Kuinka tutustua Shorewall-palomuurikokoonpanoon Linuxissa

Edellisessä artikkelissani opimme Shorewallin asennuksen, määritystiedoston asennuksen ja portin edelleenohjauksen konfiguroinnin NAT:n kautta. Tässä artikkelissa perehdymme Shorewalliin liittyviin yleisiin virheisiin, tarjoamme ratkaisuja ja esittelemme sen komentorivivaihtoehdot.

Shorewall tarjoaa laajan valikoiman komentoja, jotka voidaan suorittaa komentorivillä. Man shorewall -sivuston tarkastelun pitäisi antaa sinulle paljon nähtävää, mutta ensimmäinen tehtävämme on tarkistaa määritystiedostomme.

sudo shorewall check

Shorewall tulostaa tarkistuksen kaikista määritystiedostoistasi ja niiden sisältämistä vaihtoehdoista.

Tulos näyttää suunnilleen tältä.

Determining Hosts in Zones...
Locating Actions Files...
Checking /usr/share/shorewall/action.Drop for chain Drop...
Checking /usr/share/shorewall/action.Broadcast for chain Broadcast...
Checking /usr/shrae/shorewall/action.Invalid for chain Invalid...
Checking /usr/share/shorewall/action.NotSyn for chain NotSyn..
Checking /usr/share/shorewall/action.Reject for chain Reject...
Checking /etc/shorewall/policy...
Adding Anti-smurf Rules
Adding rules for DHCP
Checking TCP Flags filtering...
Checking Kernel Route Filtering...
Checking Martian Logging...
Checking Accept Source Routing...
Checking MAC Filtration -- Phase 1...
Checking /etc/shorewall/rules...
Checking /usr/share/shorewall/action.Invalid for chain %Invalid...
Checking MAC Filtration -- Phase 2...
Applying Policies...
Checking /etc/shorewall/routestopped...
Shorewall configuration verified

Etsimämme maaginen rivi on alareunassa: "Shorewall-asetukset vahvistettu". Jos saat virheitä, ne johtuvat todennäköisesti ytimen kokoonpanon puuttuvista moduuleista.

Näytän sinulle kuinka ratkaista kaksi yleisempää virhettä, mutta sinun on käännettävä ydin uudelleen kaikilla tarvittavilla moduuleilla, jos aiot käyttää konettasi palomuurina.

Ensimmäinen ja yleisin virhe on NAT-virhe.

Processing /etc/shorewall/shorewall.conf...
Loading Modules...
Checking /etc/shorewall/zones...
Checking /etc/shorewall/interfaces...
Determining Hosts in Zones...
Locating Actions Files...
Checking /usr/share/shorewall/action.Drop for chain Drop...
Checking /usr/share/shorewall/action.Broadcast for chain Broadcast...
Checking /usr/shrae/shorewall/action.Invalid for chain Invalid...
Checking /usr/share/shorewall/action.NotSyn for chain NotSyn..
Checking /usr/share/shorewall/action.Reject for chain Reject...
Checking /etc/shorewall/policy...
Adding Anti-smurf Rules
Adding rules for DHCP
Checking TCP Flags filtering...
Checking Kernel Route Filtering...
Checking Martian Logging...
Checking Accept Source Routing...
Checking /etc/shorewall/masq...
    ERROR: a non-empty masq file requires NAT in your kernel and iptables /etc/shorewall/masq (line 15)

Jos näet jotain tämän kaltaista, nykyistä ydintäsi ei todennäköisesti ole käännetty NAT-tuella. Tämä on yleistä useimpien valmiiden ytimien kanssa. Ole hyvä ja lue opetusohjelmani "Debian-ytimen kääntäminen" päästäksesi alkuun.

Toinen yleinen tarkistuksen aiheuttama virhe on iptables- ja logging-virhe.

shorewall check
Checking...
Processing /etc/shorewall/params...
Processing /etc/shorewall/shorewall.conf
Loading Modules..
   ERROR: Log level INFO requires LOG Target in your kernel and iptables

Tämä on myös jotain, jonka voit kääntää uudeksi ytimeksi, mutta siihen on nopea korjaus, jos haluat käyttää ULOGia. ULOG on eri kirjausmekanismi kuin syslog. Se on melko helppokäyttöinen.

Asettaaksesi tämän, sinun on vaihdettava jokainen "info" -esiintymä muotoon "ULOG" kaikissa määritystiedostoissasi osoitteessa /etc/shorewall. . Seuraava komento voi tehdä sen puolestasi.

cd /etc/shorewall
sudo sed –i ‘s/info/ULOG/g’ *

Muokkaa sen jälkeen /etc/shorewall/shorewall.conf-tiedostoa ja aseta rivi.

LOGFILE=

Minne haluat lokisi tallennettavan. Omani on osoitteessa /var/log/shorewall.log.

LOGFILE=/var/log/shorewall.log

Seuraavan komennon suorittamisen uudelleen pitäisi antaa sinulle puhdas terveystodistus.

shorewall check

Shorewallin komentorivikäyttöliittymä sisältää monia käteviä yksilinjaisia järjestelmiä järjestelmänvalvojille. Yksi usein käytetty komento, varsinkin kun palomuuriin tehdään lukuisia muutoksia, on tallentaa nykyinen kokoonpanotila, jotta voit peruuttaa, jos ongelmia ilmenee.

Tämän syntaksi on yksinkertainen.

sudo shorewall save <filename>

Palaaminen on yhtä helppoa:

sudo shorewall restore <filename>

Shorewall voidaan myös käynnistää ja määrittää käyttämään vaihtoehtoista määrityshakemistoa. Voit määrittää, että tämä on aloituskomento, mutta haluat tarkistaa sen ensin.

sudo shorewall check <config-directory>

Jos haluat vain kokeilla kokoonpanoa ja jos se toimii, käynnistä se, voit määrittää kokeiluvaihtoehdon.

sudo shorewall try <config-directory> [  ]

Shorewall on vain yksi monista kestävistä palomuuriratkaisuista, jotka ovat saatavilla Linux-järjestelmissä. Riippumatta siitä, missä verkoston päässä olet, monet pitävät sitä yksinkertaisena ja hyödyllisenä.

Tämä on vain pieni alku, ja se voi viedä sinut matkalle menemättä liian voimakkaasti verkostoitumiskonsepteihin. Kuten aina, tutki ja tutustu man-sivuihin ja muihin resursseihin. Shorewallin postituslista on mahtava paikka, ja se on ajan tasalla ja hyvin pidetty.