これらの記事では、複数の会社のオフィスに接続し、ネットワークへの制限されたアクセス、トラフィックの優先順位付け(QoS)、および2つのプロバイダー間のチャネル予約による単純な負荷分散を可能にするLinuxでのインターネットゲートウェイの構築を検討します。
特にこの部分では:
- 自動イベント
- マクロ
そして、 最初の部分で考慮されました:
- 最もシンプルなShorewallセットアップ
- 非常に複雑なdnsmasqセットアップ
- それほど複雑ではないOpenVPNセットアップ
- そして、多くの継続的な管理者にとって、非定型の動的ルーティング、例えばOSPF
そして二番目に :
- Shorewallのより詳細なセットアップ
- 怖くて理解できないQoS
- 負荷分散と冗長性
そして3番目に :
- ShorewallでのQoS
- Shorewallのより詳細なセットアップ
- プロトコルに従ってチャネルを介してトラフィックを拡散する
- 松葉杖、それらなしで、どこにも
イベント
ここではすべてがシンプルで複雑です。 興味のある方は、PortKnockingを検討してください。
/ etc / shorewall /アクション
#ACTION OPTION DESCRIPTION Knock #Port Knocking
ここで、イベントに対するアクションを発表しました。
/etc/shorewall/action.Knock
# # Shorewall version 4 - SSH_BLACKLIST Action # ?format 2 ############################################################################### #ACTION SOURCE DEST PROTO DPORT IfEvent(SSH,ACCEPT:info,60,1,src,reset)\ - - tcp 22 SetEvent(SSH,ACCEPT) - - tcp 1600 ResetEvent(SSH,DROP:info)
ここでイベント処理を行います。アイデアは次のとおりです。
要求がポート1600に到着した場合、同じ送信元アドレスのポート22を60秒間開きます。 ポート1599または1601の要求を受信した場合、ポート22を閉じます。
/ etc / shorewall /ルール
#ACTION SOURCE DEST PROTO DPORT Knock net $FW tcp 22,1599-1601
そして、ここで、対応する接続でのPortKnokingの作業を含めました。
イベント処理のトピックは広範囲にわたるため、マニュアルを注意深くお読みください。
マクロ
ルールを効率的に記述することができます(マクロについては少し触れました)。
/etc/shorewall/macto.TEST
#ACTION SOURCE DEST PROTO DPORT SPORT ORIGDEST RATE USER PARAM - - udp 6745 PARAM DEST SOURCE tcp 35067
ルールに適用可能:
/ etc / shorewall /ルール
#ACTION SOURCE DEST PROTO DPORT TEST(ACCEPT) loc $FW # : #ACTION SOURCE DEST PROTO DPORT SPORT ACCEPT loc $FW udp 6745 ACCEPT $FW loc tcp 35067