<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><meta http-equiv="Content-Type" content="text/html; charset=UTF-8" /><title>Одиночный файервол</title><link rel="stylesheet" href="html.css" type="text/css" /><meta name="generator" content="DocBook XSL Stylesheets V1.73.2" /></head><body><div class="article" lang="en" xml:lang="en"><div class="titlepage"><div><div><h2 class="title"><a id="standalone"></a>Одиночный файервол</h2></div><div><div class="authorgroup"><div class="author"><h3 class="author"><span class="firstname">Tom</span> <span class="surname">Eastep</span></h3></div></div></div><div><p class="copyright">Copyright © 2002-2005 Thomas M. Eastep</p></div><div><div class="legalnotice"><a id="id286316"></a><p>Permission is granted to copy, distribute and/or modify this
document under the terms of the GNU Free Documentation License, Version
1.2 or any later version published by the Free Software Foundation; with
no Invariant Sections, with no Front-Cover, and with no Back-Cover
Texts. A copy of the license is included in the section entitled
“<span class="quote"><a class="ulink" href="GnuCopyright.htm" target="_self">GNU Free Documentation
License</a></span>”.</p></div></div><div><p class="pubdate">2008/12/15</p></div></div><hr /></div><div class="toc"><p><b>Table of Contents</b></p><dl><dt><span class="section"><a href="#id282806">Введение</a></span></dt><dd><dl><dt><span class="section"><a href="#id257398">Системные требования</a></span></dt><dt><span class="section"><a href="#id257979">Перед тем как начать</a></span></dt><dt><span class="section"><a href="#id258293">Соглашения</a></span></dt></dl></dd><dt><span class="section"><a href="#id258311">PPTP/ADSL</a></span></dt><dt><span class="section"><a href="#id257542">Концепции Shorewall</a></span></dt><dt><span class="section"><a href="#id302201">Внешний интерфейс</a></span></dt><dt><span class="section"><a href="#id302387">IP-адреса</a></span></dt><dt><span class="section"><a href="#id302514">Разрешение других соединений</a></span></dt><dt><span class="section"><a href="#id302673">Запуск и останов Вашего файервола</a></span></dt><dt><span class="section"><a href="#id302842">Дополнительно рекоммендуемая литература</a></span></dt><dt><span class="appendix"><a href="#id302862">A. История пересмотров</a></span></dt></dl></div><div class="caution" style="margin-left: 0.5in; margin-right: 0.5in;"><h3 class="title">Caution</h3><p><span class="bold"><strong>Эта статья применима для Shorewall версии 3.0
и выше. Если Вы работаете с более ранней версией Shorewall чем Shorewall
3.0.0, тогда смотрите документацию для этого выпуска.</strong></span></p></div><div class="warning" style="margin-left: 0.5in; margin-right: 0.5in;"><h3 class="title">Warning</h3><p>Пример файлов конфигурации в составе Shorewall 3.0.0 и 3.0.1 был
некорректен. Первой генерируемой ошибкой была:</p><p><span class="bold"><strong>ERROR: No Firewall Zone Defined (ОШИБКА: Не
определены зоны файервола)</strong></span></p><p>Исправленные файла 'зоны' ('zones') и 'интерфейсы' ('interfaces')
доступны по адресу: <a class="ulink" href="http://www.shorewall.net/pub/shorewall/3.0/shorewall-3.0.1/errata/one-interface/" target="_self">http://www.shorewall.net/pub/shorewall/3.0/shorewall-3.0.1/errata/one-interface/</a>.</p><p>Эта проблема исправлена в Shorewall 3.0.2.</p></div><div class="section" lang="en" xml:lang="en"><div class="titlepage"><div><div><h2 class="title" style="clear: both"><a id="id282806"></a>Введение</h2></div></div></div><p>Установка Shorewall на отдельной Linux системе очень проста, если Вы
понимаете основы и следуете данной документации.</p><p>Это руководство не пытается ознакомить Вас со всеми особенностями
Shorewall. Оно больше сфокусировано на том, что требуется для настройки
Shorewall в наиболее типичных конфигурациях:</p><div class="itemizedlist"><ul type="disc"><li><p>Linux система</p></li><li><p>Один внешний(публичный) <acronym class="acronym">IP</acronym>-адрес</p></li><li><p>Интернет-соединение посредством кабельного модема,
<acronym class="acronym">DSL</acronym>, <acronym class="acronym">ISDN</acronym>, Frame Relay,
коммутирумой линии ... или есть соединение с <acronym class="acronym">LAN</acronym> и
Вы просто хотите защитить Вашу Linux систему от других систем в этой
