Đang tải... (xem toàn văn)
Tài liệu hướng dẫn cài đặt , cấu hình dịch vụ bức tường lửa Shorewall
Tài liệu hướng dẫn cài đặt, cấu hình dịch vụ bức tường lửa Shorewall.Tác giả: Nguyễn Văn ThànhPhiên bản:3Ngày sửa: 10/11/2007 11:01 PMMô tả: Ghi chú đối với vài dòng cho tài liệu kỹ thuật của dự án Tài liệu hướng dẫn cài đặt shorewall, 11.10.07 Thông tin về tài liệuThông tin cơ bản về tài liệu:Tác giả: Nguyễn Văn ThànhNgười duyệt: Nguyễn Văn ThànhXác nhận Nguyễn Văn ThànhTiêu đề: Tiêu đề của tài liệuDự án: Tên dự ánPhiên bản:0.0 (3)Số trang:11Ngày tạo: 10/11/2007 11:01 AMNgày sửa cuối cùng: 10/11/2007 12:01 AMLiên hệ: nguyen.van.thanh@vietsoftware.comLịch sử thay đổi của tài liệu:Version Date Person Description0.0 2005-07-30 Nguyễn Văn Thành Basic version Lưu ý khi sử dụng tài liệu1. Tất cả những tên riêng xuất hiện trong tài liệu này đều thuộc sở hữu của công ty VietSoftware và người sở hữu tài liệu. Tài liệu hướng dẫn cài đặt shorewall, 11.10.07 Giới thiệu chungMục lục1. Giới thiệu chung 2 1.1 Mục đích tài liệu 2 1.2 Phạm vi của tài liệu 2 1.3 Cấu trúc của tài liệu . 2 2. Đặc tả dịch vụ 3 2.1 Giới thiệu . 3 2.2 Chức năng dịch vụ . 3 3. Yêu cầu hệ thống . 4 3.1 Phần cứng . . 4 3.2 Phần mềm 4 4. Cài đặt dịch vụ 5 4.1 Tài nguyên . 5 4.2 Các bước cài đặt 5 4.3 Thiết lập cấu hình dịch vụ 5 5. Tài liệu tham khảo 9 Trụ sở chính: Tầng 8, 51 Lê Đại Hành, Hà Nội, Việt Nam Chi nhánh: Phòng 410, Công viên phần mềm SaiGonP.O. BOX 426 BOHO, HANOI 10000 VIETNAM; 123 Trương Định, Quận 3, tpHCMĐiện thoại: (84-4) 9745699; Fax: (84-4)9745700; Điện thoại: (84-8) 9322781; Fax: (84-8) 9322782E-mail: contact@vietsoftware.com; Website: www.vietsoftware.com 1 Tài liệu hướng dẫn cài đặt shorewall, 11.10.07 Giới thiệu chung1.Giới thiệu chung1.1Mục đích tài liệuTài liệu giành cho các cán bộ kỹ thuật sử dụng cài đặt và cấu hình dịch vụ bức tường lửa Shorewall.1.2Phạm vi của tài liệuPhạm vi của tài liệu áp dụng cho quản trị hệ thống tiến hành cài đặt và cấu hình dịch vụ bức tường lửa Shorewall.1.3Cấu trúc của tài liệuTài liệu bao gồm những phần sau: Phần 1. Giới thiệu bao gồm những thông tin CƠ BẢN về mục đích, phạm vi và cấu trúc tài liệu.Phần 2. Đặc tả dịch vụ bao gồm mô tả về đặc tả dịch vụ (giới thiệu sơ bộ tính năng của dịch vụ). Phần 3. Yêu cầu hệ thống mô tả các yêu cầu của hệ thống (phần cứng và phần mềm) và các dịch vụ cần phải cài đặt trước hay phụ thuộc (dependency).Phần 4. Cài đặt dịch vụ trình bày các bước cài đặt dịch vụ cụ thể.Phần 5. Kiểm tra hoạt động của dịch vụ giải thích cơ chế cho phép xác dịnh nội dung hệ thống cần chuẩn bị từ phân hệ quản trị nội dung.Phần 6. Tài liệu tham khảo các thông tin về tài liệu tham khảo.Trụ sở chính: Tầng 8, 51 Lê Đại Hành, Hà Nội, Việt Nam Chi nhánh: Phòng 410, Công viên phần mềm SaiGonP.O. BOX 426 BOHO, HANOI 10000 VIETNAM; 123 Trương Định, Quận 3, tpHCMĐiện thoại: (84-4) 9745699; Fax: (84-4)9745700; Điện thoại: (84-8) 9322781; Fax: (84-8) 9322782E-mail: contact@vietsoftware.com; Website: www.vietsoftware.com 2 Tài liệu hướng dẫn cài đặt shorewall, 11.10.07 Tài liệu tham khảo2.