Mageia 1 Настройка интернет-шлюза (использование drakfirewall)

[nilpointer]

Так как Мандрива поддерживает только КДЕ, а есть необходимость в домашнем шлюзе,
на котором иксы не нужны, поставил на интернет-шлюз Mageia 1

Исходные данные
mini-itx.
Mageia 1 установлена на флешку - 4 GB (один раздел / ) (без иксов)
Два сетевых интерфейса eth0 (локалка) и ppp0 (интернет)
Установлен также DNS, sshd
Все как бы работает, Интернет есть.
Только есть один нюанс непонятный для меня.

При настройке drakfirewall выдает следующее

Код: Выделить всё

[root@ ... ]# drakfirewall
[root@ ... ]# ded by shorewall in runlevel 2
Warning: netfs is needed by shorewall in runlevel 2
nl_create_socket: Protocol not supported
unable to init netlink
unable to init "Interactive Firewall" plugin
net_applet: no process found

Что бы это значило? Защита (ppp0 ) есть, или нет?

[SinClaus]

shorewall - это костыль для иксов, надстройка над iptables. Вот ими-то и нужно пользоваться, если уж городить сервер на десктопном дистрибутиве.

[nilpointer]

shorewall - это костыль для иксов, надстройка над iptables. Вот ими-то и нужно пользоваться, если уж городить сервер на десктопном дистрибутиве.

Понял! Спасибо!
Сменить дистрибютив на подходящий и использовать iptables.

З.Ы.
Жаль конечно. Перед этим пробовал поставить на флешку debian, arch, freebsd
- не получилось. А Mageia (Mandriva 2010.2 ) стают запросто.

[DrakSoul]

shorewall - это костыль для иксов, надстройка над iptables. Вот ими-то и нужно пользоваться, если уж городить сервер на десктопном дистрибутиве.

Дистрибютив не совсем десктопный, так как в меню выбора вариантов установки, есть упоминание о серверном варианте установки,
да и по моему, если не ошибаюсь там ядра разные есть, десктопное, серверное, (монолитное, модульное) так что какое железо, то ядро по умолчанию и станет.

[Bizdelnick]

shorewall - это костыль для иксов

shorewall не для иксов, для иксов - костыль под названием drakfirewall.

По теме: отключите интерактивный файрвол и покажите, будет ли ругаться service shorewall restart.

[SinClaus]

# ls /etc/rc.d/init.d/shore*
ls: cannot access /etc/rc.d/init.d/shore*: No such file or directory

Для сильно - уверенных: не поленитесь посмотреть что написано в файле /sbin/shorewall

[Bizdelnick]

# ls /etc/rc.d/init.d/shore*
ls: cannot access /etc/rc.d/init.d/shore*: No such file or directory

Для сильно - уверенных: не поленитесь посмотреть что написано в файле /sbin/shorewall

Э?

$

$ ls -l /etc/init.d/shorewall -rwx------ 1 root root 2931 Nov 14 20:07 /etc/init.d/shorewall $ sudo service shorewall status Shorewall-4.4.25 Status at localhost.localdomain - Wed Dec 7 13:13:44 MSK 2011 Shorewall is stopped State:Cleared (Mon Nov 28 18:05:23 MSK 2011)

Я конечно ХЗ, как оно там в Магее...

P.S. Если тебе религия не позволяет использовать shorewall, не надо навязывать своё мнение другим. Новичку с ним будет куда проще разобраться, чем с иптаблесом.

[sash-kan]

Новичку с ним будет куда проще разобраться, чем с иптаблесом.

особенно если новичок осознаёт, что уровень абстракции, предоставляемый программой shorewall (кстати, это уже второй уровень абстракции, программа же iptables предоставляет хоть и первый уровень, но тоже _абстракции_), вполне может оказаться дырявым·

[SinClaus]

shorewall - это, если отбросить политес, непонятно для чего сделанная нашлёпка на iptables. Точнее, этот уровень был сделан для грубого управления файерволлом из-под гуёв. Если хочешь защититься - изучай основы, тем более на сервере.