<acronym class="acronym">LAN</acronym>.</p></li></ul></div><div class="section" lang="en" xml:lang="en"><div class="titlepage"><div><div><h3 class="title"><a id="id257398"></a>Системные требования</h3></div></div></div><p>Shorewall требует, чтобы у Вас был установлен пакет
<span class="command"><strong>iproute</strong></span>/<span class="command"><strong>iproute2</strong></span> (на
<span class="trademark">RedHat</span>™, этот пакет называется
<span class="command"><strong>iproute</strong></span>). Вы можете определить установлен ли этот
пакет по наличию программы <span class="command"><strong>ip</strong></span> на Вашем файерволе. Как
root, Вы можете использовать команду <span class="command"><strong>which</strong></span> для
проверки наличия этой программы:</p><pre class="programlisting">[root@gateway root]# <span class="command"><strong>which ip</strong></span>
/sbin/ip
[root@gateway root]#</pre></div><div class="section" lang="en" xml:lang="en"><div class="titlepage"><div><div><h3 class="title"><a id="id257979"></a>Перед тем как начать</h3></div></div></div><p>Я рекомендую Вам прочитать все руководство для первоначального
ознакомления, а лишь затем пройти его снова, внося изменения в Вашу
конфигурацию.</p><div class="caution" style="margin-left: 0.5in; margin-right: 0.5in;"><h3 class="title">Caution</h3><p>Если Вы редактируете Ваши файлы конфигурации на
<span class="trademark">Windows</span>™ системе, Вы должны сохранить их как
<span class="trademark">Unix</span>™ файлы в том случае, если Ваш редактор
поддерживает эту возможность, иначе Вы должны пропустить их через
программу <span class="command"><strong>dos2unix</strong></span> перед тем как использовать их.
Аналогично, если Вы копируете конфигурационный файл с Вашего жесткого
диска с Windows на дискету, Вы должны воспользоваться
<span class="command"><strong>dos2unix</strong></span> для копии перед ее использованием с
Shorewall. </p><div class="itemizedlist"><ul type="disc"><li><p><a class="ulink" href="http://www.simtel.net/pub/pd/51438.html" target="_self"><span class="trademark">Windows</span>™
версия <span class="command"><strong>dos2unix</strong></span></a></p></li><li><p><a class="ulink" href="http://www.megaloman.com/%7Ehany/software/hd2u/" target="_self">Linux
версия <span class="command"><strong>dos2unix</strong></span></a></p></li></ul></div></div></div><div class="section" lang="en" xml:lang="en"><div class="titlepage"><div><div><h3 class="title"><a id="id258293"></a>Соглашения</h3></div></div></div><p>Места, в которых рекомендуется вносить изменения, отмечены как
<img src="images/BD21298_.gif" />.</p></div></div><div class="section" lang="en" xml:lang="en"><div class="titlepage"><div><div><h2 class="title" style="clear: both"><a id="id258311"></a>PPTP/ADSL</h2></div></div></div><p><img src="images/BD21298_.gif" /></p><p>Если У Вас есть <acronym class="acronym">ADSL</acronym> модем и Вы используете
<acronym class="acronym">PPTP</acronym> для взаимодействия с сервером на этом модеме, Вы
должны сделать изменения рекоммендуемые <a class="ulink" href="PPTP.htm#PPTP_ADSL" target="_self">здесь</a> <span class="bold"><strong><span class="underline"><span class="emphasis"><em>в дополнение к тем, что описаны в последующих
шагах</em></span></span></strong></span>. <acronym class="acronym">ADSL</acronym> с
<acronym class="acronym">PPTP</acronym> наиболее распространен в Европе, особенно в
Австрии.</p></div><div class="section" lang="en" xml:lang="en"><div class="titlepage"><div><div><h2 class="title" style="clear: both"><a id="id257542"></a>Концепции Shorewall</h2></div></div></div><p>Конфигурационные файлы Shorewall находятся в директории <code class="filename">/etc/shorewall</code> -- в случае простой установки
Вам необходимо иметь дело только с немногими из них, как описано в этом
руководстве.</p><div class="warning" style="margin-left: 0.5in; margin-right: 0.5in;"><h3 class="title">Warning</h3><p><span class="bold"><strong>Замечание для пользователей
Debian</strong></span></p><p>Если Вы при установке пользовались .deb, Вы обнаружите, что
директория <code class="filename">/etc/shorewall</code>
пуста. Это сделано специально. Поставляемые шаблоны файлов
конфигурации Вы найдете на вашей системе в директории <code class="filename">/usr/share/doc/shorewall-common/default-config</code>.
