Debian Testing 上普通用户类型的 shorewall 配置

dieken_qfz

Shorewall 是一款强大又方便的防火墙配置包，下面是普通用户
（不作为路由，只保护防火墙所在机器）的配置方法，非常简单：

0. aptitude install shorewall-perl

1. cp /usr/share/doc/shorewall-common/examples/one-interface/{interfaces,policy,
rules,zones} /etc/shorewall

2. chmod 600 /etc/shorewall/*，这一步文档没说，只是出于安全强迫症。

3. 修改 /etc/default/shorewall，将 startup=0 改成 startup=1

4. 修改 /etc/shorewall/interfaces，这里默认是 eth0，我这里有两块网卡 eth0 和
eth1，就把 eth0 那行拷贝粘贴再替换 eth0 为 eth1

5. 修改 /etc/shorewall/rules，添加 SSH 访问，我可能偶尔需要这个传文件：

# Allow SSH connection from the internet.

SSH/ACCEPT      net             $FW

执行 shorewall start，完毕。

在 shorewall start 前后可以从其他机器 ping 自己试验，如果之前
能 ping 通（之前没配置防火墙）之后不能 ping 通，那么就 ok 了。

注意 /etc/init.d/shorewall stop 对应的是 shorewall clear，作用是
把 iptables 规则清空。shorewall stop 则是进入维护模式，参见
man shorewall 的说明。


shorewall show log              最后二十条 netfilter log
shorewall logwatch              即时监视 netfilter 事件
shorewall dump                  shorewall 运行情况报表

想了解原理的可以参考 http://www.shorewall.net/standalone.htm。

favoyun

一直用来作路由，配置好后，一直就没有更改过。

superjet

shorewall上手要困难些，开始时可以简单设下policy，interfaces，masq，zones等即可，后期精确调整时就要多注意参数及别的设置了

FireMeteor

服务器上用iptables习惯了，自己的机器上也懒得开防火墙了，反正也不开service

fender010

好帖，正好想直到防火墙的相关内容，

表示一下支持，

和安全相关的东西我不太懂，问几个问题：

1.我是最简化安装的系统，是不是就没有防火墙啊？

2.如果不开有没有什么影响呢？

3.如果开了这个是不是就不能远程登陆了？

dieken_qfz

Post by fender010;1843537
好帖，正好想直到防火墙的相关内容，

表示一下支持，

和安全相关的东西我不太懂，问几个问题：

1.我是最简化安装的系统，是不是就没有防火墙啊？

2.如果不开有没有什么影响呢？

3.如果开了这个是不是就不能远程登陆了？

1. Debian  默认安装是没有防火墙的。
2. 有安全风险罢了，加了防火墙心里踏实点。
3. 可以设置的，比如我上面就允许了任意 IP 的 SSH 访问，
如果觉得任意 IP 有风险的话可以再研究下 shorewall
文档，写的非常好。

fender010

最近很忙，有空一定看看相关内容，感谢回复。

我对假设服务器之类的没有太大兴趣，但是对自己电脑的安全还是很有兴趣的。