SuSEfirewall2
Ten artykuł jest niekompletny i wymaga rozbudowy. Szczegóły można znaleźć na stronie dyskusji.
Aby SuSEfirewall2 poprawnie działał określone interfejsy muszą być przydzielone do określonej strefy. Zewnętrznej, wewnętrznej bądź DMZ.
Spis treści |
Udostępnianie internetu dla sieci LAN
Aby udostępnić połączenie z internetem dla sieci wewnętrznej należy w YaST -> Zabezpieczenia i użytkownicy -> Zapora sieciowa -> Translacja adresów zaznaczyć pole Translacja adresów sieci. Można też wyedytować plik /etc/sysconfig/SuSEfirewall2 i zmienić odpowiednie linijki tak żeby zawierały następujące wartości:
FW_ROUTE="yes" FW_MASQUERADE="yes"
Następnie należy zrestartować firewall poleceniem:
# rcSuSEfirewall2 restart
Dostęp przez SSH z określonego hosta lub sieci
Chcąc uzyskać dostęp przez SSH należy w pliku /etc/sysconfig/SuSEfirewall2 odpowiednio wyedytować linijkę zawierającą FW_TRUSTED_NETS. Przykład:
FW_TRUSTED_NETS="215.107.148.0/24,tcp,22 194.204.155.15,tcp,22"
Translacja adresów
Możemy ją wykorzystać na przykład do uzyskania HighID w kliencie p2p lub wystawić serwer WWW, czy FTP z hosta będącego w sieci LAN. Przykład wpisu dla programu aMule działającego na komputerze z adresem IP: 192.168.0.10 to:
FW_FORWARD_MASQ="0/0,192.168.0.10,tcp,4662"
Przekierowanie na SQUID
Przypuśćmy, że na routerze masz squida i chcesz aby wszystkie połączenia z sieci wewnętrznej 192.168.0.0 po porcie 80 odbywały się właśnie przez niego:
FW_REDIRECT="192.168.0.0/24,0/0,tcp,80,3128"
 |
Uwaga: Jeżeli squid pracuje na routerze należy skonfigurować go jako "przezroczysty", uaktywniając opcje transparent! |
Udostępnienie do stron www, poczty, ssh określonym komputerom z sieci wewnętrznej
Zmienić domyślną wartość FW_MASQ_NETS="0/0" na przykładowe z uwzględnieniem zasad przydzielania adresów w własnej sieci:
FW_MASQ_NETS=" 192.168.0.0/24,0/0,udp,53 192.168.0.11,0/0,tcp,22 192.168.0.11,0/0,tcp,23:443 192.168.0.12,0/0,tcp,http 192.168.0.12,212.154.13.28,tcp,25 192.168.0.12,212.154.13.28,tcp,110 192.168.2.0/24,0/0"
W powyższym przykładzie komputer z adresem 192.168.0.12 ma dostęp do określonego serwera poczty. Jak widać można używać numeru lub nazwy serwisu. Komputery z sieci 192.168.2.0 mają dostęp do wszystkich usług.
