L-esplorazzjoni tal-Konfigurazzjoni tal-Firewall Shorewall u l-Għażliet tal-Linja tal-Kmand
Fl-artiklu preċedenti tiegħi, tajna ħarsa lejn Shorewall, kif tinstallah, waqqaf il-fajls tal-konfigurazzjoni, u kkonfigurat it-trażmissjoni tal-port fuq NAT. F'dan l-artikolu, se nesploraw xi żbalji komuni ta 'Shorewall, xi soluzzjonijiet, u niksbu introduzzjoni għall-għażliet tal-linja tal-kmand tiegħu.
- Shorewall – Firewall ta' Livell Għoli għall-Konfigurazzjoni ta' Servers Linux – Parti 1
Shorewall joffri firxa wiesgħa ta 'kmandi li jistgħu jitmexxew fuq il-linja tal-kmand. Li tagħti ħarsa lejn man shorewall għandha tagħtik ħafna x'tara, iżda l-ewwel kompitu li se nwettqu huwa kontroll fuq il-fajls tal-konfigurazzjoni tagħna.
$ sudo shorewall check
Shorewall se jistampa kontroll tal-fajls tal-konfigurazzjoni kollha tiegħek, u l-għażliet li jinsabu fihom. L-output se jidher xi ħaġa bħal din.
Determining Hosts in Zones... Locating Actions Files... Checking /usr/share/shorewall/action.Drop for chain Drop... Checking /usr/share/shorewall/action.Broadcast for chain Broadcast... Checking /usr/shrae/shorewall/action.Invalid for chain Invalid... Checking /usr/share/shorewall/action.NotSyn for chain NotSyn.. Checking /usr/share/shorewall/action.Reject for chain Reject... Checking /etc/shorewall/policy... Adding Anti-smurf Rules Adding rules for DHCP Checking TCP Flags filtering... Checking Kernel Route Filtering... Checking Martian Logging... Checking Accept Source Routing... Checking MAC Filtration -- Phase 1... Checking /etc/shorewall/rules... Checking /usr/share/shorewall/action.Invalid for chain %Invalid... Checking MAC Filtration -- Phase 2... Applying Policies... Checking /etc/shorewall/routestopped... Shorewall configuration verified
Il-linja maġika li qed infittxu hija dik fil-qiegħ li taqra: \Konfigurazzjoni Shorewall verifikata. Jekk tirċievi xi żbalji, x'aktarx huma minħabba moduli neqsin fil-konfigurazzjoni tal-kernel tiegħek.
Ser nuruk kif issolvi tnejn mill-iżbalji l-aktar komuni, iżda huwa xieraq li tikkompila mill-ġdid il-qalba tiegħek bil-moduli kollha meħtieġa jekk qed tippjana li tuża l-magna tiegħek bħala firewall.
L-ewwel żball, u l-aktar komuni, huwa l-iżball dwar NAT.
Processing /etc/shorewall/shorewall.conf...
Loading Modules...
Checking /etc/shorewall/zones...
Checking /etc/shorewall/interfaces...
Determining Hosts in Zones...
Locating Actions Files...
Checking /usr/share/shorewall/action.Drop for chain Drop...
Checking /usr/share/shorewall/action.Broadcast for chain Broadcast...
Checking /usr/shrae/shorewall/action.Invalid for chain Invalid...
Checking /usr/share/shorewall/action.NotSyn for chain NotSyn..
Checking /usr/share/shorewall/action.Reject for chain Reject...
Checking /etc/shorewall/policy...
Adding Anti-smurf Rules
Adding rules for DHCP
Checking TCP Flags filtering...
Checking Kernel Route Filtering...
Checking Martian Logging...
Checking Accept Source Routing...
Checking /etc/shorewall/masq...
ERROR: a non-empty masq file requires NAT in your kernel and iptables /etc/shorewall/masq (line 15)Jekk qed tara xi ħaġa li tixbaħ din, hemm ċans li l-Kernel attwali tiegħek ma jkunx ikkompilat b'appoġġ għal NAT. Dan huwa komuni mal-biċċa l-kbira tal-Qlub barra mill-kaxxa. Jekk jogħġbok aqra t-tutorja tiegħi dwar \Kif tikkumpila Kernel Debian biex tibda.
Żball komuni ieħor prodott mill-kontroll huwa l-iżball dwar iptables u l-illoggjar.
[email :/etc/shorewall# shorewall check Checking... Processing /etc/shorewall/params... Processing /etc/shorewall/shorewall.conf Loading Modules.. ERROR: Log level INFO requires LOG Target in your kernel and iptables
Din hija wkoll xi ħaġa li tista 'tiġbor f'kernel ġdid, iżda hemm soluzzjoni ta' malajr għaliha, jekk tixtieq tuża ULOG. ULOG huwa mekkaniżmu ta' illoggjar differenti minn syslog. Huwa pjuttost faċli biex tużah.
Biex tissettja dan, trid tibdel kull istanza ta' \info għal \ULOG fil-fajls kollha tal-konfigurazzjoni tiegħek f'/etc/shorewall. Il-kmand li ġej jista 'jagħmel dan għalik.
$ cd /etc/shorewall $ sudo sed –i ‘s/info/ULOG/g’ *
Wara dan, editja l-fajl /etc/shorewall/shorewall.conf u ssettja l-linja.
LOGFILE=
Sa fejn tixtieq li l-log tiegħek jinħażen. Il-mini jinsab f'/var/log/shorewall.log.
LOGFILE=/var/log/shorewall.log
It-tmexxija ta 'sudo shorewall check għandha tagħtik kont nadif tas-saħħa.
L-interface tal-linja tal-kmand ta 'Shorewall tiġi b'ħafna one-liners utli għall-amministraturi tas-sistemi. Kmand wieħed li jintuża ta' spiss, speċjalment meta jkunu qed isiru bosta bidliet fil-firewall, huwa li tissejvja l-istat attwali tal-konfigurazzjoni sabiex tkun tista' terġa 'lura jekk ikun hemm xi kumplikazzjonijiet. Is-sintassi għal dan hija sempliċi.
$ sudo shorewall save <filename>
It-tidwir lura huwa daqstant faċli:
$ sudo shorewall restore <filename>
Shorewall jista' wkoll jinbeda u jiġi kkonfigurat biex juża direttorju ta' konfigurazzjoni alternattiv. Tista 'tispeċifika li dan huwa l-kmand tal-bidu, iżda trid tiċċekkjah l-ewwel.
$ sudo shorewall check <config-directory>
Jekk sempliċement trid tipprova l-konfigurazzjoni, u jekk tkun qed taħdem, ibdaha, tista 'tispeċifika l-għażla ipprova.
$ sudo shorewall try <config-directory> [ ]
Shorewall huwa biss waħda mill-ħafna soluzzjonijiet tal-firewall robusti li huma disponibbli fuq sistemi Linux. Ma jimpurtax f'liema tarf tal-ispettru tan-netwerking issib ruħek fuq, ħafna jsibuha sempliċi u utli.
Dan huwa biss bidu żgħir, u wieħed li jista 'jġibek fit-triq tiegħek mingħajr ma tidħol ħafna f'kunċetti ta' netwerking. Bħal dejjem, jekk jogħġbok riċerka u agħti ħarsa lejn il-paġni man u riżorsi oħra. Il-lista tal-posta ta’ Shorewall hija post tal-biża’, u hija aġġornata u miżmuma tajjeb.