Đặc tả dịch vụ2.1Giới thiệuDịch vụ bức tường lửa Shorewall là một dịch vụ cung cấp khả năng quản lý, điều khiển truyền thông của các hệ thống mạng.2.2Chức năng dịch vụDịch vụ bức tường lửa Shorewall là một bức tường lửa xây dựng trên Netfilter / Iptables của dòng hệ điều hành Linux. Trong giải pháp chúng tôi, Shorewall được cài đặt trên nhiều hệ điều hành khác nhau, đều đã thử nghiệm thành công Redhat 9, Redhat Enterprise Linux, Fedora Core, Asianux . Dịch vụ bức tường lửa Shorewall cung cấp khả năng quản lý, điều khiển truyền thông giữa các vùng mạng trong hệ thống.Trụ sở chính: Tầng 8, 51 Lê Đại Hành, Hà Nội, Việt Nam Chi nhánh: Phòng 410, Công viên phần mềm SaiGonP.O. BOX 426 BOHO, HANOI 10000 VIETNAM; 123 Trương Định, Quận 3, tpHCMĐiện thoại: (84-4) 9745699; Fax: (84-4)9745700; Điện thoại: (84-8) 9322781; Fax: (84-8) 9322782E-mail: contact@vietsoftware.com; Website: www.vietsoftware.com 3 Tài liệu hướng dẫn cài đặt shorewall, 11.10.07 Tài liệu tham khảo3.Yêu cầu hệ thống3.1Phần cứng1. CPU: Cài đặt cùng với dịch vụ ủy quyền truy cập ( Proxy ): 2 GHZ trở lên Chỉ cài đặt dịch vụ bức tường lửa: 1 GHZ trở lên2. Dung lượng đĩa cứng (Tuỳ thuộc vào ứng dụng cài đặt) Tối thiểu: 3 GB Khuyến cáo: 20 GB3. Bộ nhớ Cài đặt cùng với dịch vụ ủy quyền truy cập ( Proxy ): 1 GB trở lên Chỉ cài đặt dịch vụ bức tường lửa: 512 MB trở lên4. Card mạng: số lượng tùy thuộc số vùng mạng, tối thiều là 2 cái.3.2Phần mềmTài liệu này viết khi cài đặt trên Redhat 9.0Hệ điều hành Redhat 9 được cài đặt trên máy, gói phần mềm shorewall-2.5.6.tar.bz2 có thể download tại địa chỉ: http://www.shorewall.net.Trụ sở chính: Tầng 8, 51 Lê Đại Hành, Hà Nội, Việt Nam Chi nhánh: Phòng 410, Công viên phần mềm SaiGonP.O. BOX 426 BOHO, HANOI 10000 VIETNAM; 123 Trương Định, Quận 3, tpHCMĐiện thoại: (84-4) 9745699; Fax: (84-4)9745700; Điện thoại: (84-8) 9322781; Fax: (84-8) 9322782E-mail: contact@vietsoftware.com; Website: www.vietsoftware.com 4 Tài liệu hướng dẫn cài đặt shorewall, 11.10.07 Tài liệu tham khảo4.Cài đặt dịch vụ4.1Tài nguyênDownload gói cài đặt trên trang : http://www.shorewall.net.4.2Các bước cài đặt Copy file shorewall-2.5.6.tar.bz2 vào thư mục /home:Giải nén file shorewall-2.5.6.tar.bz2:tar xfz /home/shorewall-2.5.6.tar.bz2tar -jxvf shorewall-2.5.6.tar.bz2Cài đặt:/home/shorewall-2.5.6/install.sh4.3Thiết lập cấu hình dịch vụSau khi cài đặt, các thư mục chứa các file của dịch vụ là: /etc/shorewall; /usr/share/shorewall; các file khác: /etc/init.d/shorewall; /sbin/shorewallTrong trường hợp này ta xét mô hình gồm 03 vùng mang: LAN, DMZ, Internet ( nối với ADSL router ).Cấu hình:File zones:################################################################################ZONE DISPLAY COMMENTSloc Local Local Network (Vùng mạng LAN)dmz DMZ Demilitarized zone (Vùng mạng chia sẻ ).net Internet The big bad Internet (Vùng mạng Internet )File interfaceTrụ sở chính: Tầng 8, 51 Lê Đại Hành, Hà Nội, Việt Nam Chi nhánh: Phòng 410, Công viên phần mềm SaiGonP.O. BOX 426 BOHO, HANOI 10000 VIETNAM; 123 Trương Định, Quận 3, tpHCMĐiện thoại: (84-4) 9745699; Fax: (84-4)9745700; Điện thoại: (84-8) 9322781; Fax: (84-8) 9322782E-mail: contact@vietsoftware.com; Website: www.vietsoftware.com 5 Tài liệu hướng dẫn cài đặt shorewall, 11.10.07 Tài liệu tham khảo################################################################################ZONE INTERFACE BROADCAST OPTIONS GATEWAYloc eth2 192.168.10.255 arp_filterdmz eth1 192.168.254.255 arp_filternet eth0 10.0.0.255 10.0.0.2#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVEGiải thích cấu hình:Với mỗi vùng mạng, có một giao tiếp mangk, trên đây là cấu hình các giao tiếp ứng với các vùng mạng tương ứng và thông tin IP của nóFile policy:################################################################################SOURCE DEST POLICY LOG LIMIT:BURST# LEVELloc all DROPdmz all DROP infonet all DROP infofw all ACCEPT#LAST LINE -- DO NOT REMOVEGiải thích cấu hình:Shorewall sẽ xét các luật ở file rules trước rồi mới xét đến các luật ở file policy.Default policy: Loc all DROP: từ LAN đi đến tất cả đều DROP. Bởi vậy các port mà ta muốn mở ra cho các máy trong LAN ra internet hoặc DMZ thì phải cấu hình ở file rules.Tương tự cho các dòng khác:dmz all DROP: từ DMZ đi đến tất cả đều DROP, lưu thông tin trong nhật kýnet all DROP: từ Internet đi đến tất cả đều DROP, lưu thông tin trong nhật kýFile rules# PORT PORT(S) DESTLIMIT GROUPACCEPT loc dmz udp 53ACCEPT loc net udp 53ACCEPT loc net tcp 80,8900,389,443,25,110,21,22ACCEPT loc dmz tcp 80,8900,389,443,25,110,21,22ACCEPT loc fw tcp 22ACCEPT dmz fw tcp 22Trụ sở chính: Tầng 8, 51 Lê Đại Hành, Hà Nội, Việt Nam Chi nhánh: Phòng 410, Công viên phần mềm SaiGonP.O. BOX 426 BOHO, HANOI 10000 VIETNAM; 123 Trương Định, Quận 3, tpHCMĐiện thoại: (84-4) 9745699; Fax: (84-4)9745700; Điện thoại: (84-8) 9322781; Fax: (84-8) 9322782E-mail: contact@vietsoftware.com; Website: www.vietsoftware.com 6 Tài liệu hướng dẫn cài đặt shorewall, 11.10.07 Tài liệu tham khảoDNAT dmz loc:192.168.2.5 tcp 389,8900REDIRECT loc 3128 tcp www - !192.168.254.0/24#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVEGiải thích cấu hìnhACCEPT loc dmz tcp 110Dòng này thiết lập cho phép traffic TCP với port 110 từ LAN, đến DMZ.DNAT dmz loc:192.168.10.5 tcp 389Dòng này để thực hiện Destination NAT: khi traffic TCP, port là 389 hoặc 8900 đến từ DMZ, đích đến là IP-DMZ của firewall, thì firewall thực hiện đổi đích đến là máy trong LAN, IP là 192.168.10.5. Trong trường