[Flint71]

Исходные данные
mini-itx.
Mageia 1 установлена на флешку - 4 GB (один раздел / ) (без иксов)

интернет-шлюз на флешке? :О

[nilpointer]

Исходные данные
mini-itx.
Mageia 1 установлена на флешку - 4 GB (один раздел / ) (без иксов)

интернет-шлюз на флешке? :О

А что удивительного?
Флешка - Patriot Xporter XT Boost 4GB Flash Drive

Код: Выделить всё

[root@ ... ]# cat /etc/fstab
# Entry for /dev/sdb1 :
UUID=030 ...  fc284f / ext4 acl,relatime,data=writeback,nodiratime 1 1
none /proc proc defaults 0 0
tmpfs /tmp tmpfs defaults,noatime 0 0
tmpfs /var/tmp tmpfs defaults,noatime 0 0
tmpfs /var/log tmpfs defaults,noatime,mode=0755 0 0
[root@ ... ]# df -h
Файлова система       Size  Used Avail Use% змонтований на
/dev/sda1                 3,7G  816M  2,7G  23% /
tmpfs                      496M   20K  496M   1% /tmp
tmpfs                      496M     0  496M   0% /var/tmp
tmpfs                     496M  364K  496M   1% /var/log
[root@ ...]#

[nilpointer]

shorewall - это костыль для иксов

shorewall не для иксов, для иксов - костыль под названием drakfirewall.

По теме: отключите интерактивный файрвол и покажите, будет ли ругаться service shorewall restart.

Код: Выделить всё

[root@ ...]# drakfirewall  / отключаю
[root@ ...]# ldn't load target `Ifw':/lib64/iptables/libipt_Ifw.so: cannot open shared object file: No such file or directory

Try `iptables -h' or 'iptables --help' for more information.
iptables: No chain/target/match by that name.
iptables: No chain/target/match by that name.
ipset v6.4: The set with the given name does not exist
ipset v6.4: The set with the given name does not exist
nl_create_socket: Protocol not supported
unable to init netlink
unable to init "Interactive Firewall" plugin
net_applet: no process found

//////////////////////
пропал интернет
////////////////////
[root@ ...]# clear
[root@ ...]# service shorewall restart
Compiling...
Shorewall configuration compiled to /var/lib/shorewall/.restart
Starting Shorewall....
done.
[root@ ...]#
Интернет появился

Код: Выделить всё

[root@ ...]# iptables -L
Chain INPUT (policy DROP)
target     prot opt source               destination
Ifw        all  --  anywhere             anywhere
dynamic    all  --  anywhere             anywhere            ctstate INVALID,NEW
net2fw     all  --  anywhere             anywhere
loc2fw     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere            ctstate RELATED,ESTABLISHED
Reject     all  --  anywhere             anywhere
LOG        all  --  anywhere             anywhere            LOG level info prefix `Shorewall:INPUT:REJECT:'
reject     all  --  anywhere             anywhere            [goto]

Chain FORWARD (policy DROP)
target     prot opt source               destination
dynamic    all  --  anywhere             anywhere            ctstate INVALID,NEW
net2loc    all  --  anywhere             anywhere
loc2net    all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere            ctstate RELATED,ESTABLISHED
Reject     all  --  anywhere             anywhere
LOG        all  --  anywhere             anywhere            LOG level info prefix `Shorewall:FORWARD:REJECT:'
reject     all  --  anywhere             anywhere            [goto]

Chain OUTPUT (policy DROP)
target     prot opt source               destination
fw2net     all  --  anywhere             anywhere
fw2loc     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere            ctstate RELATED,ESTABLISHED
Reject     all  --  anywhere             anywhere
LOG        all  --  anywhere             anywhere            LOG level info prefix `Shorewall:OUTPUT:REJECT:'
reject     all  --  anywhere             anywhere            [goto]

Chain Drop (2 references)
target     prot opt source               destination
           all  --  anywhere             anywhere
reject     tcp  --  anywhere             anywhere            tcp dpt:auth /* Auth */
dropBcast  all  --  anywhere             anywhere
ACCEPT     icmp --  anywhere             anywhere            icmp fragmentation-needed /* Needed ICMP types */
ACCEPT     icmp --  anywhere             anywhere            icmp time-exceeded /* Needed ICMP types */
dropInvalid  all  --  anywhere             anywhere
DROP       udp  --  anywhere             anywhere            multiport dports loc-srv,microsoft-ds /* SMB */
DROP       udp  --  anywhere             anywhere            udp dpts:netbios-ns:netbios-ssn /* SMB */
DROP       udp  --  anywhere             anywhere            udp spt:netbios-ns dpts:1024:65535 /* SMB */
DROP       tcp  --  anywhere             anywhere            multiport dports loc-srv,netbios-ssn,microsoft-ds /* SMB */
DROP       udp  --  anywhere             anywhere            udp dpt:1900 /* UPnP */
dropNotSyn  tcp  --  anywhere             anywhere
DROP       udp  --  anywhere             anywhere            udp spt:domain /* Late DNS Replies */