Просто скопируйте нужные Вам файлы из этой директории в <code class="filename">/etc/shorewall</code> и отредактируйте
копии.</p><p>Заметьте, что Вы должны скопировать <code class="filename">/usr/share/doc/shorewall-common/default-config/shorewall.conf</code>
и <code class="filename">/usr/share/doc/shorewall-common/default-config/modules</code>
в <code class="filename">/etc/shorewall</code> даже если Вы
не будете изменять эти файлы.</p></div><p><img src="images/BD21298_.gif" /></p><p>После того как Вы <a class="ulink" href="Install.htm" target="_self">установили
Shorewall</a>, Вы можете найти примеры файлов настроек в следующих
местах:</p><div class="orderedlist"><ol type="1"><li><p>Если Вы при установке использовали <acronym class="acronym">RPM</acronym>,
примеры будут находится в поддиректории <code class="filename">Samples/one-interface</code>/ директории с
документацией Shorewall. Если Вы не знаете где расположена директория
с документацией Shorewall, Вы можете найти примеры используя
команду:</p><pre class="programlisting">~# rpm -ql shorewall | fgrep one-interface
/usr/share/doc/packages/shorewall/Samples/one-interface
/usr/share/doc/packages/shorewall/Samples/one-interface/interfaces
/usr/share/doc/packages/shorewall/Samples/one-interface/policy
/usr/share/doc/packages/shorewall/Samples/one-interface/rules
/usr/share/doc/packages/shorewall/Samples/one-interface/zones
~#</pre></li><li><p>Если Вы установили Shorewall из tarball'а, примеры находятся в
директории <code class="filename">Samples/one-interface</code> внутри
tarball'а.</p></li><li><p>Если же Вы пользовались пакетом .deb, примеры находятся в
директории <code class="filename">/usr/share/doc/shorewall-common/examples/one-interface</code>.</p></li></ol></div><p>По мере того как мы будем знакомится с каждым файлом, я надеюсь, что
Вы просмотрите реальный файл на вашей системе -- каждый файл содержит
детальное описание конфигурационных инструкций и значений по
умолчанию.</p><p>Shorewall видит сеть, в которой он работает, как состоящую из набора
<span class="emphasis"><em>зон(zones)</em></span>. В случае примера конфигурации с одним
интерфейсом, только две зоны определены:</p><pre class="programlisting">#ZONE TYPE OPTIONS IN OUT
# OPTIONS OPTIONS
fw firewall
net ipv4</pre><p>Зоны Shorewall описаны в файле <a class="ulink" href="manpages/shorewall-zones.html" target="_self"><code class="filename">/etc/shorewall/zones</code></a>.</p><p>Заметьте, что Shorewall рассматривает систему файервола как свою
собственную зону. При обработке файла
<code class="filename">/etc/shorewall/zones</code> имя зоны файервола
(“<span class="quote">fw</span>” в примере выше) храниться в переменной shell
<em class="firstterm">$FW</em>, которая может использоваться во всей
конфигурации Shorewall для ссылки на сам файервол.</p><p>Правила о том какой трафик разрешен, а какой запрещен выражаются в
терминах зон.</p><div class="itemizedlist"><ul type="disc"><li><p>Вы отражаете Вашу политику по умолчанию для соединений из одной
зоны в другую в файле<a class="ulink" href="manpages/shorewall-policy.html" target="_self"><code class="filename">/etc/shorewall/policy</code></a>.</p></li><li><p>Вы определяете исключения из политики по умолчанию в файле
<a class="ulink" href="manpages/shorewall-rules.html" target="_self"><code class="filename">/etc/shorewall/rules</code></a>.</p></li></ul></div><p>Для каждого запроса на соединение входящего в файервол, запрос
сначала проверяется на соответствие файлу<code class="filename"><code class="filename">
/etc/shorewall/rules</code></code>. Если в этом файле не найдено
правил соответствующих запросу на соединение, то применяется первая
политика из файла <code class="filename">/etc/shorewall/policy</code>, которая
соответсвует запросу. Если есть <a class="ulink" href="shorewall_extension_scripts.htm" target="_self">общее действие (common
action</a>) определенное для политики в файле
