问题[shorewall](server)

我目前有一台 Debian PC，有两个网络接口作为路由器/网关。

我有几个便宜的 IP 摄像机，它们试图访问外部服务，大概是为了某种“云”功能。无法禁用此功能。

我想向 Shorewall 添加规则，以丢弃来自这些摄像头的出站数据包，以防止它们访问互联网。过去，我使用过类似的方法来防止二手消费级 VOIP 设备下载不需要的配置文件。

为此，我可以为每台摄像机按 MAC 地址或 IP 添加过滤器。这有点乏味。例如

DROP local:~AA:BB:CC:11:22:33
DROP local:~AA:BB:CC:11:22:44
DROP local:~AA:BB:CC:11:22:55
etc..

我可以使用某种通配符吗？例如

DROP local:~AA:BB:CC:*

摄像机与其他几个设备共享一个子网，将它们移动到新子网只是为了对其应用防火墙规则是不可取的。

内核 3.16.0-4-amd64 上的防火墙版本为 5.0.15.6

所以我有一台有 4 个接口的 linux 机器：

1. enp1s0
2. enp2s0
3. enp3s0
4. enp4s0

我要做的是让 enp1s0 成为 WAN 接口，并通过 DHCP 获取它的 IP 地址、dns 和网关。

对于其他三个接口，我希望它们具有：

• 同一子网上的 IP 地址
• 让一个 LAN 接口上的所有主机能够看到另一个 LAN 接口上的所有其他主机
• 将shorewall作为防火墙运行
• 使用 DNS 掩码

这是我到目前为止所得到的：

猫 /etc/网络/接口
# 此文件描述系统上可用的网络接口
# 以及如何激活它们。有关详细信息，请参阅接口 (5)。

源 /etc/network/interfaces.d/*

# 环回网络接口
自动lo
iface lo inet 环回

# 主网络接口
#列为#1
# 这是wan接口
自动 enp1s0
iface enp1s0 inet dhcp

#列为#2
# 这个路由到楼上
自动 enp3s0
iface enp3s0 inet 静态
    地址 192.168.47.254
    网络掩码 255.255.255.0
    网络 192.168.47.0    
    广播 192.168.47.255    

#列为#4
自动 enp2s0
iface enp2s0 inet 静态
    地址 192.168.47.253
    网络掩码 255.255.255.0
    网络 192.168.47.0    
    广播 192.168.47.255    

#列为#3
自动 enp4s0
iface enp4s0 inet 静态
    地址 192.168.47.252
    网络掩码 255.255.255.0
    网络 192.168.47.0    
    广播 192.168.47.255    

猫 /etc/dnsmasq.conf
接口=enp2s0
接口=enp3s0
接口=enp4s0
listen-address=192.168.47.254 # 明确指定要监听的地址  
bind-interfaces # 绑定到接口以确保我们不会将东西发送到其他地方  
server=8.8.8.8 # 将 DNS 请求转发到 Google DNS  
domain-needed # 不要转发短名称  
bogus-priv # 从不转发非路由地址空间中的地址。  
dhcp-range=192.168.47.100,192.168.47.250,12h # 分配 192.168.46.100-250 之间的 IP 地址，租用时间为 12 小时

日志-dhcp
日志查询

interface=enp2s0 # 使用接口 wlan0  
interface=enp3s0 # 使用接口 wlan0  
interface=enp4s0 # 使用接口 wlan0  
listen-address=192.168.47.254 # 明确指定要监听的地址  
bind-interfaces # 绑定到接口以确保我们不会将东西发送到其他地方  
server=8.8.8.8 # 将 DNS 请求转发到 Google DNS  
domain-needed # 不要转发短名称  
bogus-priv # 从不转发非路由地址空间中的地址。  
dhcp-range=192.168.47.100,192.168.47.250,12h # 分配 192.168.46.100-250 之间的 IP 地址，租用时间为 12 小时

日志-dhcp
日志查询

这是来自其中一台客户端机器的示例 ip 路由表：

ip -one 地址
1: lo inet 127.0.0.1/8 范围主机 lo\ valid_lft forever preferred_lft forever
1: lo inet6 ::1/128 范围主机\valid_lft 永远首选_lft
2：eth0 inet 192.168.46.5/24 brd 192.168.46.255 范围全局 eth0\valid_lft 永远 Preferred_lft
2: eth0 inet6 fe80::82ee:73ff:fe5d:89d1/64 范围链接\valid_lft forever preferred_lft forever
3: eth1 inet 192.168.47.244/24 brd 192.168.47.255 范围全局 eth1\ valid_lft 永远首选_lft 永远
3: eth1 inet6 fe80::82ee:73ff:fe5d:89d0/64 范围链接\valid_lft 永远首选_lft 永远

