Skoðaðu Shorewall eldvegg stillingar og stjórnlínuvalkosti
Í fyrri grein minni skoðuðum við Shorewall, hvernig á að setja það upp, setja upp stillingarskrár og stilla framsendingu hafna yfir NAT. Í þessari grein ætlum við að kanna nokkrar af algengum villum Shorewall, nokkrar lausnir og fá kynningu á skipanalínuvalkostum þess.
- Shorewall – eldveggur á háu stigi til að stilla Linux netþjóna – Part 1
Shorewall býður upp á breitt úrval af skipunum sem hægt er að keyra á skipanalínunni. Að kíkja á Man shorewall ætti að gefa þér nóg að sjá, en fyrsta verkefnið sem við ætlum að framkvæma er að athuga stillingarskrárnar okkar.
$ sudo shorewall check
Shorewall mun prenta út ávísun á allar stillingarskrárnar þínar og valkostina sem eru í þeim. Úttakið mun líta eitthvað á þessa leið.
Determining Hosts in Zones... Locating Actions Files... Checking /usr/share/shorewall/action.Drop for chain Drop... Checking /usr/share/shorewall/action.Broadcast for chain Broadcast... Checking /usr/shrae/shorewall/action.Invalid for chain Invalid... Checking /usr/share/shorewall/action.NotSyn for chain NotSyn.. Checking /usr/share/shorewall/action.Reject for chain Reject... Checking /etc/shorewall/policy... Adding Anti-smurf Rules Adding rules for DHCP Checking TCP Flags filtering... Checking Kernel Route Filtering... Checking Martian Logging... Checking Accept Source Routing... Checking MAC Filtration -- Phase 1... Checking /etc/shorewall/rules... Checking /usr/share/shorewall/action.Invalid for chain %Invalid... Checking MAC Filtration -- Phase 2... Applying Policies... Checking /etc/shorewall/routestopped... Shorewall configuration verified
Töfrandi línan sem við erum að leita að er sú neðst sem á stendur: \Shorewall stillingar staðfestar.\ Ef þú færð einhverjar villur eru þær líklegast vegna þess að einingar vantar í kjarnastillingarnar þínar.
Ég mun sýna þér hvernig á að leysa tvær af algengari villunum, en það á við þig að setja saman kjarnann þinn aftur með öllum nauðsynlegum einingum ef þú ætlar að nota vélina þína sem eldvegg.
Fyrsta villa, og algengasta, er villa um NAT.
Processing /etc/shorewall/shorewall.conf...
Loading Modules...
Checking /etc/shorewall/zones...
Checking /etc/shorewall/interfaces...
Determining Hosts in Zones...
Locating Actions Files...
Checking /usr/share/shorewall/action.Drop for chain Drop...
Checking /usr/share/shorewall/action.Broadcast for chain Broadcast...
Checking /usr/shrae/shorewall/action.Invalid for chain Invalid...
Checking /usr/share/shorewall/action.NotSyn for chain NotSyn..
Checking /usr/share/shorewall/action.Reject for chain Reject...
Checking /etc/shorewall/policy...
Adding Anti-smurf Rules
Adding rules for DHCP
Checking TCP Flags filtering...
Checking Kernel Route Filtering...
Checking Martian Logging...
Checking Accept Source Routing...
Checking /etc/shorewall/masq...
ERROR: a non-empty masq file requires NAT in your kernel and iptables /etc/shorewall/masq (line 15)Ef þú sérð eitthvað sem líkist þessu eru líkurnar á því að núverandi kjarninn þinn sé ekki settur saman með stuðningi fyrir NAT. Þetta er algengt með flestum út-af-the-box kjarna. Vinsamlegast lestu kennsluna mína um \Hvernig á að setja saman Debian kjarna“ til að koma þér af stað.
Önnur algeng villa framleidd af ávísuninni er villa um iptables og skógarhögg.
[email :/etc/shorewall# shorewall check Checking... Processing /etc/shorewall/params... Processing /etc/shorewall/shorewall.conf Loading Modules.. ERROR: Log level INFO requires LOG Target in your kernel and iptables
Þetta er líka eitthvað sem þú getur sett saman í nýjan kjarna, en það er skyndilausn fyrir það ef þú vilt nota ULOG. ULOG er annað skráningarkerfi en syslog. Það er frekar auðvelt í notkun.
Til að stilla þetta þarftu að breyta hverju tilviki af \upplýsingum í \ULOG í öllum stillingarskránum þínum í /etc/shorewall. Eftirfarandi skipun getur gert það fyrir þig.
$ cd /etc/shorewall $ sudo sed –i ‘s/info/ULOG/g’ *
Eftir það, breyttu /etc/shorewall/shorewall.conf skránni og stilltu línuna.
LOGFILE=
Þar sem þú vilt að skráin þín sé geymd. Mitt er í /var/log/shorewall.log.
LOGFILE=/var/log/shorewall.log
Að keyra „sudo shorewall check“ ætti að gefa þér hreint heilsufar.
Skipanalínuviðmót Shorewall kemur með mörgum handhægum einlínum fyrir kerfisstjóra. Ein oft notuð skipun, sérstaklega þegar verið er að gera margar breytingar á eldveggnum, er að vista núverandi stillingarstöðu þannig að þú getir snúið til baka ef það eru einhverjir fylgikvillar. Setningafræðin fyrir þetta er einföld.
$ sudo shorewall save <filename>
Það er jafn auðvelt að snúa til baka:
$ sudo shorewall restore <filename>
Shorewall er einnig hægt að ræsa og stilla til að nota aðra stillingarskrá. Þú getur tilgreint að þetta sé byrjunarskipunin, en þú vilt athuga það fyrst.
$ sudo shorewall check <config-directory>
Ef þú vilt einfaldlega prófa stillinguna og ef hún virkar skaltu ræsa hana, þú getur tilgreint prufunarvalkostinn.
$ sudo shorewall try <config-directory> [ ]
Shorewall er aðeins ein af mörgum öflugum eldveggslausnum sem eru fáanlegar á Linux kerfum. Sama á hvaða enda netkerfisins þú finnur þig, finnst mörgum það vera einfalt og gagnlegt.
Þetta er aðeins lítil byrjun og sú sem getur komið þér af stað án þess að fara mikið í nethugtök. Eins og alltaf, vinsamlegast skoðaðu og skoðaðu mannasíðurnar og önnur úrræði. Póstlisti Shorewall er æðislegur staður og er uppfærður og vel við haldið.