<code class="filename">/etc/shorewall/actions</code> или
<code class="filename">/usr/share/shorewall/actions.std</code>, тогда это действие
выполняется перед тем как применяется политика.</p><p>Файл <code class="filename">/etc/shorewall/policy,</code> входящий в пример с
одним интерфейсом, имеет следующие политики:</p><pre class="programlisting">#SOURCE ZONE DESTINATION ZONE POLICY LOG LEVEL LIMIT:BURST
$FW net ACCEPT
net all DROP info
all all REJECT info</pre><p>Политики приведенные выше будут:</p><div class="orderedlist"><ol type="1"><li><p>разрешать все запросы на соединение с файервола в
Internet;</p></li><li><p>отбрасывать (игнорировать) все запросы на соединение из Internet
к Вашему файерволу;</p></li><li><p>отвергать все другие запросы на соединение (Shorewall требует
наличия такой политики, применимой для всех остальных
запросов).</p></li></ol></div><p>В данный момент Вы можете отредактировать ваш файл
<code class="filename">/etc/shorewall/policy</code> и внести изменения, какие Вы
считаете необходимыми.</p></div><div class="section" lang="en" xml:lang="en"><div class="titlepage"><div><div><h2 class="title" style="clear: both"><a id="id302201"></a>Внешний интерфейс</h2></div></div></div><p>Файервол имеет один сетевой интерфейс. Если соединение с Internet
осуществляется при помощи кабельного или <acronym class="acronym">DSL</acronym>
“<span class="quote">Модема</span>”, <span class="emphasis"><em>Внешним интерфейсом</em></span> будет
ethernet-адаптер (например, <code class="filename">eth0</code>),
который подсоединен к этому “<span class="quote">Модему</span>”, <span class="underline">если же</span> Вы соединены посредством протокола
<span class="emphasis"><em>Point-to-Point Protocol over Ethernet</em></span>
(<acronym class="acronym">PPPoE</acronym>) или <span class="emphasis"><em>Point-to-Point Tunneling
Protocol</em></span> (<acronym class="acronym">PPTP</acronym>), то в этом случае
<span class="emphasis"><em>Внешним интерфейсом</em></span> будет <acronym class="acronym">PPP</acronym>
интерфейс (например, <code class="filename">ppp0</code>). Если
Вы подсоединены через обычный модем, Вашим <span class="emphasis"><em>Внешним
интерфейсом</em></span> будет также <code class="filename">ppp0</code>. Если Вы соединяетесь используя
<acronym class="acronym">ISDN</acronym>, <span class="emphasis"><em>Внешним интерфейсом</em></span> будет
<code class="filename">ippp0</code>.</p><p><img src="images/BD21298_.gif" /></p><p>Пример конфигурации Shorewall для одного интерфейса подразумевает,
что внешний интерфейс - <code class="filename">eth0</code>. Если
Ваша конфигурация отличается, Вам необходимо изменить файл примера
<code class="filename">/etc/shorewall/interfaces</code> соответственно. Пока Вы
здесь, Вы возможно захотите просмотреть список опций, специфичных для
интерфейса. Вот несколько подсказок:</p><div class="tip" style="margin-left: 0.5in; margin-right: 0.5in;"><h3 class="title">Tip</h3><p>Если Ваш внешний интерфейс <code class="filename">ppp0</code> или <code class="filename">ippp0</code>, Вы можете заменить
“<span class="quote">detect</span>”(обнаружить) во втором столбце на
“<span class="quote">-</span>”(знак минус в ковычках).</p></div><div class="tip" style="margin-left: 0.5in; margin-right: 0.5in;"><h3 class="title">Tip</h3><p>Если Ваш внешний интерфейс <code class="filename">ppp0</code> или <code class="filename">ippp0</code> или Вы имеете статический
<acronym class="acronym">IP</acronym>-адрес, Вы можете удалить “<span class="quote">dhcp</span>” из
списка опций.</p></div></div><div class="section" lang="en" xml:lang="en"><div class="titlepage"><div><div><h2 class="title" style="clear: both"><a id="id302387"></a>IP-адреса</h2></div></div></div><p>Перед тем как идти дальше, мы должны сказать несколько слов о
<span class="emphasis"><em>Internet Protocol</em></span> (<acronym class="acronym">IP</acronym>)-адресах.
