Shorewall и много нестандартных соединений

[Eisenhorn]

Решил вот настроить файрвол средствами Shorewall + Webmin, но вот проблема в том, что все руководства сводятся как правило к простому случаю - есть eth0 - локальная сеть и eth1 - к роутеру, который раздает Интернет.
У меня вот все несколько сложнее.
eth0 - локальная сеть
ppp0 - интернет (соединяется уже после загрузки через NetworkManager, часто приходятся отсоединять, т.к. нестабильно работает и вообще сильно лимитирован. Ах да, IP динамический).
В добавок к этому:
dvb0_0 - сетевая карта спутникового интернета (через неё просто физически может быть только входящее соединение. IP статический).
tun0 - OpenVPN к спутниковому провайдеру.
Так что примеры, который в документации к Shorewall не годятся.

Как в таком случае распределять зоны?
ppp0 и dvb0_0 - это явно надо относить к интернету.

Что с tun0 делать? Стоит ли о нем вообще беспокоиться, т.к. он же трафик передает по закрытому каналу.
В Webmin для Shorewall есть под VPN отдельное меню - есть там что-то обязательное для настройки?

eth0 - понятное дело локальная сеть.

В руководстве также пишется дать Shorewall файл /etc/network/interfaces
У меня он скажем так пустой - все сетевые соединения делаются силами NetworkManager как я понял.
Вот его содержимое:

Код: [Выделить]

auto lo
iface lo inet loopback
Как хотя бы прописать зоны и составить файл интерфесов?
Shorewall нормально воспримет, что при загрузке в его настройках будут упомянуты еще не созданные интерфейсы?

[AnrDaemon]

"More commonly known as "Shorewall", this is high-level tool for configuring Netfilter."
Вопрос - нагуя? Тебе вебмина к iptables не хватает?

[Eisenhorn]

Он показался более простым, чем прямое редактирование iptables - сам создает правила по заданым параметрам.
Вроде как все настроил - просто записал dvb0_0, tun0, pppd в "net", а eth0 - в локальную сеть, создались правила...
Поначалу ничего не работало - оказалось при запуске у dvb0_0 включился rp_filter и трафик со спутника не шел. Как бы это отключить понадежнее? А то постоянно по непонятным причинам включается и нередко проблему начинаю искать не там. О... Нашел почти сразу. Рекомендуют как раз везде его включать, но вот спутниковый интернет с этим фильтром на карте не работает.
Как бы правильно tun0 в разделе VPN записать как ОпенВПН, а не как отдельный интерфейс...
Не пойму еще один момент - в политиках записано "fw2net access" - то есть файрвол (а им как я понял и является компьютер где стоит shorewall) имеет право выходить в сеть, но в то же время есть "net2fw deny" - интернет к файрволу не пускается. Почему же доступ есть? Или файрвол разрешает только то, что сам пользователь запросил, а все остальное из интернета - не пускает?

[VinnyPooh]

Мде, что-то как-то всё путанно

скинь файлы сюда под спойлер

/etc/shorewall/zones

/etc/shorewall/interfaces

/etc/shorewall/policy

[Eisenhorn]

zones:

(Нажмите, чтобы показать/скрыть)

#ZONE   TYPE   OPTIONS         IN         OUT
#               OPTIONS         OPTIONS
fw   firewall
net   ipv4
loc   ipv4
#LAST LINE - ADD YOUR ENTRIES ABOVE THIS ONE - DO NOT REMOVE

interfaces:

(Нажмите, чтобы показать/скрыть)

#ZONE   INTERFACE   BROADCAST   OPTIONS
loc   eth0   detect   tcpflags,nosmurfs
net   ppp0   detect   dhcp,routefilter,tcpflags,logmartians,nosmurfs
net   dvb0_0   detect   tcpflags,logmartians,nosmurfs
net   tun0   detect   routefilter,tcpflags,logmartians,nosmurfs
#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE

policy:

(Нажмите, чтобы показать/скрыть)

# Policies for traffic originating from the local LAN (loc)
loc      net      ACCEPT
loc   $FW   ACCEPT
loc      all      REJECT      info

# Policies for traffic originating from the firewall ($FW)

$FW   net   ACCEPT
$FW   loc   ACCEPT
$FW      all      REJECT      info

# Policies for traffic originating from the Internet zone (net)

net      $FW      DROP      info
net      loc      DROP      info
net      all      DROP      info

# THE FOLLOWING POLICY MUST BE LAST

all      all      REJECT      info

#LAST LINE -- ADD YOUR ENTRIES ABOVE THIS LINE -- DO NOT REMOVE

[VinnyPooh]

вот так выглядит у меня "detect " не стал ставить

interfaces:

loc   eth1   -   routestopped
net   eth0   -   dhcp,norfc1918,routefilter,blacklist,tcpflags,logmartians,nosmurfs
net   ppp0   -   dhcp,norfc1918,routefilter,blacklist,tcpflags,logmartians,nosmurfs


VPN увы не настраивал, но вижу, что там есть отдельный файлик для VPN, через него не пробовал?
Пользователь решил продолжить мысль 01 Сентября 2009, 09:09:34:поставь вебмин там есть правило для openVPN в настройках VPN тоннеля

Как бы правильно tun0 в разделе VPN записать как ОпенВПН, а не как отдельный интерфейс...

[Eisenhorn]

Файл то вижу и пункт в вебмине, но если туда просто вписать данные от ОпенВПН, то это что-то мало что дает - соединение не проходит, т.к. в правилах не сказано ничего про интерфейс tun0. В общем оставил и интерфейс и запись про ОпенВПН - вроде все работает. Вот только защищает ли... Ну, в любом случае хуже не стало.

На 2ip.ru зашел на страницу, на которой можно проверить закрыты ли критически для безопасности порты - написало, что закрыто, хотя уверен, что "проверка" эта почти ничего не проверяет и расчитана под дыры windows.

[VinnyPooh]

Есть куча других сервисов для проверки портов в том числе с возможностью задавать диапазон, потом посмотрю.