Shorewall ın IPv6 destekler hale getirilmesi NASIL
ÖNKOŞULLAR:
Shorewall ‘u IPv6 ile kullanmak için, güvenlik duvarınız şu önkoşullara sahip olmalıdır;
1- Kernel 2.6.25 veya sonrası.
2- Iptables 1.4.0 veya sonrası (1.4.1.1 tavsiye edilir.)
3- Perl 5.10 ve Perl Socket6 kütüphanesine sahip olmalısınız. İsterseniz IPv6 ayar dosyalarınıza DNS isimlerini ekleyebilirsiniz.
PAKETLER:
Shorewall IPv6 destegi iki yeni paket sunar;
1- Shorewall6 (/sbin/shorewall6).
Bu paket Shorewall (/sbin/shorewall) in IPv6 destekleyen eşdeğer halidir.
2- Shorewall6 Lite.
Bu paket Shorewall Lite in IPv6 destekleyen eşdeğer halidir. Paket kendi ayarlarını /etc/shorewall6-lite içinde tutar.
IPv4/IPv6 ETKİLEŞİMİ:
IPv4 yada IPv6 nın IP bağlantısı birbirinden farklıdır. IPv4 bağlantısı, Shorewall (Shorewall-lite) tarafından kontrol edilirken, IPv6 bağlantısı Shorewall6 (Shorewall6-lite) tarafından kontrol edilir. Firewall u tek adres ailesinden başlatmak yada durdurmak, diger adres ailelerini etkilemez.
Sonuç olarak, Shorewall6 ve Shorewall arasındaki ufacık bir etkileşim olacak.
DISABLE_IPV6:
Shorewall6 nın Shorewall i etkileyen ayarı /etc/shorewall/shorewall.conf içindeki DISABLE_IPV6 satırıdır. Shorewall6 yı ayarlayacağınız zaman satırı, DISABLE_IPV6=No yapıp, Shorewall veya Shorewall-lite ı yeniden başlatmanız yeterli olacaktır.
TC_ENABLED:
Ayarlarınızdaki trafic şeklini ayarlıyacak bir diğer kısım ise; tcdevices ve tcclasses dosyasıdır.(Shorewall ve Shorewall6 daki aynı şeydir) Yapmamız gereken;
TC_ENABLED=Interval (Shorewall veya Shorewall6 da) VE
TC_ENABLED=No (diger üründe)
CLEAR_TC=No bir öncekini yaptıgınız üründe.
Not: TC_ENABLED=Interval olan ürün önemsenmeyecektir.
IPv4 paket belirteci /etc/shorewall/tcrules de kontrol edilir.
IPv6 paket belirteci /etc/shorewall6/tcrules de kontrol edilir.
KEEP_RT_TABLES:
Multi-ISP kullanıcıların yapmak zorunda oldukları bir işlem daha vardır. Provider dosyasını bir giriş yaptığı zaman, Shorewall, başlarken, yeniden başlarken /etc/iproute2/rt_tables dosyasını değiştirir, kapatırken ise yeniden yükler.
KEEP_RT_TABLES=Yes (shorewall.conf) satırı, rt_tables ın Shorewall tarafından değişmesini engeller.
Shorewall6 da benzer bir yol izler.
Multi-ISP kullanıcılarını tavsiye olarak;
-Aynı sağlayıcılar için, aynı ismi seçin.
-KEEP_RT_TABLES satırını;
shorewall.conf için ‘No’
shorewall6.conf için ‘Yes’ yapın.
Bu ayar rt_tables dosyasının içeriğini kontrol etmenizi sağlayacaktır.
6TO4:
IPv6 baglantınız için 6to4 tunnel kullanıyorsanız, /etc/shorewall/tunnels deki girdilere ihtiyacınız olacaktır.
<code>
#TYPE ZONE GATEWAY GATEWAY
# ZONE
6to4 net
#LAST LINE — ADD YOUR ENTRIES BEFORE THIS ONE — DO NOT REMOVE
</code>
SHOREWALL6 VE SHOREWALL ARASINDAKİ FARKLAR:
Shorewall6 nın ayarları bir kaç istisna hariç Shorewall ayarları ile benzerlik göstermektedir:
No NAT:
NAT ın hiçbir durumu desteklenmez. Bir çok insan bunun dev bir adım olduğunu düşünür.