Обычно, Ваш Интернет-провайдер<span class="emphasis"><em> (Internet Service
Provider</em></span> - <acronym class="acronym">ISP</acronym>) назначает Вам один
<acronym class="acronym">IP</acronym>-адрес. Этот адрес может быть назначен статически,
при помощи <span class="emphasis"><em>Протокола Динамического Конфигурирования Хостов
(Dynamic Host Configuration Protocol</em></span> -
<acronym class="acronym">DHCP</acronym>), в процессе установки Вами коммутированного
соединения (обычный модем), или при установке Вами другого типа
<acronym class="acronym">PPP</acronym> (<acronym class="acronym">PPPoA</acronym>, <acronym class="acronym">PPPoE</acronym>
и т.д.) соединения.</p><p><acronym class="acronym">RFC-1918</acronym> резервирует несколько диапазонов
<span class="emphasis"><em>Частных (Private)</em></span> <acronym class="acronym">IP</acronym>-адресов для
использования в частных сетях:</p><pre class="programlisting">10.0.0.0 - 10.255.255.255
172.16.0.0 - 172.31.255.255
192.168.0.0 - 192.168.255.255</pre><p>На эти адреса иногда ссылаются как на
<span class="emphasis"><em>немаршрутизируемые</em></span> потому, что магистральные
маршрутизаторы Интернет не переправляют пакеты, адреса назначения которых
зарезервированы <acronym class="acronym">RFC-1918</acronym>. Хотя в некоторых случаях,
<acronym class="acronym">ISP</acronym>, назначающие эти адреса, используют затем
<span class="emphasis"><em>Преобразование Сетевых Адресов (Network Address Translation -
</em></span><acronym class="acronym">NAT</acronym>) для перезаписи заголовков пакетов при
перенаправлении в/из Интернет.</p><p><img src="images/BD21298_.gif" /></p><p>Перед запуском Shorewall, <span class="bold"><strong>Вы должны взглянуть
на IP-адрес Вашего внешнего интерфейса и, если он принадлежит одному из
указанных выше диапазонов, Вы должны удалить опцию
“<span class="quote">norfc1918</span>” из записи в
<code class="filename">/etc/shorewall/interfaces</code>.</strong></span></p></div><div class="section" lang="en" xml:lang="en"><div class="titlepage"><div><div><h2 class="title" style="clear: both"><a id="id302514"></a>Разрешение других соединений</h2></div></div></div><p>Shorewall включает коллекцию макросов, которые могут быть
использованы для быстрого разрешения или запрещения служб. Вы можете найти
список макросов включенный в Вашу версия Shorewall при помощи
команды:</p><p><span class="command"><strong>ls
<code class="filename">/usr/share/shorewall/macro.*</code></strong></span></p><p>Если Вы хотите разрешить соединения из Интернет на Ваш файервол и Вы
нашли соответствующий макрос в
<code class="filename">/etc/shorewall/macro.*</code>, то общий формат правила в
<code class="filename">/etc/shorewall/rules</code> такой:</p><pre class="programlisting">#ACTION SOURCE DESTINATION PROTO DEST PORT(S)
<<span class="emphasis"><em>macro</em></span>>/ACCEPT net $FW</pre><div class="example"><a id="id302565"></a><p class="title"><b>Example 1. Вы хотите запустить Web-сервер и IMAP-сервер на Вашем
файерволе:</b></p><div class="example-contents"><pre class="programlisting">#ACTION SOURCE DESTINATION PROTO DEST PORT(S)
Web/ACCEPT net $FW
IMAP/ACCEPT net $FW</pre></div></div><br class="example-break" /><p>Вы можете также указать Ваше правило непосредственно, без
использования предопределенного макроса. Это будет необходимо в случае,
