / Sbin / iptables-A FORWARD-p ALL-i $ GREEN_DEV-s 0/0-j DROP

Perhatikan bahwa memblokir lalu lintas keluar dengan cara ini tidak akan memiliki efek apapun jika Anda memiliki web proxy Smoothwall itu diaktifkan, dan pengguna mengkonfigurasi browser mereka untuk menggunakan proxy. Untuk memblokir lalu lintas ini juga, Anda harus memblokir lalu lintas masuk dari pengguna tersebut pada port 800 (port web proxy), atau menerapkan ACL di squid.

Blokir Lalu Lintas Mail tidak sah Outbound
Jika Anda hanya ingin mengizinkan surat lalu lintas keluar SMTP untuk mail server tertentu (yaitu, ISP mail server Anda), dan memblokir semua lalu lintas SMTP lain outbound, Anda perlu menambahkan beberapa aturan firewall untuk mengizinkan lalu lintas SMTP ke mail server tertentu, diikuti dengan aturan untuk memblokir semua lalu lintas SMTP lain.

Ini akan memungkinkan Anda untuk mencegah orang di belakang Smoothwall Anda dari mengirim email dengan menggunakan mail server apapun yang Anda tidak ingin mereka untuk digunakan, serta memblokir setiap email outbound dari virus / worm yang mungkin telah terinfeksi salah satu PC di hijau Anda jaringan.

Untuk melakukannya, edit / etc / rc.d / rc.firewall.up dan segera setelah baris berisi

 / Sbin / iptables-P OUTPUT ACCEPT

masukkan berikut

 # Mengizinkan lalu lintas SMTP keluar ke server mail tertentu
 / Sbin / iptables-A FORWARD-p TCP-i $ GREEN_DEV-d wxyz - dport 25-j ACCEPT
 # Memblokir semua lalu lintas SMTP lain keluar 
 / Sbin / iptables-A FORWARD-p TCP-i $ GREEN_DEV-d 0/0 - dport 25-j DROP

dan mengganti wxyz dengan alamat IP dari mail server anda ingin mengizinkan.

Jika anda ingin mengizinkan outbound SMTP ke server mail ganda, hanya menambahkan beberapa aturan sebelum aturan memblokir, satu untuk setiap mail server.

Atau, jika Anda memiliki sebuah mail server pada jaringan Anda hijau atau oranye, dan hanya ingin mengizinkan outbound SMTP dari itu, dan memblokir SMTP outbound dari semua PC lain pada jaringan Anda berwarna hijau dan oranye, gunakan berikut:

 # Memblokir semua kecuali outbound SMTP dari alamat IP tertentu
 / Sbin / iptables-A FORWARD-p TCP-i $ GREEN_DEV-s!  192.168.0.2 - dport 25-j DROP
 / Sbin / iptables-A FORWARD-p TCP-i $ ORANGE_DEV-s!  192.168.0.2 - dport 25-j DROP

Aturan ini akan memblokir semua lalu lintas SMTP outbound dari semua PC di belakang Smoothwall Anda, kecuali 192.168.0.2.

Catatan:
Perhatikan bahwa beberapa dari perbaikan Smoothwall mungkin menimpa rc.firewall.up dengan versi lebih baru, jadi jika Anda menginstal perbaikan baru, mungkin menimpa perubahan Anda, jadi selalu menyimpan salinan cadangan dari rc.firewall.up Anda sebelum patch Smoothie Anda , sehingga Anda dapat mengajukan permohonan kembali perubahan terhadap rc.firewall.up baru.

Demikian pula, ketika melakukan instalasi baru Smoothwall, hanya membuat perubahan ini setelah Anda sepenuhnya ditambal instalasi.

Referensi:
Netfilter / iptables project
Title : Setting Iptables Smoothwall Router Proxy
Description : Halaman ini menjelaskan cara untuk menambahkan aturan firewall tambahan untuk script firewall Ekspres Smoothwall 2.0. Untuk informasi te...

0 Response to "Setting Iptables Smoothwall Router Proxy"

Posting Komentar