#mais simples, no debian.
#Atualize seu S.O.
apt-get update
#Instalação do shorewall
apt-get install shorewall
#Apos instalar vamos configurar o shorewall para utilizar duas
#interfaces eth0 para internet e eth1 para rede interna.
#Vamos copiar os arquivos de configuração de exemplo.
cd /usr/share/doc/shorewall-common/examples/two-interfaces/
cp rules interface policy zones masq routestopped /etc/shorewall
===================================================================
#No arquivo interfaces iremos adicionar qual interface sera para
#internet e para rede interna
#Modifique apenas as linhas
# net eth0 detect
# loc eth1 detect
# Nao remova a ultima linha.
# Exemplo abaixo #
##################################################################### #ZONE INTERFACE BROADCAST OPTIONS net eth0 detect loc eth1 detect #LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE
===================================================================
#No arquivo masq iremos adicionar qual interface sera para internet
#e para rede interna
#Modifique apenas a penultima linha
# neste caso podemos colocar
# eth0 eth1
#ou a faixa da rede interna.
# eth0 192.168.1.0/24
#
# Exemplo abaixo #
##################################################################### #INTERFACE SUBNET ADDRESS PROTO PORT(S) IPSEC eth0 eth1 #LAST LINE -- ADD YOUR ENTRIES ABOVE THIS LINE -- DO NOT REMOVE
===================================================================
#No arquivo policy iremos adicionar as regras gerais, de bloqueio e
#liberação
#adicione antes da ultima linha as regras
#Descrição:
# loc = rede local net = internet
# $FW = firewall (este servidor)
#REJECT = bloqueia o acesso ACCEPT = libera o acesso
#DROP = rejeita sem informar ao usuario.
#info = grava o log em /var/log/messages
#Bloqueia tudo que for sair da rede interna para internet,
#so passa o que for liberado no arquivo rules.
loc net REJECT info
#Libera todas as portas de entrada do firewall para rede interna.
loc $FW ACCEPT
#Rejeita tudo, menos o que estiver no arquivo rules.
loc all REJECT info
#firewall para internet tudo liberado
$FW net ACCEPT
#firewall para rede interna tudo liberado
$FW loc ACCEPT
#firewall para tudo que nao seja as conf acima tudo bloqueado,
#grava log $FW all REJECT info net $FW DROP info net loc DROP info net all DROP info all all REJECT info #LAST LINE -- ADD YOUR ENTRIES ABOVE THIS LINE -- DO NOT REMOVE
===================================================================
#No arquivo zones iremos informar tipo de protocolo utilizado.
#adicione antes da ultima linha as regras
##################################################################### #ZONE TYPE OPTIONS IN OUT # OPTIONS OPTIONS fw firewall net ipv4 loc ipv4 #LAST LINE - ADD YOUR ENTRIES ABOVE THIS ONE - DO NOT REMOVE
===================================================================
#No arquivo rules iremos adicionar as liberações e
#redirecionamentos, este arquivo é o mais importante
#mantenha esse arquivo organizado.
#Remova todo conteudo do arquivo e adicione o conteudo abaixo.
# Exemplo #
####### Regras da Net para o Firewall ACCEPT net fw tcp 22 #SSH ACCEPT net fw udp 53 #DNS ACCEPT net fw tcp 80 #HTTP ACCEPT net fw tcp 25 #SMTP ACCEPT net fw tcp 110 #POP Ping/ACCEPT net fw
####### Regras de Rede Local para o Firewall ACCEPT loc fw tcp 22 #SSH ACCEPT loc fw tcp 25 #SMTP ACCEPT loc fw tcp 110 #POP ACCEPT loc fw icmp ACCEPT loc fw tcp 80 #HTTP ACCEPT loc fw udp 53 #DNS
####### Regras da Rede Local para a Net ACCEPT loc net icmp ACCEPT loc net udp 53 #DNS ACCEPT loc net udp 123 #NTP ACCEPT loc net tcp 22 #SSH ACCEPT loc net tcp 21 #FTP ACCEPT loc net tcp 80 #HTTP ACCEPT loc net tcp 443 #HTTPS ACCEPT loc net tcp 1863 #MSN ACCEPT loc net tcp 3389 #TS
# Libera o acesso ao email por outlook do ip 192.168.0.100
#para a internet.
ACCEPT loc:192.168.0.100 net tcp 25 #SMTP
ACCEPT loc:192.168.0.100 net tcp 143 #IMAP ACCEPT loc:192.168.0.100 net tcp 110 #POP
#Libera todas as portas do ip 192.168.0.110 de
#saida da rede interna para intenet
ACCEPT loc:192.168.0.110 net tcp -
###################### Redirecionamentos ############################ # Redireciona da porta 5911 externa para a
#porta 5900 do ip 192.168.0.120
#da rede interna DNAT net loc:192.168.0.120:5900 tcp 5911
#Redirecionamentos para responder internamente pelo ip externo
DNAT loc loc:192.168.0.254 tcp - - 189.7.145.1 DNAT $FW loc:192.168.0.254 tcp - - 189.7.145.1
#Proxy Transparente - Redireciona tudo que vier da porta 80 para
#a porta 3128 do squid, os ips que estiverem apos o sinal de
# ! nao irão passar pelo proxy squid.
REDIRECT loc 3128 tcp www - !192.168.2.254,201.22.213.9,200.201.173.0/24
#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE
===================================================================
Credito: Maicon Alves