если нет предопределенного макроса соответствующего Вашим требованиям. В
этом случае общий формат правила в
<code class="filename">/etc/shorewall/rules</code> такой:</p><pre class="programlisting">#ACTION SOURCE DESTINATION PROTO DEST PORT(S)
ACCEPT net $FW <span class="emphasis"><em><protocol></em></span> <span class="emphasis"><em><port></em></span></pre><div class="example"><a id="id302606"></a><p class="title"><b>Example 2. Вы хотите запустить Web-сервер и IMAP-сервер на Вашем
файерволе:</b></p><div class="example-contents"><pre class="programlisting">#ACTION SOURCE DESTINATION PROTO DEST PORT(S)
ACCEPT net $FW tcp 80
ACCEPT net $FW tcp 143</pre></div></div><br class="example-break" /><p>Если Вы не знаете какой порт и протокол использует определенное
приложение, смотрите <a class="ulink" href="ports.htm" target="_self">здесь</a>.</p><div class="important" style="margin-left: 0.5in; margin-right: 0.5in;"><h3 class="title">Important</h3><p>Я не рекоммендую разрешать telnet в/из Интернет потому, что он
использует открытый текст (даже для передачи имени и пароля!). Если Вы
хотите иметь доступ к командному интерпретатору Вашего файервола из
Интернет, используйте <acronym class="acronym">SSH</acronym>:</p><pre class="programlisting">#ACTION SOURCE DESTINATION PROTO DEST PORT(S)
SSH/ACCEPT net $FW </pre></div><p><img src="images/BD21298_.gif" /></p><p>В этом месте, отредактируйте
<code class="filename">/etc/shorewall/rules</code> для добавления необходимых
соединений.</p></div><div class="section" lang="en" xml:lang="en"><div class="titlepage"><div><div><h2 class="title" style="clear: both"><a id="id302673"></a>Запуск и останов Вашего файервола</h2></div></div></div><p><img src="images/BD21298_.gif" /></p><p><a class="ulink" href="Install.htm" target="_self">Процедура установки</a> настраивает
Вашу систему для запуска Shorewall при загрузке системе, но запуск
остается отключен, так что система не будет пытаться запустить Shorewall
до полного завершения конфигурирования. Как только Вы полностью завершите
конфигурирование Вашего файервола, Вы можете включить запуск Shorewall,
отредактировав файл <code class="filename">/etc/shorewall/shorewall.conf</code> и
установив параметр <code class="varname">STARTUP_ENABLED=Yes</code>.</p><div class="important" style="margin-left: 0.5in; margin-right: 0.5in;"><h3 class="title">Important</h3><p>Пользователи пакета .deb должны отредактировать файл
<code class="filename">/etc/default/shorewall</code> и установить параметр
<code class="varname">STARTUP=1.</code></p></div><div class="important" style="margin-left: 0.5in; margin-right: 0.5in;"><h3 class="title">Important</h3><p>Вы должны разрешить запуск путем редактирования файла
<code class="filename">/etc/shorewall/shorewall.conf</code> и установки параметра
<code class="varname">STARTUP_ENABLED=Yes.</code></p></div><p>Файервол запускается при помощи команды “<span class="quote"><span class="command"><strong>shorewall
start</strong></span></span>” и останавливается при помощи
“<span class="quote"><span class="command"><strong>shorewall stop</strong></span></span>”. Когда файервол
остановливается, маршрутизация разрешается на те хосты, которые указаны в
<code class="filename"><a class="ulink" href="manpages/shorewall-routestopped.html" target="_self">/etc/shorewall/routestopped</a></code>.
