Когда я работаю над файлами конфигурации, особенно с почтовым сервером, я хотел бы временно отключить весь входящий трафик, кроме порта 22. Поэтому я не рискую потерять входящую почту, если мне нужно перенести почтовый сервер на другой сервер. , или что-то вроде того.
Как я мог это сделать с помощью Shorewall?
Я думал создать файл правил, чтобы перенаправить весь трафик на несуществующий внутренний IP-адрес и при необходимости переключить его с помощью обычного файла.
вы можете создать небольшой скрипт, который просто остановит shorewall и перезапустит его с другой конфигурацией каталога:
# shorewall stop
# shorewall start / etc / shorewall-temp
Когда вам понадобится старая конфигурация, я думаю, что перезапуск Shorewall просто перезапустится с параметрами по умолчанию.
Я предполагаю, что «Интернет» - это NET, а ваши внутренние машины - LOC. Изменения в соответствии с вашими потребностями.
Вы говорите порт 22 и говорите о почте. Я предполагаю, что вы хотите отбросить весь трафик и разрешить только трафик SSH. Не разрешать весь почтовый трафик?
Используйте DNAT для пересылки трафика в файле правил.
DNAT net loc:192.168.0.3:22 tcp 22
Это перенаправляет трафик на порт 22 (обычно SSH) на брандмауэре ($ FW) на внутренний IP-адрес 192.168.0.3.
Если вы хотите сбросить весь трафик, сделайте это в файле правил shorewall (важен порядок правил):
ACCEPT net loc:mailserver_ip tcp 22
REJECT net loc:mailserver_ip
Конечно, вам нужно поменять mailserver_ip на правильный IP. Во-вторых, если почтовый сервер находится на том же сервере, что и shorewall. Вы должны обозначить это с помощью $ FW вместо loc: mailserver_ip
Я делаю то же самое со своим брандмауэром Watchguard, как предложил Пьер: я храню 2 файла конфигурации, один из которых является моим рабочим файлом конфигурации, а другой блокирует все входящие службы, кроме тех, которые я хочу продолжать, пока я выполняю обслуживание. Когда я планирую техническое обслуживание, я просто загружаю свою конфигурацию обслуживания, а когда я закончу, я загружаю производственную конфигурацию.