hợp này, khi các máy trong DMZ connect đến port 389 máy firewall với IP: 192.168.254.10 thì sẽ được thông tin từ LDAP server trên máy 192.168.10.5.REDIRECT loc 3128 tcp www - !192.168.254.0/24Dòng này redirect tất cả traffic TCP, port là 80 (www), đích đến là những máy không có địa chỉ thuộc dải 192.168.254.0/24 sang dịch vụ Squid ( port là 3128 ).Dòng này kết hợp với cấu hình Squid để thiết lập transparent proxy cho tất cả web traffic, các máy chỉ cần trỏ default gateway đến firewall. ( điều này được nói rỏ hơn trong phần config Squid).File masq################################################################################INTERFACE SUBNET ADDRESS PROTO PORT(S)IPSECeth0 192.168.2.0/24 10.0.0.1eth1 192.168.2.0/24 192.168.254.10#LAST LINE -- ADD YOUR ENTRIES ABOVE THIS LINE -- DO NOT REMOVEGiải thích cấu hìnhNhững gói tin đi từ lớp mạng 192.168.2.0/24, đi qua firewall, đi tiếp qua giao tiếp mạng eth0 (những gói tin đi đến Internet) thì sẽ được chuyển đổi địa chỉ nguồn thành 10.0.0.1. Tương tự: Những gói tin đi từ lớp mạng 192.168.2.0/24, đi qua firewall, đi tiếp qua giao tiếp mạng eth0 (những gói tin đi đến DMZ) thì sẽ được chuyển đổi địa chỉ nguồn thành 192.168.254.10.Chú ý: Với mỗi file trên, cách cấu hình, cú pháp được miêu tả khá chi tiết.Sau khi cấu hình xong ta có thế kiểm tra cấu hình xem có hoạt động tốt không:#/sbin/shorewall checkKhởi động dịch vụ: #service shorewall startTrụ sở chính: Tầng 8, 51 Lê Đại Hành, Hà Nội, Việt Nam Chi nhánh: Phòng 410, Công viên phần mềm SaiGonP.O. BOX 426 BOHO, HANOI 10000 VIETNAM; 123 Trương Định, Quận 3, tpHCMĐiện thoại: (84-4) 9745699; Fax: (84-4)9745700; Điện thoại: (84-8) 9322781; Fax: (84-8) 9322782E-mail: contact@vietsoftware.com; Website: www.vietsoftware.com 7 Tài liệu hướng dẫn cài đặt shorewall, 11.10.07 Tài liệu tham khảoTrụ sở chính: Tầng 8, 51 Lê Đại Hành, Hà Nội, Việt Nam Chi nhánh: Phòng 410, Công viên phần mềm SaiGonP.O. BOX 426 BOHO, HANOI 10000 VIETNAM; 123 Trương Định, Quận 3, tpHCMĐiện thoại: (84-4) 9745699; Fax: (84-4)9745700; Điện thoại: (84-8) 9322781; Fax: (84-8) 9322782E-mail: contact@vietsoftware.com; Website: www.vietsoftware.com 8 [...].. .Tài liệu hướng dẫn cài đặt shorewall, 11.10.07 Tài liệu tham khảo 5 .Tài liệu tham khảo http:/ /shorewall. net http://iptables-tutorial.frozentux.net/iptables-tutorial.html Trụ sở chính: Tầng 8, 51 Lê Đại Hành, Hà Nội, Việt Nam Chi nhánh: Phòng 41 0, Công viên phần mềm SaiGon P.O BOX 426 BOHO, HANOI 10000 VIETNAM; 123 Trương Định, Quận 3, tpHCM Điện thoại: (84-4) 9745699; . Tài liệu hướng dẫn cài đặt shorewall, 11.10.07 Tài liệu tham khảo2.Đặc tả dịch vụ2 .1Giới thiệuDịch vụ bức tường lửa Shorewall là một dịch vụ cung. Tài liệu hướng dẫn cài đặt shorewall, 11.10.07 Tài liệu tham khảo4 .Cài đặt dịch vụ4 . 1Tài nguyênDownload gói cài đặt trên trang : http://www .shorewall. net.4.2Các