Запущенный файервол может быть перезапущен при помощи команды
“<span class="quote"><span class="command"><strong>shorewall restart</strong></span></span>”. Если Вы хотите
полностью удалить изменения сделанные Shorewall из конфигурации Вашего
Netfilter, используйте команду “<span class="quote"><span class="command"><strong>shorewall
clear</strong></span></span>”.</p><div class="warning" style="margin-left: 0.5in; margin-right: 0.5in;"><h3 class="title">Warning</h3><p>Если Вы подсоединены к Вашему файерволу из Интернет, не
используйте команду “<span class="quote"><span class="command"><strong>shorewall stop</strong></span></span>”
если Вы не добавили запись для <acronym class="acronym">IP</acronym>-адреса, с которого
Вы подсоединены, в <a class="ulink" href="manpages/shorewall-routestopped.html" target="_self"><code class="filename">/etc/shorewall/routestopped</code></a>.
Также, я не рекоммендую использовать “<span class="quote"><span class="command"><strong>shorewall
restart</strong></span></span>”; лучше создать <span class="emphasis"><em><a class="ulink" href="configuration_file_basics.htm#Configs" target="_self">альтернативную
конфигурацию</a></em></span> и протестировать ее при помощи команды
<a class="ulink" href="starting_and_stopping_shorewall.htm" target="_self">“<span class="quote"><span class="command"><strong>shorewall
try</strong></span></span>”</a>.</p></div></div><div class="section" lang="en" xml:lang="en"><div class="titlepage"><div><div><h2 class="title" style="clear: both"><a id="id302842"></a>Дополнительно рекоммендуемая литература</h2></div></div></div><p>Я особо рекоммендую просмотреть Вам <a class="ulink" href="configuration_file_basics.htm" target="_self">страницу Общих Особенностей Файлов
Конфигурации</a> -- она содержит полезные советы об особенностях
Shorewall, делающую администрирование Вашего файервола проще.</p></div><div class="appendix" lang="en" xml:lang="en"><h2 class="title" style="clear: both"><a id="id302862"></a>A. История пересмотров</h2><div class="revhistory"><table border="0" width="100%" summary="Revision history"><tr><th align="left" valign="top" colspan="3"><b>Revision History</b></th></tr><tr><td align="left">Revision 2.0</td><td align="left">2005-09-12</td><td align="left">TE</td></tr><tr><td align="left" colspan="3">Больше обновлений для 3.0</td></tr><tr><td align="left">Revision 1.9</td><td align="left">2005-09-02</td><td align="left">CR</td></tr><tr><td align="left" colspan="3">Обновление для Shorewall 3.0</td></tr><tr><td align="left">Revision 1.8</td><td align="left">2005-07-12</td><td align="left">TE</td></tr><tr><td align="left" colspan="3">Исправлена неверная ссылка на rfc1918.</td></tr><tr><td align="left">Revision 1.7</td><td align="left">2004-02-16</td><td align="left">TE</td></tr><tr><td align="left" colspan="3">Файл /etc/shorewall/rfc1918 перемещен в
/usr/share/shorewall.</td></tr><tr><td align="left">Revision 1.6</td><td align="left">2004-02-05</td><td align="left">TE</td></tr><tr><td align="left" colspan="3">Обновление для Shorewall 2.0</td></tr><tr><td align="left">Revision 1.5</td><td align="left">2004-01-05</td><td align="left">TE</td></tr><tr><td align="left" colspan="3">Стандартные изменения</td></tr><tr><td align="left">Revision 1.4</td><td align="left">2003-12-30</td><td align="left">TE</td></tr><tr><td align="left" colspan="3">Добавлен срвет по обновлению
/etc/shorewall/rfc1918.</td></tr><tr><td align="left">Revision 1.3</td><td align="left">2003-11-15</td><td align="left">TE</td></tr><tr><td align="left" colspan="3">Начальное преобразование DocBook</td></tr></table></div></div></div></body></html>
