Shorewall: Iptables Made Easy!

Escrito el 4 Agosto, 2003 – 8:00 | por storm | 2.550 lecturas

Shorewall es un producto opensource, que se encarga de hacer nuestra vida diaria con Iptables mucho más simple. No es un reemplazo para IpTables, sino un frontend / parser de reglas para manejarlo.

Como bien dice en el titulo, ‘Iptables Made Easy’, Shorewall es un frontend para Iptables que nos permite hacer las cosas mucho más fácil.

Básicamente es un conjunto de scripts, que nos permite trabajar todas las reglas de nuestro firewall en forma de objetos y zonas (como se hace con los firewalls como los PIX, FirewallOne, y otros productos para windows).

Uno define las zonas de su red (ej: local, internet, dmz, etc) y luego define las reglas que desea aplicar sobre estas, por ejemplo, agregando una simple línea a nuestro archivo de rules, como la siguiente, permitiríamos a todas las maquinas de nuestra red local, acceder a cualquier maquina en internet, a través del puerto destino 110:

ACCEPT	loc	net	tcp	110

y el Shorewall automáticamente se encarga de convertir esto al formato de Iptables. De la misma forma, nos permite armar una VPN usando IPSec con solo 2 líneas , o utilizar Traffic Shapping para limitar el ancho de banda de los equipos de nuestra intranet, y muchas cosas más.

Las características principales de Shorewall son:

– Usa las facilidades de ‘Netfilter’s connection tracking’ para un mejor filtrado de paquetes.

– Es 100\% adaptable usando archivos de configuración.

– No tiene ningún limite en cuanto a cantidad de interfases a manejar/administrar.

– Se maneja particionando nuestra red en Zonas, dando el control absoluto sobre el tráfico permitido entre estas.

– Permite manejar múltiples zonas por interfases y múltiples interfases por zona.

– Masquerading/SNAT.

– Port Forwarding (DNAT).

– NAT estático.

– Proxy ARP.

– Ruteo simple entre equipos y subredes.

– La posibilidad de usar BlackLists para bloquear hosts y subredes directamente.

– Soporte para armar VPN?s (usando IPSec, GRE, IPIP, OpenVPN, PPTP, etc.

– Soporte para control de tráfico y control de ancho de banda (shaping).

Realmente el producto es increíble, tiene muchísima flexibilidad, por lo que podemos hacer prácticamente cualquier cosa que necesitemos con nuestro firewall sin tener que volvernos locos.

En varias distribuciones ya están empezando a incluirlo, (Mandrake, Bering, etc), esta disponible en varios formatos (para debian, redhat, etc) y es una muy buena alternativa a fwbuilder y esos scripts que normalmente usamos.

Links:
http://www.shorewall.net

You must be logged in to post a comment.

Buscar: