Tài liệu hướng dẫn cài đặt , cấu hình dịch vụ bức tường lửa Shorewall
Trang 1Tài liệu hướng dẫn cài đặt, cấu hình dịch
vụ bức tường lửa Shorewall.
Trang 2Tài liệu hướng dẫn cài đặt shorewall, 11.10.07 Thông tin về tài liệu
Thông tin cơ bản về tài liệu:
Ngày sửa cuối cùng: 10/11/2007 12:01 AM
Lịch sử thay đổi của tài liệu:
Lưu ý khi sử dụng tài liệu
1 Tất cả những tên riêng xuất hiện trong tài liệu này đều thuộc sở hữu của công ty
VietSoftware và người sở hữu tài liệu
Trang 3Tài liệu hướng dẫn cài đặt shorewall, 11.10.07 Giới thiệu chung
Mục lục
1 Giới thiệu chung 2
1.1 Mục đích tài liệu 2
1.2 Phạm vi của tài liệu 2
1.3 Cấu trúc của tài liệu 2
2 Đặc tả dịch vụ 3
2.1 Giới thiệu 3
2.2 Chức năng dịch vụ 3
3 Yêu cầu hệ thống 4
3.1 Phần cứng 4
3.2 Phần mềm 4
4 Cài đặt dịch vụ 5
4.1 Tài nguyên 5
4.2 Các bước cài đặt 5
4.3 Thiết lập cấu hình dịch vụ 5
5 Tài liệu tham khảo 9
Trang 4Tài liệu hướng dẫn cài đặt shorewall, 11.10.07 Giới thiệu chung
1.Giới thiệu chung
1.1Mục đích tài liệu
Tài liệu giành cho các cán bộ kỹ thuật sử dụng cài đặt và cấu hình dịch vụ bức tường lửa Shorewall
1.2Phạm vi của tài liệu
Phạm vi của tài liệu áp dụng cho quản trị hệ thống tiến hành cài đặt và cấu hình dịch
vụ bức tường lửa Shorewall
1.3Cấu trúc của tài liệu
Tài liệu bao gồm những phần sau:
Phần 1 Giới thiệu bao gồm những thông tin CƠ BẢN về mục đích, phạm vi và cấu
trúc tài liệu
Phần 2 Đặc tả dịch vụ bao gồm mô tả về đặc tả dịch vụ (giới thiệu sơ bộ tính năng
của dịch vụ)
Phần 3 Yêu cầu hệ thống mô tả các yêu cầu của hệ thống (phần cứng và phần
mềm) và các dịch vụ cần phải cài đặt trước hay phụ thuộc (dependency)
Phần 4 Cài đặt dịch vụ trình bày các bước cài đặt dịch vụ cụ thể.
Phần 5 Kiểm tra hoạt động của dịch vụ giải thích cơ chế cho phép xác dịnh nội
dung hệ thống cần chuẩn bị từ phân hệ quản trị nội dung
Phần 6 Tài liệu tham khảo các thông tin về tài liệu tham khảo.
Trụ sở chính: Tầng 8, 51 Lê Đại Hành, Hà Nội, Việt Nam Chi nhánh: Phòng 410, Công viên phần mềm SaiGon
Điện thoại: (84-4) 9745699; Fax: (84-4)9745700; Điện thoại: (84-8) 9322781; Fax: (84-8) 9322782
Trang 5Tài liệu hướng dẫn cài đặt shorewall, 11.10.07 Tài liệu tham khảo
2.Đặc tả dịch vụ
2.1Giới thiệu
Dịch vụ bức tường lửa Shorewall là một dịch vụ cung cấp khả năng quản lý, điều khiển truyền thông của các hệ thống mạng
2.2Chức năng dịch vụ
Dịch vụ bức tường lửa Shorewall là một bức tường lửa xây dựng trên Netfilter / Iptables của dòng hệ điều hành Linux Trong giải pháp chúng tôi, Shorewall được cài đặt trên nhiều hệ điều hành khác nhau, đều đã thử nghiệm thành công Redhat 9, Redhat Enterprise Linux, Fedora Core, Asianux Dịch vụ bức tường lửa Shorewall cung cấp khả năng quản lý, điều khiển truyền thông giữa các vùng mạng trong hệ thống
Trang 6Tài liệu hướng dẫn cài đặt shorewall, 11.10.07 Tài liệu tham khảo
3.Yêu cầu hệ thống
3.1Phần cứng
1. CPU:
Cài đặt cùng với dịch vụ ủy quyền truy cập ( Proxy ): 2 GHZ trở lên
Chỉ cài đặt dịch vụ bức tường lửa: 1 GHZ trở lên
2. Dung lượng đĩa cứng (Tuỳ thuộc vào ứng dụng cài đặt)
Tối thiểu: 3 GB
Khuyến cáo: 20 GB
3. Bộ nhớ
Cài đặt cùng với dịch vụ ủy quyền truy cập ( Proxy ): 1 GB trở lên
Chỉ cài đặt dịch vụ bức tường lửa: 512 MB trở lên
4. Card mạng: số lượng tùy thuộc số vùng mạng, tối thiều là 2 cái
3.2Phần mềm
Tài liệu này viết khi cài đặt trên Redhat 9.0
Hệ điều hành Redhat 9 được cài đặt trên máy, gói phần mềm shorewall-2.5.6.tar.bz2
có thể download tại địa chỉ: http://www.shorewall.net
Trụ sở chính: Tầng 8, 51 Lê Đại Hành, Hà Nội, Việt Nam Chi nhánh: Phòng 410, Công viên phần mềm SaiGon
Điện thoại: (84-4) 9745699; Fax: (84-4)9745700; Điện thoại: (84-8) 9322781; Fax: (84-8) 9322782
Trang 7Tài liệu hướng dẫn cài đặt shorewall, 11.10.07 Tài liệu tham khảo
4.Cài đặt dịch vụ
4.1Tài nguyên
Download gói cài đặt trên trang :
http://www.shorewall.net
4.2Các bước cài đặt
Copy file shorewall-2.5.6.tar.bz2 vào thư mục /home:
Giải nén file shorewall-2.5.6.tar.bz2:
tar xfz /home/shorewall-2.5.6.tar.bz2
