Shorewalli tulemüüri seadistuste ja käsurea suvandite uurimine

Oma eelmises artiklis vaatasime Shorewalli, kuidas seda installida, seadistada konfiguratsioonifaile ja konfigureerida pordi edastamist NATi kaudu. Selles artiklis uurime mõningaid Shorewalli levinumaid vigu, mõningaid lahendusi ja tutvustame selle käsureavalikuid.

1. Shorewall - kõrgetasemeline tulemüür Linuxi serverite konfigureerimiseks - 1. osa

Shorewall pakub laia valikut käske, mida saab käsureal käivitada. Kui vaadata inimese kaldaseina, peaks see teile palju nägema, kuid esimene ülesanne, mida me kavatseme täita, on meie konfiguratsioonifailide kontroll.

$ sudo shorewall check

Shorewall prindib kõigi teie konfiguratsioonifailide ja nendes sisalduvate valikute kontrolli. Väljund näeb välja umbes selline.

Determining Hosts in Zones...
Locating Actions Files...
Checking /usr/share/shorewall/action.Drop for chain Drop...
Checking /usr/share/shorewall/action.Broadcast for chain Broadcast...
Checking /usr/shrae/shorewall/action.Invalid for chain Invalid...
Checking /usr/share/shorewall/action.NotSyn for chain NotSyn..
Checking /usr/share/shorewall/action.Reject for chain Reject...
Checking /etc/shorewall/policy...
Adding Anti-smurf Rules
Adding rules for DHCP
Checking TCP Flags filtering...
Checking Kernel Route Filtering...
Checking Martian Logging...
Checking Accept Source Routing...
Checking MAC Filtration -- Phase 1...
Checking /etc/shorewall/rules...
Checking /usr/share/shorewall/action.Invalid for chain %Invalid...
Checking MAC Filtration -- Phase 2...
Applying Policies...
Checking /etc/shorewall/routestopped...
Shorewall configuration verified

Maagiline joon, mida otsime, on allservas, kus on kiri: "Shorewalli konfiguratsioon on kontrollitud". Kui saate vigu, on need tõenäoliselt tingitud kerneli konfiguratsioonis puuduvatest moodulitest.

Näitan teile, kuidas lahendada kaks levinumat viga, kuid kui kavatsete oma masinat kasutada tulemüürina, peate oma tuuma kompileerima kõigi vajalike moodulitega.

Esimene ja kõige tavalisem viga on NAT-i viga.

Processing /etc/shorewall/shorewall.conf...
Loading Modules...
Checking /etc/shorewall/zones...
Checking /etc/shorewall/interfaces...
Determining Hosts in Zones...
Locating Actions Files...
Checking /usr/share/shorewall/action.Drop for chain Drop...
Checking /usr/share/shorewall/action.Broadcast for chain Broadcast...
Checking /usr/shrae/shorewall/action.Invalid for chain Invalid...
Checking /usr/share/shorewall/action.NotSyn for chain NotSyn..
Checking /usr/share/shorewall/action.Reject for chain Reject...
Checking /etc/shorewall/policy...
Adding Anti-smurf Rules
Adding rules for DHCP
Checking TCP Flags filtering...
Checking Kernel Route Filtering...
Checking Martian Logging...
Checking Accept Source Routing...
Checking /etc/shorewall/masq...
    ERROR: a non-empty masq file requires NAT in your kernel and iptables /etc/shorewall/masq (line 15)

Kui näete midagi sarnast, on tõenäoline, et teie praegune kernel pole koostatud NAT-i toega. See on tavaline enamiku pakendamata tuumade puhul. Alustamiseks lugege palun minu õpetust teemal „Kuidas koostada Debiani tuuma”.

Veel üks levinud viga, mille kontrollimine tekitas, on viga iptablesi ja logimise kohta.

[email :/etc/shorewall# shorewall check
Checking...
Processing /etc/shorewall/params...
Processing /etc/shorewall/shorewall.conf
Loading Modules..
   ERROR: Log level INFO requires LOG Target in your kernel and iptables

Selle saate ka uude tuuma kompileerida, kuid kui soovite kasutada ULOG-i, on selle jaoks kiire lahendus. ULOG on syslogist erinev logimismehhanism. Seda on üsna lihtne kasutada.

Selle seadistamiseks peate kõigis failides/etc/shorewall kõikides konfiguratsioonifailides muutma "info" eksemplariks "ULOG". Järgmine käsk saab seda teie jaoks teha.

$ cd /etc/shorewall
$ sudo sed –i ‘s/info/ULOG/g’ *

Pärast seda muutke faili /etc/shorewall/shorewall.conf ja määrake rida.

LOGFILE=

Sinna, kuhu soovite oma logi salvestada. Minu oma on /var/log/shorewall.log.

LOGFILE=/var/log/shorewall.log

„Sudo shorewall check“ käivitamine peaks andma teile puhta tervise.

Shorewalli käsurealiidesega on süsteemiadministraatoritel kaasas palju käepäraseid ühekaupa. Üks sageli kasutatav käsk, eriti kui tulemüüris tehakse arvukalt muudatusi, on praeguse konfiguratsiooniseisundi salvestamine, et saaksite keerukate probleemide korral tagasi liikuda. Selle süntaks on lihtne.

$ sudo shorewall save <filename>

Tagasikerimine on sama lihtne:

$ sudo shorewall restore <filename>

Shorewalli saab käivitada ja konfigureerida ka alternatiivse konfiguratsioonikataloogi kasutamiseks. Võite määrata, et see on käsk start, kuid soovite seda kõigepealt kontrollida.

$ sudo shorewall check <config-directory>

Kui soovite lihtsalt konfiguratsiooni proovida ja kui see töötab, käivitage see, saate määrata proovimisvaliku.

$ sudo shorewall try <config-directory> [  ]

Shorewall on vaid üks paljudest tugevatest tulemüürilahendustest, mis on saadaval Linuxi süsteemides. Sõltumata sellest, millises võrguspektri otsas te olete, paljud leiavad, et see on lihtne ja kasulik.

See on vaid väike algus ja selline, mis aitab teil teele asuda, ilma et peaksite põhjalikult tegelema võrgustike loomise mõistetega. Nagu alati, uurige palun mehelehti ja muid allikaid. Shorewalli meililist on vinge koht ning ajakohane ja hästi hoitud.