iptables и shorewall в R9/R10 (теоретические вопросы)

[mexx400]

Вопрос навеян вот этим - https://forum.rosalinux.ru/viewtopic.ph ... les#p93842

Iptables же

1. Если я правильно пониманию, у нас в R9/R10 правила iptables конфигурирует shorewall?
2. Которым частично можно управлять с помощью drakfirewall?
3. Он (shorewall) конфигурирует iptables в соответствии со своими правилами. И без соответствующего навыка правильно "вклиниться" в эти правила синтаксисом iptables не так уж и просто. Или я где-то ошибаюсь?
4. Как поступают заинтересованные пользователи - осваивают жизнь с shorewall или сносят его вместе с drakfirewall и работают в "чистом" iptables?
5. Правила shorewall содержатся в самой программе или "допиливаются" разработчиками ROSA?
6. У нас версия 4.6.1 "из коробки", последняя стабильная на сайте 5.1 - стоит ли / возможно ли обновляться?
7. И по drakfirewall - что есть интерфейс "Ethernet: +"? В смысле "-i +"?
Много вопросов задал, сорри, но надо для "просветления"

[Yamah]

Еще со времен Мандривы я понял, что парой проще отказаться от надстройки над IPTABLES.
Точнее меня этому на старом ЛинуксФоруме (теперь УФО-шке) научили.

Поэтому, когда мне нужно было защищать систему системным же файерволом, я отрубал надстройки и запускал нужные правила iptables скриптом при загрузке.
Но это мое решение. Но оно позволяло больше, чем стандартные решения. Например, использовать подключения к двум провайдерам с разграничением трафика по каналам.

Если вы хотите использовать Shorewall, то можете почитать по основам работы тут:
https://losst.ru/nastrojka-shorewall-dl ... inayushhih
https://habr.com/post/80271/

Отвечу на ваши вопросы.
1. Да.
2. Да. Но лучше напрямую в конфигах.
3. Любые правила iptables, которые добавляются после запуска основной службы настройки файервола будут работать до тех пор пока служба настройки файервола изменит правила.
4. Про себя ответил ранее.
5. Все правила хранятся в /etc/shorewall. Не важно кто из добавляет.
6. Если соберете пакет в репозиторий Fresh, то почему бы и нет.
7. Ссылки на мануальчики дал выше.

[mexx400]

я отрубал надстройки и запускал нужные правила iptables скриптом при загрузке

То есть сносили drakfirewall и shorewall? Никаких последствий для системы не будет?

Если вы хотите использовать Shorewall, то можете почитать по основам работы тут:

В том и дело, что изучать специфику очередной надстройки над iptables, настройка которого не вызывает особых проблем после чтения tutorial, как бы желания нет.

Все правила хранятся в /etc/shorewall. Не важно кто из добавляет

Это понятно. Я немного не об этом. Настроен ли он из "коробки" (разработчиками или в ROSA) как рабочий для каких-то конфигураций или это "голый" инструмент, который "из коробки" ничего не делает, а просто присутствует?

Точнее меня этому на старом ЛинуксФоруме (теперь УФО-шке) научили

Который .tech знаю, а какой еще?

[Yamah]

То есть сносили drakfirewall и shorewall? Никаких последствий для системы не будет?

Удалять мне лень. Я просто в службах отключить shorewall.

В том и дело, что изучать специфику очередной надстройки над iptables, настройка которого не вызывает особых проблем после чтения tutorial, как бы желания нет.

Тогда надстройка только лишней будет.
Проще скрпт написать с командами старт, стоп, статус и сделать systemd юнит для его запуска.

В теме про RELS у меня есть в аттачах готовый скрипт по настройке IPTables для шлюза сразу на два провайдера и несколько локальных сетей. Если надо, могу выложить обновленную версию. Но она для RELS 6.9.

Это понятно. Я немного не об этом. Настроен ли он из "коробки" (разработчиками или в ROSA) как рабочий для каких-то конфигураций или это "голый" инструмент, который "из коробки" ничего не делает, а просто присутствует?

Ответ на ваш вопрос есть в [urlhttps://abf.io/import/shorewall]исходниках пакета[/url] sharewall.

Код: Выделить всё

--- shorewall-4.6.3.4.orig/configfiles/policy	2014-10-16 09:47:22.000000000 +0400
+++ shorewall-4.6.3.4/configfiles/policy	2014-10-16 09:47:37.000000000 +0400
@@ -9,3 +9,5 @@
 ###############################################################################
 #SOURCE	DEST	POLICY		LOG	LIMIT:		CONNLIMIT:
 #				LEVEL	BURST		MASK
+fw all ACCEPT
+net all ACCEPT
diff -Naur shorewall-4.6.3.4.orig/configfiles/zones shorewall-4.6.3.4/configfiles/zones
--- shorewall-4.6.3.4.orig/configfiles/zones	2014-10-16 09:47:22.000000000 +0400
+++ shorewall-4.6.3.4/configfiles/zones	2014-10-16 09:54:05.000000000 +0400
@@ -10,3 +10,4 @@
 #ZONE	TYPE		OPTIONS		IN			OUT
 #					OPTIONS			OPTIONS
 fw	firewall
+net     ipv4

И дает это такие настройки iptables

Код: Выделить всё

iptables -L
Chain INPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere            
net-fw     all  --  anywhere             anywhere            
Drop       all  --  anywhere             anywhere            
LOG        all  --  anywhere             anywhere             LOG level info prefix "Shorewall:INPUT:DROP:"
DROP       all  --  anywhere             anywhere            

Chain FORWARD (policy DROP)
target     prot opt source               destination         
Reject     all  --  anywhere             anywhere            
LOG        all  --  anywhere             anywhere             LOG level info prefix "Shorewall:FORWARD:REJECT:"
reject     all  --  anywhere             anywhere            [goto] 

Chain OUTPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere            
fw-net     all  --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere            

Chain Broadcast (2 references)
target     prot opt source               destination         
DROP       all  --  anywhere             anywhere             ADDRTYPE match dst-type BROADCAST
DROP       all  --  anywhere             anywhere             ADDRTYPE match dst-type MULTICAST
DROP       all  --  anywhere             anywhere             ADDRTYPE match dst-type ANYCAST

Chain Drop (1 references)
target     prot opt source               destination         
           all  --  anywhere             anywhere            
Broadcast  all  --  anywhere             anywhere            
ACCEPT     icmp --  anywhere             anywhere             icmp fragmentation-needed /* Needed ICMP types */
ACCEPT     icmp --  anywhere             anywhere             icmp time-exceeded /* Needed ICMP types */
DROP       all  --  anywhere             anywhere             ctstate INVALID                                                                               
DROP       udp  --  anywhere             anywhere             multiport dports loc-srv,microsoft-ds /* SMB */                                               
DROP       udp  --  anywhere             anywhere             udp dpts:netbios-ns:netbios-ssn /* SMB */                                                     
DROP       udp  --  anywhere             anywhere             udp spt:netbios-ns dpts:1024:65535 /* SMB */                                                  
DROP       tcp  --  anywhere             anywhere             multiport dports loc-srv,netbios-ssn,microsoft-ds /* SMB */                                   
DROP       udp  --  anywhere             anywhere             udp dpt:1900 /* UPnP */                                                                       
DROP       tcp  --  anywhere             anywhere             tcp flags:!FIN,SYN,RST,ACK/SYN
DROP       udp  --  anywhere             anywhere             udp spt:domain /* Late DNS Replies */

Chain Reject (1 references)
target     prot opt source               destination         
           all  --  anywhere             anywhere            
Broadcast  all  --  anywhere             anywhere            
ACCEPT     icmp --  anywhere             anywhere             icmp fragmentation-needed /* Needed ICMP types */
ACCEPT     icmp --  anywhere             anywhere             icmp time-exceeded /* Needed ICMP types */
DROP       all  --  anywhere             anywhere             ctstate INVALID
reject     udp  --  anywhere             anywhere             multiport dports loc-srv,microsoft-ds /* SMB */
reject     udp  --  anywhere             anywhere             udp dpts:netbios-ns:netbios-ssn /* SMB */
reject     udp  --  anywhere             anywhere             udp spt:netbios-ns dpts:1024:65535 /* SMB */
reject     tcp  --  anywhere             anywhere             multiport dports loc-srv,netbios-ssn,microsoft-ds /* SMB */
DROP       udp  --  anywhere             anywhere             udp dpt:1900 /* UPnP */
DROP       tcp  --  anywhere             anywhere             tcp flags:!FIN,SYN,RST,ACK/SYN
DROP       udp  --  anywhere             anywhere             udp spt:domain /* Late DNS Replies */

Chain dynamic (1 references)
target     prot opt source               destination         

Chain fw-net (1 references)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             anywhere            

Chain logdrop (0 references)
target     prot opt source               destination         
DROP       all  --  anywhere             anywhere            

Chain logflags (5 references)
target     prot opt source               destination         
LOG        all  --  anywhere             anywhere             LOG level info ip-options prefix "Shorewall:logflags:DROP:"
DROP       all  --  anywhere             anywhere            

Chain logreject (0 references)
target     prot opt source               destination         
reject     all  --  anywhere             anywhere            

Chain net-fw (1 references)
target     prot opt source               destination         
dynamic    all  --  anywhere             anywhere             ctstate INVALID,NEW,UNTRACKED
tcpflags   tcp  --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             anywhere            

Chain reject (6 references)
target     prot opt source               destination         
DROP       all  --  anywhere             anywhere             ADDRTYPE match src-type BROADCAST
DROP       all  --  base-address.mcast.net/4  anywhere            
DROP       igmp --  anywhere             anywhere            
REJECT     tcp  --  anywhere             anywhere             reject-with tcp-reset
REJECT     udp  --  anywhere             anywhere             reject-with icmp-port-unreachable
REJECT     icmp --  anywhere             anywhere             reject-with icmp-host-unreachable
REJECT     all  --  anywhere             anywhere             reject-with icmp-host-prohibited

Chain shorewall (0 references)
target     prot opt source               destination         
           all  --  anywhere             anywhere             recent: SET name: %CURRENTTIME side: source mask: 255.255.255.255

Chain tcpflags (1 references)
target     prot opt source               destination         
logflags   tcp  --  anywhere             anywhere            [goto]  tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN,PSH,URG
logflags   tcp  --  anywhere             anywhere            [goto]  tcp flags:FIN,SYN,RST,PSH,ACK,URG/NONE
logflags   tcp  --  anywhere             anywhere            [goto]  tcp flags:SYN,RST/SYN,RST
logflags   tcp  --  anywhere             anywhere            [goto]  tcp flags:FIN,SYN/FIN,SYN
logflags   tcp  --  anywhere             anywhere            [goto]  tcp spt:0 flags:FIN,SYN,RST,ACK/SYN

Точнее меня этому на старом ЛинуксФоруме (теперь УФО-шке) научили

Который .tech знаю, а какой еще?

UFO - UnixForum.Org

[mexx400]

Yamah
Спасибо за ответы, мысль ясна.

UFO - UnixForum.Org

Этот знаю, есть там Думал еще какой именно LinuxForum.