DEAFULT ZONE TYPE:
Shorewall6 da bu deger < ipv6 > dır. Bu degeri /etc/shorewall/zones da belirmelisiniz. Eger yanlıs bir ayar yaparsanız, anlık bir hata ile karşılaşırsınız.
ARAYUZ AYARLARI:
Tüm arayüz ayarlarınızı /etc/shorewall/interfaces da yapabilirisinz:
blacklist:
Shorewall ile aynı.
bridge:
Shorewall ile aynı.
dhcp:
Server daki arayüz, IPv6 DHCP veya firewall ın host ladığı bir IPv6 DHCP server ı tarafından atanır.
maclist:
Shorewall ile aynı.
nosmurfs:
Kaynak paketlerin IP adreslerinin kontrolü ve gelen paketlerin adresleri:
- Bir IPv6 multicast adresi.
- Herhangi bir global unicast adresleri için subnet-router anycast adresleri arayüze atanması.
- Herhangi bir global unicast adresleri için ir RFC 2526 anycast adresinin arayüze atanması.
optional:
Shorewall ile aynı.
routeback:
Shorewall ile aynı.
sourceroute[={0|1}] :
Shorewall ile aynı.
tcpflags
Shorewall ile aynı.
mss=mss
Shorewall ile aynı.
forward[={0|1}] :
Sistem davranışındaki ihtiyaçlarına göre, shorewall6.conf dosyasındaki IP_FORWARDING satırını değiştirebilirsiniz.
- 1 değeri için, router olarak davranır.
- 2 değeri için, host olarak davranır.
HOST AYARLARI:
blacklist:
Shorewall ile aynı.
maclist:
Shorewall ile aynı.
routeback:
Shorewall ile aynı.
tcpflags:
Shorewall ile aynı.
ADRESLER BELİRLERME:
Herhangi bir yerdeki adresler veya adres listeleri (”:”) kolonunu izliyorsa, okunabilirliği arttırmak için adresler veya liste, köşeli parantezler(”<”and”>”) arasına yazılabilir.
Örnek (/etc/shorewall6/rules):
<code>
#ACTION SOURCE DEST PROTO DEST
# PORT(S)
ACCEPT net $FW:<2002:ce7c:92b4::3> tcp 22
</code>
Bir kolon, arayüzden önce geldiği zaman köşeli paranteze ihtiyaç duyulur.
Örnek (/etc/shorewall6/rules):
<code>
#ACTION SOURCE DEST PROTO DEST
# PORT(S)
ACCEPT net:wlan0:<2002:ce7c:92b4::3> tcp 22
</code>
STOPPED STATE:
Shorewall6 veya Shorewall6 Lite stopped state te ise, aşağıdaki tarfiğe izin verilir.
- Multicast tanımlamalı IP adresi ile trafik. (ff00::/8)
- Yerel kaynak bağı adresi ile trafik. (ff800::/8)
- Yerel tanımlamalı bağ adresi ile trafik.
MULTI-ISP:
Linux IPv6 yığınının, yönlendirme balansı desteği yoktur. Dolayısıyla Shorewall6 olarak, ne shorewall6-providers taki denge seceneği, ne de shorewall6.conf daki USE_DEFAULT=Yes secenegi desteklenmektedir.
/sbin/shorewall6 VE /sbin/shorewall6-lite KOMUTLARI:
/sbin/shorewall daki benzer komut desteği /sbin/shorewall6 da yoktur.
- hits
- ipcalc
- iprange
Ayrıca Shorewall6 tabanlı Shorewall-perl den beri dynamic-zones desteklenmemektedir. Bundan dolayı add ve delete komutları, shorewall6 ve shorewall6-lite ta desteklenmemektedir.
MAKROLAR:
Uygulama makroları için Shorewall-common da Shorewall6 paket desteği vardır. Öntanımlı ayarlar /usr/share/shorewall/ da CONFIG_PATH tir.
IPV6 DESTEĞİ KURULUMU:
Şu paketlere ihtiyacınız olacak;
- Shorewall-common 4.2.4 yada üstü.
- Shorewall-perl 4.2.4 yada üstü.
- Shorewall6 4.2.4 yada üstü.
Merkezi IPv6 firewall yönetimine izin vermek için, uzak firewall unuza Shorewall6-lite 4.3.4 kurabilirsiniz.
