Izpētīt Shorewall ugunsmūra konfigurāciju un komandrindas opcijas


Manā iepriekšējā rakstā mēs apskatījām Shorewall, kā to instalēt, iestatīt konfigurācijas failus un konfigurēt porta pārsūtīšanu, izmantojot NAT. Šajā rakstā mēs izpētīsim dažas izplatītākās Shorewall kļūdas, dažus risinājumus un iepazīsimies ar tās komandrindas opcijām.

  1. Shorewall - augsta līmeņa ugunsmūris Linux serveru konfigurēšanai - 1. daļa

Shorewall piedāvā plašu komandu klāstu, kuras var izpildīt komandrindā. Ieskatoties cilvēka krasta sienā, jums vajadzētu redzēt daudz, bet pirmais uzdevums, kuru mēs veiksim, ir mūsu konfigurācijas failu pārbaude.

$ sudo shorewall check

Shorewall izdrukās visu jūsu konfigurācijas failu pārbaudi un tajos ietvertās opcijas. Rezultāts izskatīsies apmēram šādi.

Determining Hosts in Zones...
Locating Actions Files...
Checking /usr/share/shorewall/action.Drop for chain Drop...
Checking /usr/share/shorewall/action.Broadcast for chain Broadcast...
Checking /usr/shrae/shorewall/action.Invalid for chain Invalid...
Checking /usr/share/shorewall/action.NotSyn for chain NotSyn..
Checking /usr/share/shorewall/action.Reject for chain Reject...
Checking /etc/shorewall/policy...
Adding Anti-smurf Rules
Adding rules for DHCP
Checking TCP Flags filtering...
Checking Kernel Route Filtering...
Checking Martian Logging...
Checking Accept Source Routing...
Checking MAC Filtration -- Phase 1...
Checking /etc/shorewall/rules...
Checking /usr/share/shorewall/action.Invalid for chain %Invalid...
Checking MAC Filtration -- Phase 2...
Applying Policies...
Checking /etc/shorewall/routestopped...
Shorewall configuration verified

Maģiskā līnija, ko mēs meklējam, ir tā, kas atrodas apakšā: "Shorewall configuration verified". Ja saņemat kādas kļūdas, tās, visticamāk, rodas kodolu konfigurācijā trūkstošo moduļu dēļ.

Es jums parādīšu, kā novērst divas biežāk sastopamās kļūdas, taču jums ir jākompilē kodols ar visiem nepieciešamajiem moduļiem, ja plānojat savu mašīnu izmantot kā ugunsmūri.

Pirmā un visbiežāk sastopamā kļūda ir kļūda par NAT.

Processing /etc/shorewall/shorewall.conf...
Loading Modules...
Checking /etc/shorewall/zones...
Checking /etc/shorewall/interfaces...
Determining Hosts in Zones...
Locating Actions Files...
Checking /usr/share/shorewall/action.Drop for chain Drop...
Checking /usr/share/shorewall/action.Broadcast for chain Broadcast...
Checking /usr/shrae/shorewall/action.Invalid for chain Invalid...
Checking /usr/share/shorewall/action.NotSyn for chain NotSyn..
Checking /usr/share/shorewall/action.Reject for chain Reject...
Checking /etc/shorewall/policy...
Adding Anti-smurf Rules
Adding rules for DHCP
Checking TCP Flags filtering...
Checking Kernel Route Filtering...
Checking Martian Logging...
Checking Accept Source Routing...
Checking /etc/shorewall/masq...
    ERROR: a non-empty masq file requires NAT in your kernel and iptables /etc/shorewall/masq (line 15)

Ja redzat kaut ko līdzīgu šim, iespējams, ka jūsu pašreizējais kodols nav apkopots ar NAT atbalstu. Tas ir raksturīgi lielākajai daļai kodola kodolu. Lūdzu, izlasiet manu pamācību “Kā sastādīt Debian kodolu”, lai sāktu darbu.

Vēl viena izplatīta kļūda, ko rada pārbaude, ir kļūda par iptables un reģistrēšanu.

[email :/etc/shorewall# shorewall check
Checking...
Processing /etc/shorewall/params...
Processing /etc/shorewall/shorewall.conf
Loading Modules..
   ERROR: Log level INFO requires LOG Target in your kernel and iptables

Tas ir arī kaut kas, ko varat apkopot jaunā kodolā, taču, ja vēlaties izmantot ULOG, tam ir ātrs labojums. ULOG ir atšķirīgs reģistrēšanas mehānisms no syslog. To ir diezgan viegli izmantot.

Lai to iestatītu, visos konfigurācijas failos/etc/shorewall ir jāmaina katrs “info” gadījums uz “ULOG”. Šī komanda var to izdarīt jūsu vietā.

$ cd /etc/shorewall
$ sudo sed –i ‘s/info/ULOG/g’ *

Pēc tam rediģējiet failu /etc/shorewall/shorewall.conf un iestatiet līniju.

LOGFILE=

Tur, kur vēlaties, lai jūsu žurnāls tiktu saglabāts. Mans ir mapē /var/log/shorewall.log.

LOGFILE=/var/log/shorewall.log

Veicot “sudo krasta pārbaudi”, jums būs jāsniedz tīrs rēķins par veselību.

Shorewall komandrindas saskarnē ir daudz ērtu vienas līnijas līniju sistēmu administratoriem. Viena bieži izmantota komanda, it īpaši, ja ugunsmūrī tiek veiktas daudzas izmaiņas, ir saglabāt pašreizējo konfigurācijas stāvokli, lai jūs varētu atgriezties, ja rodas kādas komplikācijas. Sintakse tam ir vienkārša.

$ sudo shorewall save <filename>

Atgriešanās ir tikpat vienkārša:

$ sudo shorewall restore <filename>

Shorewall var arī sākt un konfigurēt, lai izmantotu alternatīvu konfigurācijas direktoriju. Jūs varat norādīt, ka šī ir sākuma komanda, taču vispirms vēlaties to pārbaudīt.

$ sudo shorewall check <config-directory>

Ja vēlaties vienkārši izmēģināt konfigurāciju un, ja tā darbojas, palaidiet to, varat norādīt izmēģināšanas opciju.

$ sudo shorewall try <config-directory> [  ]

Shorewall ir tikai viens no daudzajiem stabilajiem ugunsmūra risinājumiem, kas ir pieejami Linux sistēmās. Neatkarīgi no tīkla spektra gala, kurā atrodaties, daudzi uzskata, ka tas ir vienkāršs un noderīgs.

Tas ir tikai neliels sākums, un tas var dot jums ceļu, neiedziļinoties tīkla koncepcijās. Kā vienmēr, lūdzu, izpētiet un apskatiet rokasgrāmatas lapas un citus resursus. Shorewall adresātu saraksts ir lieliska vieta, tā ir atjaunināta un labi uzturēta.