শোরওয়াল - লিনাক্স সার্ভারগুলি কনফিগার করার জন্য একটি উচ্চ-স্তরের ফায়ারওয়াল
লিনাক্সে ফায়ারওয়াল স্থাপন করা কোনও নবজাতকের জন্য বা আইপটেবলের সাথে খুব পরিচিত না এমন ব্যক্তির পক্ষে খুব বিপজ্জনক হতে পারে। ভাগ্যক্রমে, শোরওয়ালগুলিতে সমাধানের ব্যবহার খুব সহজ।
এই মাল্টি-পার্ট টিউটোরিয়ালে, আমি আপনাকে শোরওয়াল দিয়ে শুরু করতে যাচ্ছি, এবং এই বিস্ময়কর ফায়ারওয়াল সিস্টেমের সাথে আপনাকে আরও কিছু উন্নত বিষয়ের মধ্য দিয়ে যাচ্ছি।
শোরওয়াল কী?
শোরওয়াল মূলত iptables এর ফ্রন্ট-এন্ড, তবে এটি একটি কমান্ড লাইন এনভায়রনমেন্ট ফ্রন্ট-এন্ড যা এর কনফিগারেশনের জন্য বেশ কয়েকটি পাঠ্য ফাইল ব্যবহার করে। যদিও শোরওয়াল একটি শক্তিশালী ফায়ারওয়াল সিস্টেম যা অনেকগুলি মেশিন পরিবেশন করে খুব বড় নেটওয়ার্কগুলিতে স্কেল করা যায়, আমরা একটি বেসিক দুটি ইন্টারফেস কনফিগারেশন দিয়ে শুরু করব এবং বেসিকগুলি পেরেক করব।
একটি দ্বি-ইন্টারফেস কনফিগারেশন দুটি ইথারনেট পোর্ট সহ একটি মেশিন নিয়ে থাকে, একটি আসবে এবং একটি স্থানীয় নেটওয়ার্কে চলে।
লিনাক্সে শোরওয়াল ইনস্টলেশন
শোরওয়াল অ্যাপটি-গেট এবং yum প্যাকেজ ম্যানেজার সরঞ্জাম ব্যবহার করে ইনস্টল করা যেতে পারে।
$ sudo apt-get install shorewall6
$ sudo yum install shorewall6
ইনস্টলেশন শেষে, আমাদের "/ usr/share/doc/shorewall" ডিরেক্টরি থেকে শোরওয়ালের ডিফল্ট ডিরেক্টরি "/ etc/shorewall" ডিরেক্টরিতে একটি নমুনা কনফিগারেশন কপি করতে হবে।
$ sudo cp /usr/share/doc/shorewall/example/two-interfaces/* /etc/shorewall
এবং তারপরে সিডি থেকে/ইত্যাদি/শোরওয়াল।
$ cd /etc/shorewall
যদি আমরা এই ডিরেক্টরিটি একবার দেখে নিই, আমরা ফাইল এবং shorewall.conf ফাইলের একটি গোছা দেখতে পাচ্ছি। শোরওয়াল নেটওয়ার্কটিকে বিভিন্ন জোনের একটি দল হিসাবে দেখে, তাই প্রথম ফাইলটি আমরা একবার দেখতে চাই এটি হ'ল "/ ইত্যাদি/শোরওয়াল/অঞ্চল" ফাইল।
এখানে আমরা দেখতে পাচ্ছি যে ডিফল্টরূপে নির্ধারিত তিনটি অঞ্চল রয়েছে: নেট, লক এবং সমস্ত। এটি লক্ষ করা গুরুত্বপূর্ণ যে শোরওয়াল ফায়ারওয়াল মেশিনকে নিজের জোন হিসাবে বিবেচনা করে এবং এটিকে $এফডাব্লু নামে একটি পরিবর্তনশীল হিসাবে সংরক্ষণ করে stores আপনি এই কনফিগারেশনটি বাকি কনফিগারেশন ফাইল জুড়ে দেখতে পাবেন।
"/ ইত্যাদি/শোরওয়াল/অঞ্চল" ফাইলটি বেশ স্ব-বর্ণনামূলক। আপনার কাছে নেট জোন (ইন্টারনেটের মুখোমুখি ইন্টারফেস), লোক জোন (ল্যান মুখোমুখি ইন্টারফেস) এবং সমস্ত কিছু রয়েছে যা সবকিছু।
এই সেট আপটি নিম্নলিখিতগুলি দেয়:
- এটি লোকাল অঞ্চল (ল্যান) থেকে নেট জোন (ইন্টারনেট) এ সমস্ত সংযোগের অনুরোধের অনুমতি দেয়
- নেট অঞ্চল থেকে ফায়ারওয়াল এবং ল্যানে সমস্ত সংযোগের অনুরোধ (উপেক্ষা) হ্রাস করে
- অন্যান্য সমস্ত অনুরোধ প্রত্যাখ্যান করে এবং লগ করে।
লগ লেভেল বিটটি যে কেউ অ্যাপাচি, মাইএসকিউএল বা অন্য কোনও ফসএস প্রোগ্রামের সাথে প্রশাসনিক কাজ করেছে তার সাথে পরিচিত হওয়া উচিত। এই ক্ষেত্রে, আমরা শোরওয়ালকে লগিংয়ের তথ্য স্তর ব্যবহার করতে বলছি।
আপনি যদি আপনার ল্যান থেকে প্রশাসনের জন্য আপনার ফায়ারওয়ালটি উপলব্ধ রাখতে চান তবে আপনি নীচের লাইনগুলিকে আপনার "/ ইত্যাদি/শোরওয়াল/নীতি" ফাইলটিতে যুক্ত করতে পারেন।
#SOURCE DEST POLICY LOG LEVEL LIMIT:BURST loc $FW ACCEPT $FW loc ACCEPT
এখন আমাদের অঞ্চল এবং নীতি সেট করা আছে, আমাদের ইন্টারফেসগুলি কনফিগার করতে হবে। আপনি "/ ইত্যাদি/শোরওয়াল/ইন্টারফেস" ফাইল সম্পাদনা করে এটি করেন।
এখানে, আমরা নেট জোনে E00 হিসাবে আমাদের ইন্টারনেট মুখোমুখি ইন্টারফেস সেট করেছি। আমাদের ল্যান সাইডে, আমরা অন্য ইন্টারফেসটি, এথ 1, লোক জোনে সেট করেছি। আপনার কনফিগারেশন যথাযথভাবে এই ফাইলটি সংশোধন করুন।
এই ইন্টারফেসগুলির যে কোনও একটির জন্য আপনি যে বিকল্পগুলি রাখতে পারেন তা বিস্তৃত এবং ম্যান পৃষ্ঠায় বিস্তারিতভাবে ব্যাখ্যা করা হয়েছে।
$ man shorewall-interfaces
এর মধ্যে কয়েকটি এর দ্রুত রান ডাউন হলেন:
- nosmurfs - উত্স হিসাবে সম্প্রচারের ঠিকানা সহ প্যাকেটগুলি ফিল্টার করুন
- লগমারিয়ানস - অসম্ভব উত্সের ঠিকানা সহ লগ প্যাকেট
- রুটফিল্টার - অ্যান্টি-স্পুফিংয়ের জন্য কার্নেল রুট ফিল্টারিং
অবশ্যই, এখন আমাদের সিস্টেমটি ফায়ারওয়ালড হয়ে গেছে, আমাদের যা করা দরকার তা পাওয়ার জন্য আমাদের কিছু সংযোগের প্রয়োজন হতে চলেছে। আপনি এগুলিকে "/ ইত্যাদি/শোরওয়াল/বিধি" এ নিয়ম ফাইলে সংজ্ঞায়িত করুন।
এই ফাইলটি প্রথমে বিভ্রান্ত দেখাচ্ছে, মূলত কারণ কলামগুলি ওভারল্যাপ করে, তবে শিরোনামগুলি বেশ স্ব-বর্ণনামূলক। প্রথমত, আপনার কাছে অ্যাকশন কলাম রয়েছে, এতে আপনি কী করতে চান তা বর্ণনা করে describes
এরপরে, আপনার কাছে একটি উত্স হেডার রয়েছে যেখানে আপনি জোনটি সংজ্ঞায়িত করেন যেখানে প্যাকেটটি উত্পন্ন হচ্ছে। তারপরে, আপনার নিজের ডিএসটি বা গন্তব্য আছে, যা গন্তব্যের জোন বা আইপি ঠিকানা। একটি উদাহরণ ব্যবহার করা যাক।
ধরুন আপনি 192.168.1.25 এর আইপি ঠিকানা দিয়ে মেশিনে আপনার ফায়ারওয়ালের পিছনে একটি এসএসএইচ সার্ভার চালাতে চান। আপনাকে কেবল আপনার ফায়ারওয়ালে একটি পোর্ট খোলার দরকার নেই, তবে আপনাকে ফায়ারওয়ালকে বলতে হবে যে 22 পোর্টে আসা যে কোনও ট্র্যাফিকের জন্য 192.168.1.25 নম্বরে মেশিনে যেতে হবে।
এটি পোর্ট ফরওয়ার্ডিং হিসাবে পরিচিত। এটি বেশিরভাগ ফায়ারওয়াল/রাউটারগুলিতে একটি সাধারণ বৈশিষ্ট্য। “/ ইত্যাদি/শোরওয়াল/নিয়ম” তে আপনি এর মতো একটি লাইন যুক্ত করে এটি সম্পাদন করবেন:
SSH(DNAT) net loc:192.168.1.25
উপরে, আমরা নেট অঞ্চল থেকে ফায়ারওয়ালে আসা যে কোনও এসএসএইচ গন্তব্যযুক্ত প্যাকেটগুলি সংজ্ঞায়িত করেছি 192 192.168.1.25 ঠিকানার সাথে মেশিনে 22 পোর্টে রুট করতে হবে (ডিএনএটি)।
একে নেটওয়ার্ক অ্যাড্রেস ট্রান্সলেশন বা NAT বলা হয়। "ডি" শোরওয়ালকে কেবল জানায় যে এটি কোনও গন্তব্যের ঠিকানার জন্য একটি NAT।
এটি কাজ করার জন্য, আপনার কার্নেলের মধ্যে NAT সমর্থন সক্ষম থাকতে হবে। আপনার যদি NAT এর প্রয়োজন হয় এবং এটি না থাকলে দয়া করে একটি ডেবিয়ান কার্নেল রিকম্পাইলিং সম্পর্কিত আমার টিউটোরিয়ালটি দেখুন।
রেফারেন্স লিংক
শোরওয়াল হোমপেজ
পরের নিবন্ধে, আমরা আরও কয়েকটি উন্নত বিষয়ে চলব, তবে আপাতত আপনাকে এখানে শুরু করার জন্য এখানে প্রচুর পরিমাণে থাকা উচিত। সর্বদা হিসাবে, আরও গভীরতর বোঝার জন্য দয়া করে ম্যান পৃষ্ঠাগুলি একবার দেখুন।