Chain Ifw (1 references)
target     prot opt source               destination
RETURN     all  --  anywhere             anywhere            match-set ifw_wl src
DROP       all  --  anywhere             anywhere            match-set ifw_bl src

Chain Reject (3 references)
target     prot opt source               destination
           all  --  anywhere             anywhere
reject     tcp  --  anywhere             anywhere            tcp dpt:auth /* Auth */
dropBcast  all  --  anywhere             anywhere
ACCEPT     icmp --  anywhere             anywhere            icmp fragmentation-needed /* Needed ICMP types */
ACCEPT     icmp --  anywhere             anywhere            icmp time-exceeded /* Needed ICMP types */
dropInvalid  all  --  anywhere             anywhere
reject     udp  --  anywhere             anywhere            multiport dports loc-srv,microsoft-ds /* SMB */
reject     udp  --  anywhere             anywhere            udp dpts:netbios-ns:netbios-ssn /* SMB */
reject     udp  --  anywhere             anywhere            udp spt:netbios-ns dpts:1024:65535 /* SMB */
reject     tcp  --  anywhere             anywhere            multiport dports loc-srv,netbios-ssn,microsoft-ds /* SMB */
DROP       udp  --  anywhere             anywhere            udp dpt:1900 /* UPnP */
dropNotSyn  tcp  --  anywhere             anywhere
DROP       udp  --  anywhere             anywhere            udp spt:domain /* Late DNS Replies */

Chain dropBcast (2 references)
target     prot opt source               destination
DROP       all  --  anywhere             anywhere            ADDRTYPE match dst-type BROADCAST
DROP       all  --  anywhere             base-address.mcast.net/4

Chain dropInvalid (2 references)
target     prot opt source               destination
DROP       all  --  anywhere             anywhere            ctstate INVALID

Chain dropNotSyn (2 references)
target     prot opt source               destination
DROP       tcp  --  anywhere             anywhere            tcp flags:!FIN,SYN,RST,ACK/SYN

Chain dynamic (2 references)
target     prot opt source               destination

Chain fw2loc (1 references)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere            ctstate RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             anywhere

Chain fw2net (1 references)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere            ctstate RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             anywhere

Chain loc2fw (1 references)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere            ctstate RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             anywhere

Chain loc2net (1 references)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere            ctstate RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             anywhere

Chain logdrop (0 references)
target     prot opt source               destination
DROP       all  --  anywhere             anywhere

Chain logreject (0 references)
target     prot opt source               destination
reject     all  --  anywhere             anywhere

Chain net2fw (1 references)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere            ctstate RELATED,ESTABLISHED
Drop       all  --  anywhere             anywhere
LOG        all  --  anywhere             anywhere            LOG level info prefix `Shorewall:net2fw:DROP:'
DROP       all  --  anywhere             anywhere

Chain net2loc (1 references)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere            ctstate RELATED,ESTABLISHED
Drop       all  --  anywhere             anywhere
LOG        all  --  anywhere             anywhere            LOG level info prefix `Shorewall:net2loc:DROP:'
DROP       all  --  anywhere             anywhere

Chain reject (10 references)
target     prot opt source               destination
DROP       all  --  anywhere             anywhere            ADDRTYPE match src-type BROADCAST
DROP       all  --  base-address.mcast.net/4  anywhere
DROP       igmp --  anywhere             anywhere
REJECT     tcp  --  anywhere             anywhere            reject-with tcp-reset
REJECT     udp  --  anywhere             anywhere            reject-with icmp-port-unreachable
REJECT     icmp --  anywhere             anywhere            reject-with icmp-host-unreachable
REJECT     all  --  anywhere             anywhere            reject-with icmp-host-prohibited

Chain shorewall (0 references)
target     prot opt source               destination
[root@ ...]#

[Bizdelnick]

Ругается только drakfirewall - можете спокойно на него плюнуть. Всё работает.

[nilpointer]

Ругается только drakfirewall - можете спокойно на него плюнуть. Всё работает.

Спасибо!

А то я уже подумывал искать винчестер, и ставить. что то более серверное.
Так, как пока я разберусь основательно с настройками много времени уйдет.
Я не волшебник, я только учусь.

З.Ы.
Тем, кому интересно, почему именно в таком варианте, скажу только,
что не доверяю готовым решениям. А так дополнительная стена защиты, полностью управляемая.
с раздачей интернета в локальную сеть. Возможно со временем wifi добавлю.
mini-itx - мало использует электроэнергии
Флешка - так много места для системы и не нужно.
А дополнительные хотелке на интернет-шлюзе и не желательны.