В этой записке будет описан процесс установки надстройки VuurMuur, которая поможет настроить фаервол без написания сложных комманд IPTables. Тот кто пересаживается с Windows на Linux должен знать эту полезную программу. Есть еще надстройка FireStarter, о ней я первый раз узнал в 2004 году, она тоже позволяет настроить фаервол просто, но это программа кажется не изменилась с тех давних пор, функционал остался прежний, бедный и не понятный. VuurMuur это хорошая замена FireStarter.
Качаем VuurMuur с официального ftp:
ftp://ftp.vuurmuur.org/releases/0.7/Vuurmuur-0.7.tar.gz
Устанавливаем не дастающие библиотеки:
yum install automake autoconf autoconf gcc gettext gettext-devel libtool which gcc-c++ ncurses-devel -y
Устанавливаем файловый менеджер Midnight Commander:
yum install mc -y
Запускаем MC:
mc
Находим папку со скаченным файлом Vuurmuur-0.7.tar.gz, распоковываем его и вводим команду:
./install.sh --install --defaults
После этой команды надстройка будет уставновлена, чтобы запускать ее как сервис скопируйте скрипт из папка "/usr/share/vuurmuur/scripts/vuurmuur-initd.sh" в папку "/etc/init.d/" командой:
cp /usr/share/vuurmuur/scripts/vuurmuur-initd.sh /etc/init.d/
chkconfig vuurmuur-initd.sh --add
chkconfig vuurmuur-initd.sh on
После подправим права на файл,
chmod 755 /etc/init.d/vuurmuur-initd.sh
Перезагрузим компьютер:
reboot
Также можно установить скрипт Logograte от VuurMuur:
cp /usr/share/vuurmuur/scripts/vuurmuur-logrotate /etc/logrotate.d/
Далее можно запустить саму службу VuurMuur:
/etc/init.d/vuurmuur-initd.sh start
Starting firewall: Vuurmuur:
FAILED: please configure Vuurmuur first by defining at least one interface.
Служба не запустилась, в сообщении написано что нам нужно определить сетевые интерефейсы. Помимо настройки интерейсов нужно добавить зоны и хотя бы одно правило. Иначе Вы не сможете запустить сервис VuurMuur, по просту он будет писать в своих логах что правила не определены. Логи хрнятся в /var/log/vuurmuur/*.log
Давайте определелим:
1. Интерфейсы
2. Зоны
3. Правила
Этих настроек будет достаточно для запуска службы. Запустим конфигуратор:
vuurmuur_conf
Все конфигуратор запушен, приступим к настройке интерфейсов, зон и правил.
Интерфейсы
Сетевая карта смотрящая в Интернет
Interfaces -> нажимаем кнопку Ins (новый) -> Вводим имя, Internet_Adapter - > Далее активируем пробелом, вводим IP адрес (реальный IP, например 10.20.30.40) и обозначение интерфейса в системе (eth0)
Сетевая карта смотрящая в локалку
Interfaces -> нажимаем кнопку Ins (новый) -> Вводим имя, LocalNet_Adapter - > Далее активируем пробелом, вводим IP адрес (Локальный IP, например 192.168.1.1) и обозначение интерфейса в системе (eth1)
Зоны
Интернет зона (0.0.0.0/0.0.0.0)
Zones -> inet -> Здесь видим зону Интернет internet 0.0.0.0/0.0.0.0
Нажмем кнопку E (edit), а потом кнопку F6. В открывшемся окне выбирем сетевой кару Internet_adapter которую мы добавили в начале.
Локальная зона (192.168.1.0/255.255.255.0)
Zones -> lan -> Здесь мы не видим ни одной зоны, пусто. Добавляем зону локальной сети, например 192.168.1.0/255.255.255.0
После нажимаем кнопку F6 и выбираем сетевую карту которая смотрит в локалку LocalNet_Adapter.
Правила
Настроим для примера NAT, чтобы компьютеры локальной сети могли выходит в Интернет.
Заходим в меню Rules -> Нажимаем клавишу Ins (добавить). Последовательно добавляя следующие правила:
action (действие) |
service (cервис) |
from (откуда) |
to (куда) |
accept |
http |
localNet.lan |
Internet.inet |
accept |
https |
localNet.lan |
Internet.inet |
accept |
ftp |
localNet.lan |
Internet.inet |
snat |
any |
localNet.lan |
Internet.inet |
Сохраним все настройки, зайдя в меню:
Apply Changes -> OK
Все на этом установка завершена...
Проверим, работает ли Интернет на компьютерах локальной сети. Вежливо поднимаем главного бухгалтера или не вежливо :). Садимся за комп, открываем свойства сетевого адаптера и прописываем в ручную настройки для протокола TCP/IP:
IP адрес -> 192.168.1.50 //IP адрес компьютера бухгалтера
Маска сети -> 255.255.255.0
Адрес шлюз -> 192.168.1.1 //наш сервер с VuurMuur
Адрес DNS сервера -> сюда вписываем IP-адрес DNS сервера провайдера или другово DNS сервака.
Нажимаем ОК.
Запускаем браузер и вводим в адресной строке -> google.kz
Должна появится страничка популярного поисковика...
--