Shoreline Firewall

Shoreline Firewall, thường được gọi là "Shorewall", là một tường lửa dòng lệnh miễn phí và cấp cao, phần mềm router hoặc gateway để cấu hình Netfilter thông qua các mục trong một bộ cấu hình các tập tin. Hãy nhớ rằng Shorewall không được thiết kế để hoạt động như một daemon, vì nó chỉ có thể được sử dụng để cấu hình Netfilter.

Tính năng trong nháy mắt
Các tính năng chính bao gồm lọc gói tin trạng thái, hỗ trợ một số lượng không giới hạn các giao diện mạng, cho phép người dùng phân chia mạng của họ thành các vùng, cho phép nhiều vùng trên mỗi giao diện và nhiều giao diện cho mỗi vùng, hỗ trợ các vùng chồng chéo và lồng nhau, masquerading / SNAT, chuyển tiếp cổng (DNAT), NAT một-một, proxy ARP và NETMAP.

Ngoài ra, phần mềm hỗ trợ quản trị tường lửa tập trung, có giao diện người dùng dựa trên web thông qua phần mềm Webmin mạnh mẽ, cung cấp khả năng định tuyến và quản lý địa chỉ linh hoạt, kế toán giao thông, hỗ trợ hoạt động, giám sát trạng thái, hỗ trợ cầu nối / tường lửa cũng như tài liệu toàn diện.

Hỗ trợ nhiều giải pháp ảo hóa
Shoreline Firewall cũng hỗ trợ danh sách đen các địa chỉ IP riêng lẻ, hỗ trợ hoạt động, hỗ trợ VPN, kiểm soát địa chỉ MAC, hỗ trợ IPSEC, IPIP, OpenVPN và GRE tunnel, và hỗ trợ một loạt các giải pháp ảo hóa, các máy ảo phổ biến, Xen, KVM, OpenVZ, LXC và Linux-Vserver.

Hỗ trợ IPv4 và IPv6

Cả hai giao thức mạng IPv6 và IPv4 đều được hỗ trợ bởi Shorewall, có thể được tải xuống từ Softoware trong hai phiên bản, một cho giao thức Internet IPv4 và một cho IPv6, như các kho đa năng phổ quát, chạy trên cả hai phiên bản 64-bit và 32-bit nền tảng phần cứng. Ngoài ra, chương trình đi kèm với một lượng lớn các lệnh thông tin.

Hầu hết các distro của GNU / Linux được hỗ trợ

Ứng dụng này được chính thức hỗ trợ trên một loạt các nền tảng GNU / Linux, bao gồm Debian, OpenSUSE, Trustix, TurboLinux, SuSE Enterprise Linux Desktop, SuSE Enterprise Linux Server, Linux PPC, Fedora, Red Hat Enterprise Linux, Arch Linux, Slackware, LEAF / Bering, và bất kỳ hệ điều hành dựa trên RPM hoặc DEB nào khác.

Tính năng mới trong phiên bản này:

• Trình biên dịch không phân tích được cấu trúc + [n] trong đó n là một số nguyên (ví dụ + xấu [2]).
• Orion Paplawski đã cung cấp một miếng vá bổ sung 'ko.xz' vào cài đặt MODULE_SUFFIX mặc định. Sự thay đổi này liên quan đến các bản phát hành gần đây của Fedora, nơi các mô đun kết thúc bằng & quot; .ko.xz & quot ;. Ngoài miếng vá của Orion, các cấu hình mẫu đã được sửa đổi để chỉ định MODULE_SUFFIX = "ko ko.xz".



Tính năng mới trong phiên bản 5.1.4.4:

• Trình biên dịch không phân tích được cấu trúc + [n ] trong đó n là một số nguyên (ví dụ, + xấu [2]).
• Orion Paplawski đã cung cấp một miếng vá bổ sung 'ko.xz' vào cài đặt MODULE_SUFFIX mặc định. Sự thay đổi này liên quan đến các bản phát hành gần đây của Fedora, nơi các mô đun kết thúc bằng & quot; .ko.xz & quot ;. Ngoài miếng vá của Orion, các cấu hình mẫu đã được sửa đổi để chỉ định MODULE_SUFFIX = "ko ko.xz".



Tính năng mới trong phiên bản 5.1.4.2:

• Trình biên dịch không phân tích được cấu trúc + [n] trong đó n là một số nguyên (ví dụ + xấu [2]).
• Orion Paplawski đã cung cấp một miếng vá bổ sung 'ko.xz' vào cài đặt MODULE_SUFFIX mặc định. Sự thay đổi này liên quan đến các bản phát hành gần đây của Fedora, nơi các mô đun kết thúc bằng & quot; .ko.xz & quot ;. Ngoài miếng vá của Orion, các cấu hình mẫu đã được sửa đổi để chỉ định MODULE_SUFFIX = "ko ko.xz".