路线-n
内核IP路由表
目标网关 Genmask 标志 Metric Ref Use Iface
0.0.0.0 192.168.46.1 0.0.0.0 UG 0 0 0 eth0
192.168.46.0 0.0.0.0 255.255.255.0 U 1 0 0 eth0
192.168.47.0 0.0.0.0 255.255.255.0 U 1 0 0 eth1

到目前为止有效的方法：

• 不同接口上的机器获得正确的 IP 地址
• 机器可以ping通路由器上的所有接口，也可以不通。我认为这可能取决于最近使用 DHCP 的哪台机器
• 如果我可以从客户端机器 ping 通，其他的东西也可以工作，例如 ssh
• 我从来没有让两台客户端机器互相ping通

经过大量阅读，我确定我需要静态路由、每个 LAN 接口的不同子网或桥接。

理想情况下，我想根据接口在shorewall中设置权限，并且仍然为所有LAN接口使用一个子网。

我将在 Debian 稳定的 Linux 机器上安装 Shorewall。稳定库中的shorewall 版本是4.6.4.3-2。

Shorewall 网站建议固定 apt 偏好并强制从测试存储库下载新的 Shorewall 版本。

Package: shorewall
Pin: release o=Debian,a=testing
Pin-Priority: 700

你有没有做过这样的事情，你认为它安全吗？

我没有在Shorewall中找到任何增量配置的规定。有这样的机制吗？

我正在寻找的是能够在（再次作为示例）/etc/shorewall/rules.d文件夹中添加配置文件（例如规则） - 除了/etc/shorewall/rules.

这样的功能将对动态配置有很大帮助，其中一些元素作为一个整体添加/删除（我有容器的情况，我在脚本中添加和删除，并且更愿意通过添加或删除文件来处理防火墙更改，而不是解析一个整体文件）

我在我的服务器上使用Shorewall作为简单的独立防火墙，并且也想使用Docker。

通过使用 Docker 容器及其端口重定向，docker 设置了自己的 iptables 规则/链，如果重新启动shorewall，这些规则/链将被终止。所以容器将变得不可访问。

是否有人在重新启动岸墙时设法保存/恢复 docker 规则，或者是否有人有其他解决方法？

也可以看看：

• 有类似问题的 Shorewall Mailinglist
• GitHub 问题 #2801 @ dotcloud/docker

我的服务器有几个公共 IP，并且正在运行一堆具有私有 IP 地址的虚拟机。

例如，我想将 232.21.23.23（公共）上的端口 80、443 和 8080 映射到 192.168.122.12（私有）。我尝试了几种不同的 NAT 映射，但似乎都不起作用：

# This doesn't work.
DNAT           net              loc:192.168.122.12  tcp  80,443,8080  -           232.21.23.23

# Neither does this.
DNAT           $FW              loc:192.168.122.12  tcp  80,443,8080  -           232.21.23.23

# Nor this.
DNAT           net:232.21.23.23 loc:192.168.122.12  tcp  80,443,8080

# I have no idea what I'm doing.
DNAT           $FW:232.21.23.23 loc:192.168.122.12  tcp  80,443,8080

谁能指出我正确的方向？

我有这种情况并且一切正常，但我想配置我的 Shorewall 但我做不到。

我的接口是：

br0 (bridge of eth0)
tun0 (OpenVPN)
vnet* (each one of bridged interfaces with public IP's)


Public Main IP: 188.165.X.Y
OpenVPN IP's: 172.28.0.x
Bridge: public ip's

所以，我有 shorewall 的下一个配置：

/etc/shorewall/区域

#ZONE   TYPE        OPTIONS     IN          OUT
#                               OPTIONS     OPTIONS
fw      firewall
inet    ipv4
road    ipv4

/etc/shorewall/接口

#ZONE   INTERFACE   BROADCAST       OPTIONS
inet    br0         detect          routeback
road    tun+        detect          routeback

/etc/shorewall/政策

#SOURCE DEST    POLICY      LOG LIMIT:      CONNLIMIT:
#               LEVEL   BURST       MASK
$FW  all     ACCEPT
inet    $FW  DROP       info
road    all     DROP
inet    road    DROP

/etc/shorewall/隧道

#TYPE           ZONE        GATEWAY     GATEWAY
#                                       ZONE
openvpnserver:1194          inet      0.0.0.0/0

问题是，即使 shorewall 正在运行，我也能够 ping 或连接到网桥后面的虚拟机

我有一个喜欢向我的网站发送垃圾邮件的垃圾邮件机器人。我邮寄给abuse@isp，但他不理我。

攻击总是来自同一个 IP，我使用IISIP将垃圾邮件发送者 IP 添加到我所有的网站。

我想知道，因为我使用带有shorewall的linux盒子作为防火墙......也许在那个级别过滤更好？

哪一个具有更好的性能，列表可能会增长并变得庞大？IIS 向垃圾邮件发送者提供 403 页面，还是岸墙断开连接？