Shorewall -允许远程客户端访问Internet

Question

我的网络地址是192.168.5.0。我的主机是192.168.5.1，我的客户机是192.168.5.2。目前，我的客户不能使用互联网浏览器，甚至不能点击互联网。客户端可以在本地网络中切换主机。

我将如何使我的客户通过一个终端平互联网，并限制它使用浏览器或端口80使用Shorewall？下面是我的配置文件：

/etc/shorewall/interfaces file:

#ZONE     INTERFACE
net      eth0

loc      eth1

eth0接口是连接到internet的接口，而eth1是连接到本地网络的接口。

/etc/shorewall/zones file:

#ZONE    TYPE
fw       firewall
net      ipv4
loc      ipv4

/etc/shorewall/policy file:
#SOURCE     DEST     POLICY     LOGLEVEL
loc         net      ACCEPT
net         all      DROP       $LOG_LEVEL

all         all      REJECT     $LOG_LEVEL

/etc/shorewall/rules file:

?SECTION  ALL
?SECTION  ESTABLISHED
?SECTION  RELATED
?SECTION  INVALID

?SECTION UNTRACKED

?SECTION NEW


DNS(ACCEPT)     $FW    net

SSH(ACCEPT)     loc    $FW

PING(ACCEPT)    loc    $FW

PING(DROP)      net    $FW


ACCEPT    $FW    loc    icmp

ACCEPT    $FW    net    icmp

任何帮助都将不胜感激。

Answer 1

如果您还没有这样做，我建议您检查这个页面：

http://www.shorewall.org/two-interface.htm

这些基本知识在这里用例子来解释。

根据您的版本，还可以从以下位置复制和自定义示例文件：

 /usr/share/doc/shorewall/examples/two-interfaces

在我看来，从快速看，似乎缺少了以下几个方面：

1. 伪装/NAT (snat或masq文件取决于您的版本)。
2. IP_Forwarding=ON in shorewall.conf.
3. Shorewall在启动时自动启动。

Addition1:也请检查您正在使用的岸墙宏的正确拼写。例如：

Ping (and not PING)

Addition2:您拥有本地到internet的默认策略，所有这些都允许：

/etc/shorewall/policy file:
#SOURCE     DEST     POLICY     LOGLEVEL
loc         net      ACCEPT

这意味着，在默认情况下，从本地网络到互联网的一切都将通过防火墙被允许。现在，如果您想阻止某些东西，让我们假设端口80，您将需要在顶部设置一个块规则。例如：

HTTP(DROP)    loc    net

而且，您不需要任何额外的允许规则的平从局域网到网络。