• Trình biên dịch không phân tích được cấu trúc + [n ] trong đó n là một số nguyên (ví dụ, + xấu [2]).
• Orion Paplawski đã cung cấp một miếng vá bổ sung 'ko.xz' vào cài đặt MODULE_SUFFIX mặc định. Sự thay đổi này liên quan đến các bản phát hành gần đây của Fedora, nơi các mô đun kết thúc bằng & quot; .ko.xz & quot ;. Ngoài miếng vá của Orion, các cấu hình mẫu đã được sửa đổi để chỉ định MODULE_SUFFIX = "ko ko.xz".



Tính năng mới trong phiên bản 5.0.3.1:

• Trình biên dịch không phân tích được cấu trúc + [n] trong đó n là một số nguyên (ví dụ + xấu [2]).
• Orion Paplawski đã cung cấp một miếng vá bổ sung 'ko.xz' vào cài đặt MODULE_SUFFIX mặc định. Sự thay đổi này liên quan đến các bản phát hành gần đây của Fedora, nơi các mô đun kết thúc bằng & quot; .ko.xz & quot ;. Ngoài miếng vá của Orion, các cấu hình mẫu đã được sửa đổi để chỉ định MODULE_SUFFIX = "ko ko.xz".



Tính năng mới trong phiên bản 5.0.2.1:

• Trình biên dịch không phân tích được cấu trúc + [n ] trong đó n là một số nguyên (ví dụ, + xấu [2]).
• Orion Paplawski đã cung cấp một miếng vá bổ sung 'ko.xz' vào cài đặt MODULE_SUFFIX mặc định. Sự thay đổi này liên quan đến các bản phát hành gần đây của Fedora, nơi các mô đun kết thúc bằng & quot; .ko.xz & quot ;. Ngoài miếng vá của Orion, các cấu hình mẫu đã được sửa đổi để chỉ định MODULE_SUFFIX = "ko ko.xz".



Tính năng mới trong phiên bản 4.6.9:

• Trình biên dịch không phân tích được cấu trúc + [n] trong đó n là một số nguyên (ví dụ + xấu [2]).
• Orion Paplawski đã cung cấp một miếng vá bổ sung 'ko.xz' vào cài đặt MODULE_SUFFIX mặc định. Sự thay đổi này liên quan đến các bản phát hành gần đây của Fedora, nơi các mô đun kết thúc bằng & quot; .ko.xz & quot ;. Ngoài miếng vá của Orion, các cấu hình mẫu đã được sửa đổi để chỉ định MODULE_SUFFIX = "ko ko.xz".



Tính năng mới trong phiên bản 4.6.8.1:

• Các trình biên dịch không phân tích được cấu trúc + [n ] trong đó n là một số nguyên (ví dụ, + xấu [2]).
• Orion Paplawski đã cung cấp một miếng vá bổ sung 'ko.xz' vào cài đặt MODULE_SUFFIX mặc định. Sự thay đổi này liên quan đến các bản phát hành gần đây của Fedora, nơi các mô đun kết thúc bằng & quot; .ko.xz & quot ;. Ngoài miếng vá của Orion, các cấu hình mẫu đã được sửa đổi để chỉ định MODULE_SUFFIX = "ko ko.xz".



Tính năng mới trong phiên bản 4.6.6.2:

• Trình biên dịch không phân tích được cấu trúc + [n] trong đó n là một số nguyên (ví dụ + xấu [2]).
• Orion Paplawski đã cung cấp một miếng vá bổ sung 'ko.xz' vào cài đặt MODULE_SUFFIX mặc định. Sự thay đổi này liên quan đến các bản phát hành gần đây của Fedora, nơi các mô đun kết thúc bằng & quot; .ko.xz & quot ;. Ngoài miếng vá của Orion, các cấu hình mẫu đã được sửa đổi để chỉ định MODULE_SUFFIX = "ko ko.xz".



Tính năng mới trong phiên bản 4.6.5:

• Các kịch bản cấu hình và trình cài đặt bây giờ hỗ trợ SERVICEDIR như là một sự thay thế cho SYSTEMD. Đối với tính tương thích, SERVICED là bí danh của SERVICEDIR.
• Trình cài đặt bây giờ cung cấp một sự lựa chọn các tệp tin .Service, được chọn bởi tùy chọn SERVICEFILE. Mặc định vẫn là $ PRODUCT.service. Mỗi sản phẩm cung cấp một tập tin .service hiện cung cấp một dịch vụ.24. Sự khác nhau giữa các tệp tin dịch vụ .và các tệp dịch vụ.214 là: a) Họ chỉ định 'after = network-online.target' thay vì 'after = network.target'. b) Tập tin shorewall-init.service.214 chỉ định 'before = network-pre.target' thay vì 'before = network.target'. Tập tin đó yêu cầu dịch vụ 214 hoặc mới hơn, do đó tên của các tập tin mới. Bất kể tập tin nào được chọn, nó được cài đặt trong $ SERVICEDIR / $ PRODUCT.service.
• cột RATE LIMIT của các tệp quy tắc giờ đây cho phép xác định cả giới hạn cho mỗi nguồn và cho mỗi đích. Xem chi tiết bờ tường [6] -đơn vị (5).
• Trước đây, / bin / sh đã được sử dụng vô điều kiện để xử lý tập lệnh trợ giúp 'getparams'. Kịch bản shell đó đọc tập tin params và truyền lại các cặp (biến, giá trị) cho trình biên dịch. Bắt đầu với bản phát hành này, $ SHOREWALL_SHELL được sử dụng để xử lý tập lệnh đó, trừ khi biên dịch xuất khẩu, trong trường hợp / bin / sh vẫn được sử dụng. Lưu ý rằng giá trị mặc định của $ SHOREWALL_SHELL là / bin / sh, do đó, trừ khi cấu hình của bạn đặt biến đó, việc nâng cấp này sẽ không có hiệu lực. Tương tự, trên một hệ thống hành chính, việc tăng cường này không ảnh hưởng đến việc xử lý các lệnh 'biên dịch -e', 'tải', 'tải lại' và 'xuất khẩu'.
• Một tùy chọn -c đã được thêm vào một số lệnh để cho phép giữ các bảng ip [6] và các bộ đếm byte.



Tính năng mới trong phiên bản 4.6.3.3:

• Bao gồm PREROUTING SECTION trong tệp kế toán vô điều kiện trong lỗi nghiêm trọng: L ERI: Không cho phép PREROUTING SECTION khi ACCOUNTING_TABLE = bộ lọc
• Trước đây, trình biên dịch có thể tạo ra nhiều quy tắc không cần thiết để thực thi các tùy chọn giao diện 'tcpflags', 'nosmurfs' và 'maclist'.

Có gì mới trong phiên bản 4.5.21.6:

• Khi một mục tiêu không chấm dứt được chỉ định ghi nhật ký, trình biên dịch sẽ sai tạo ra một lệnh 'goto' (-g) lệnh iptables thay vì lệnh 'jump' (-j). Điều này làm cho tập luật sai đi qua, thường là quy tắc 'REJECT' catchall ở cuối chuỗi INPUT hoặc FORWARD. Trình biên dịch hiện tạo ra quy tắc 'jump' trong những trường hợp này.
• Khi một giao diện chứa một khoảng thời gian (như một giao diện VLAN) được sử dụng trong lệnh 'add' hoặc 'delete', tên ipset sai đã được tạo ra, dẫn đến lỗi của lệnh.



Tính năng mới trong phiên bản 4.5.21.5:

• Một số cập nhật nhỏ đã được thực hiện cho tài liệu và manpages.
• Tập lệnh mở rộng "postcompile" đã được ghi lại tại http://www.shorewall.org/shorewall_extension_scripts.htm
• Lệnh 'add' trước đó thất bại nếu 'IPSET =' xuất hiện trong tệp shorewall.conf. Điều này đã được sửa chữa.

Tính năng mới trong phiên bản 4.5.21.4:

• Các hành động phát sóng đã được sửa chữa:
• - BROADCAST kiểu dst đã bị xóa khỏi phiên bản IPv6
• Quy tắc DROP không còn thừa trong phiên bản IPv4 đã bị chặn.
• Trước đây, nếu một lớp HFSC được chỉ định với dmax nhưng không phải là umax, thì tường lửa sẽ không bắt đầu với các thông báo:
• 14 tháng 11 13:42:42 Thiết lập kiểm soát lưu lượng truy cập ...
• HFSC: Bất hợp pháp & quot; umax & quot;
• HFSC: Bất hợp pháp & quot; sc & quot;
• ERROR: Command & quot; tc class add dev eth1 cha mẹ 1: 1 classid 1: 110 hfsc sc
• umax b dmax tốc độ 150ms 1575kbit tỷ lệ ul 3150kbit & quot; Không thành công
• Vấn đề đó đã được sửa chữa.

Tính năng mới trong phiên bản 4.2.5:
• Ngoài việc khắc phục một số sự cố, phiên bản này cung cấp các tùy chọn bổ sung để xử lý nhiều giao diện WAN cũng như cung cấp hỗ trợ trong suốt cho phiên bản add-on xtables-ipp2p.


• Phiên bản này hỗ trợ tạo các bức tường lửa IPv6 cũng như IPv4.



Tính năng mới trong phiên bản 4.2.1:

• Thêm CONNBYTES để quản lý tập tin. Mô tả mô tả HELPER.
• Đã khắc phục sự cố chỉnh sửa CONNBYTES nhỏ.
• Thêm CONNLIMIT vào chính sách và quy tắc.
• Cho phép sử dụng iptables-1.4.1.
• Thêm hỗ trợ đối sánh thời gian.
• Áp dụng bản vá của Lennart Sorensen cho kết hợp chiều dài.
• Tận dụng lợi thế --ctorigdstport
• Sửa lỗi cú pháp trong 'export'
20 Jan 18