tar -jxvf shorewall-2.5.6.tar.bz2
Cài đặt:
/home/shorewall-2.5.6/install.sh
4.3Thiết lập cấu hình dịch vụ
Sau khi cài đặt, các thư mục chứa các file của dịch vụ là: /etc/shorewall; /usr/share/shorewall; các file khác: /etc/init.d/shorewall; /sbin/shorewall
Trong trường hợp này ta xét mô hình gồm 03 vùng mang: LAN, DMZ, Internet ( nối với ADSL router )
Cấu hình:
File zones:
###############################################################################
net Internet The big bad Internet (Vùng mạng Internet )
File interface
Trang 8Tài liệu hướng dẫn cài đặt shorewall, 11.10.07 Tài liệu tham khảo
###############################################################################
#ZONE INTERFACE BROADCAST OPTIONS GATEWAY
loc eth2 192.168.10.255 arp_filter
dmz eth1 192.168.254.255 arp_filter
#LAST LINE ADD YOUR ENTRIES BEFORE THIS ONE DO NOT REMOVE
Giải thích cấu hình:
Với mỗi vùng mạng, có một giao tiếp mangk, trên đây là cấu hình các giao tiếp ứng với các vùng mạng tương ứng và thông tin IP của nó
File policy:
###############################################################################
#LAST LINE DO NOT REMOVE
Giải thích cấu hình:
Shorewall sẽ xét các luật ở file rules trước rồi mới xét đến các luật ở file policy
Default policy:
Loc all DROP: từ LAN đi đến tất cả đều DROP Bởi vậy các port mà ta muốn mở ra cho các máy trong LAN ra internet hoặc DMZ thì phải cấu hình ở file rules
Tương tự cho các dòng khác:
dmz all DROP: từ DMZ đi đến tất cả đều DROP, lưu thông tin trong nhật ký
net all DROP: từ Internet đi đến tất cả đều DROP, lưu thông tin trong nhật ký
File rules
Trụ sở chính: Tầng 8, 51 Lê Đại Hành, Hà Nội, Việt Nam Chi nhánh: Phòng 410, Công viên phần mềm SaiGon
Điện thoại: (84-4) 9745699; Fax: (84-4)9745700; Điện thoại: (84-8) 9322781; Fax: (84-8) 9322782
Trang 9Tài liệu hướng dẫn cài đặt shorewall, 11.10.07 Tài liệu tham khảo
#LAST LINE ADD YOUR ENTRIES BEFORE THIS ONE DO NOT REMOVE
Giải thích cấu hình
Dòng này thiết lập cho phép traffic TCP với port 110 từ LAN, đến DMZ
Dòng này để thực hiện Destination NAT: khi traffic TCP, port là 389 hoặc 8900 đến từ DMZ, đích đến là IP-DMZ của firewall, thì firewall thực hiện đổi đích đến là máy trong LAN, IP là 192.168.10.5 Trong trường hợp này, khi các máy trong DMZ connect đến port
389 máy firewall với IP: 192.168.254.10 thì sẽ được thông tin từ LDAP server trên máy 192.168.10.5
Dòng này redirect tất cả traffic TCP, port là 80 (www), đích đến là những máy không có địa chỉ thuộc dải 192.168.254.0/24 sang dịch vụ Squid ( port là 3128 ).Dòng này kết hợp với cấu hình Squid để thiết lập transparent proxy cho tất cả web traffic, các máy chỉ cần trỏ default gateway đến firewall ( điều này được nói rỏ hơn trong phần config Squid)
File masq
###############################################################################
IPSEC
#LAST LINE ADD YOUR ENTRIES ABOVE THIS LINE DO NOT REMOVE
Giải thích cấu hình
Những gói tin đi từ lớp mạng 192.168.2.0/24, đi qua firewall, đi tiếp qua giao tiếp mạng eth0 (những gói tin đi đến Internet) thì sẽ được chuyển đổi địa chỉ nguồn thành 10.0.0.1 Tương tự: Những gói tin đi từ lớp mạng 192.168.2.0/24, đi qua firewall, đi tiếp qua giao tiếp mạng eth0 (những gói tin đi đến DMZ) thì sẽ được chuyển đổi địa chỉ nguồn thành 192.168.254.10
Chú ý: Với mỗi file trên, cách cấu hình, cú pháp được miêu tả khá chi tiết
Sau khi cấu hình xong ta có thế kiểm tra cấu hình xem có hoạt động tốt không:
#/sbin/shorewall check
Khởi động dịch vụ:
#service shorewall start
Trang 10Tài liệu hướng dẫn cài đặt shorewall, 11.10.07 Tài liệu tham khảo
Trụ sở chính: Tầng 8, 51 Lê Đại Hành, Hà Nội, Việt Nam Chi nhánh: Phòng 410, Công viên phần mềm SaiGon
Điện thoại: (84-4) 9745699; Fax: (84-4)9745700; Điện thoại: (84-8) 9322781; Fax: (84-8) 9322782
Trang 11Tài liệu hướng dẫn cài đặt shorewall, 11.10.07 Tài liệu tham khảo
5.Tài liệu tham khảo
http://shorewall.net
http://iptables-tutorial.frozentux.net/iptables-tutorial.html