Das Paket ist relativ klein und ist bei sourceforge zu finden:
Shorewall at sourceforge
Genaugenommen ist es eine Sammlung von Shellskripten, die aber ausgezeichnet erklärt sind und man nahezu jede Konfiguration einrichten kann, ohne große Ahnung von Netzwerken haben zu müssen. Also man muß kein TCP-Experte sein oder ein Unix-Guru *lol*
Das Programm benötigt den Kernel 2.4 mit installiertem iptables und ggf. netfilter. Es gibt noch eine ältere Version, die mit dem Kernel 2.2 und ipchains funktioniert. Der Autor erklärt aber in seiner Dokumentation genau, was man benötigt und welche Version man besser updaten sollte. Außer der bash, die eigentlich standardmäßig vorhanden ist, benötigt man nichts. Naja, ein paar Minuten Zeit. Man kann sich sogar fertige Konfigurationen für die meisten Fälle herunterladen.
Das Prinzip ist einfach und man muß sich nicht einen 1000-Seiten Wälzer über iptables kaufen. In einer Datei definiert man die "Zonen". Zum Beispiel "lan" und "inet". In einer weiteren Datei bindet man diese an seine Interfaces, beispielsweise lan an "eth0" und inet an "ippp0". Dazu kann man noch diverse Optionen einstellen wie Pings blocken, keine "privaten" IPs zulassen oder verwerfen von "falschen" Datenpaketen. In einer dritten Datei stellt man nun das Standardverhalten ein, die "Policies" genannt werden. Sagt man zum Beispiel "inet to lan = reject", dann ist jeglicher Verkehr vom Internet zum Heimnetz verboten, bzw. es wird "rejected". In den "rules" kann man dann die Ausnahmen festlegen und gezielt Löcher in den Paketfilter schneiden. Damit definiert man die wichtigsten Funktionen und so läuft die Firewall schon. Ferner kann man nach MAC-Adressen filtern, eine Blacklist erstellen (also bestimmte Rechner sperren) und auch VPN-Tunnel, wie IPSec oder PPTP, werden unterstützt.
Es lohnt sich auf jeden Fall ein Blick in die Dukomentation zu werfen, da der Autor auch ein bißchen Allgemein über Netzwerke erzählt und weitere nützliche Tipps gibt. Einziger Wehrmutstropfen für manche: Englisch. Es gibt zwar eine deutsche Mirrorseite, aber ich habe keine Übersetzung gefunden. ABER ein bißchen Verständnis muß man schon mitbringen, da man sonst böse Mißkonfigurationen anstellen kann, die aber nicht Schuld von Shorewall sind. Schließlich ist eine Firewall nur ein Teil der Sicherheit. Über einen kleinen Trick kann man neue Konfigurationen live probieren ohne die alte zu deaktivieren. Ich werde wohl die alte "SuSEfirewall2" rauswerfen, da diese einfach zu unflexibel für mich ist und nicht gerade zum Experimentieren einlädt, obwohl beide ja auf iptables setzen.
Ein weiteres gutes Stück Open-Source, das ein :daumen: verdient :!: