Explorando as opções de configuração e linha de comando do Firewall Shorewall
- 906
- 186
- Enrique Gutkowski PhD
No meu artigo anterior, demos uma olhada em Shorewall, Como instalá -lo, configurar os arquivos de configuração e configurar o encaminhamento de porta Nat. Neste artigo, vamos explorar alguns dos Shorewallerros comuns, algumas soluções e obter uma introdução às opções de linha de comando.
Opções de configuração do Shorewall- Shorewall - um firewall de alto nível para configurar servidores Linux - Parte 1
Shorewall oferece uma ampla variedade de comandos que podem ser executados na linha de comando. Dando uma olhada em Man Shorewall Deveria dar muito a você, mas a primeira tarefa que vamos executar é uma verificação em nossos arquivos de configuração.
$ sudo shorewall cheque
Shorewall Imprimirá um cheque de todos os seus arquivos de configuração e as opções contidas dentro deles. A saída vai parecer algo assim.
Determinando os hosts em zonas… localização de arquivos de ações… verificação/usr/share/shorewall/ação.Drop para queda de corrente… Verificação/usr/share/Shorewall/ação.Broadcast for Chain Broadcast… Verificação/usr/shrae/Shorewall/ação.Inválido para cadeia inválida… verificação/usr/share/shorewall/ação.Notsyn para Chain Notsyn ... Verificando/Usr/Share/Shorewall/Ação.Rejeite para rejeitar a cadeia ... verificação/etc/shorewall/política ... adicionando regras anti-smurf adicionando regras para o DHCP verificando sinalizadores TCP Filtrando ... verificando a filtragem da rota do kernel ... Verificando a logta de marcianos… Verificação Aceite o roteamento da fonte… Verificação do MAC-Fase 1… CHECKING… /etc/Shorewall/Regras… Verificação/Usr/Share/Shorewall/Ação.Inválido para a cadeia %inválido ... verificando a filtração do Mac - Fase 2… Aplicação de políticas… Verificação/etc/shorewall/roteiro… Configuração do Shorewall Verificado
A linha mágica que estamos procurando é a que diz: “Configuração do Shorewall Verificado”. Se você receber algum erro, eles provavelmente serão devido à falta de módulos na sua configuração de kernel.
Vou mostrar como resolver dois dos erros mais comuns, mas cabe a você recompilar seu kernel com todos os módulos necessários se você planejar usar sua máquina como firewall.
O primeiro erro, e mais comum, é o erro sobre Nat.
Processamento/etc/Shorewall/Shorewall.Conf ... Módulos de carregamento ... Verificação/etc/Shorewall/Zonas… Verificação/etc/Shorewall/Interfaces… Determinando hosts em zonas… localização de arquivos de ações… checking/usr/share/shorewall/ação.Drop para queda de corrente… Verificação/usr/share/Shorewall/ação.Broadcast for Chain Broadcast… Verificação/usr/shrae/Shorewall/ação.Inválido para cadeia inválida… verificação/usr/share/shorewall/ação.Notsyn para Chain Notsyn ... Verificando/Usr/Share/Shorewall/Ação.Rejeite para rejeitar a cadeia ... Verificação/etc/Shorewall/Política ... adicionando regras anti-smurf adicionando regras para o DHCP verificando sinalizadores TCP Filtrando ... Verificando a filtragem da rota do kernel ... verificando o registro marciano ... Verificando o roteamento da fonte… Verificação/etc/shorewall/masq… Erro: Um arquivo massque não vazio requer Nat em seu kernel e iptables/etc/Shorewall/masq (linha 15)
Se você está vendo algo parecido com isso, é provável que seu atual Núcleo não é compilado com suporte para Nat. Isso é comum na maioria dos kernels prontos para uso. Por favor, leia meu tutorial sobre "Como compilar um kernel debian" para começar você a começar.
Outro erro comum produzido pelo cheque é o erro sobre iptables e exploração madeireira.
[Email Protected]:/etc/Shorewall# Shorewall Verificação da verificação… Processamento/etc/shorewall/params… Processamento/etc/Shorewall/Shorewall.Conf Módulos de carregamento… Erro: as informações do nível de log requer destino de log no seu kernel e iptables
Isso também é algo que você pode compilar em um novo kernel, mas há uma solução rápida para isso, se você quiser usar ULOG. ULOG é um mecanismo de registro diferente do syslog. É muito fácil de usar.
Para definir isso, você precisa alterar todas as instâncias de “informações" para "ULOG”Em todos os seus arquivos de configuração em /etc/Shorewall. O seguinte comando pode fazer isso por você.
$ cd/etc/Shorewall $ sudo sed -i 's/info/uLog/g' *
Depois disso, edite o /etc/Shorewall/Shorewall.conf Arquive e defina a linha.
Logfile =
Para onde você gostaria que seu log fosse armazenado. O meu está dentro /var/log/Shorewall.registro.
Logfile =/var/log/Shorewall.registro
Correndo "SUDO SHOREWALL CHECK”Deve lhe dar um atestado de saúde limpo.
A interface da linha de comando do Shorewall vem com muitas frases úteis para administradores de sistemas. Um comando freqüentemente usado, especialmente quando inúmeras mudanças estão sendo feitas no firewall, é salvar o estado de configuração atual para que você possa reverter se houver alguma complicações. A sintaxe para isso é simples.
$ sudo Shorewall Save
Rolling para trás é tão fácil:
Restauração de $ sudo Shorewall
O Shorewall também pode ser iniciado e configurado para usar um diretório de configuração alternativo. Você pode especificar este é o comando inicial, mas você deve verificar primeiro.
$ sudo shorewall cheque
Se você simplesmente deseja experimentar a configuração e, se estiver funcionando, comece, você pode especificar a opção de tentativa.
$ sudo Shorewall tente []
O Shorewall é apenas uma das muitas soluções robustas de firewall que estão disponíveis nos sistemas Linux. Não importa em que fim do espectro de rede você se encontra, muitos acham que é simples e útil.
Este é apenas um pequeno começo, e um que pode levá -lo a caminho, sem ir muito a conceitos de networking. Como sempre, pesquise e dê uma olhada nas páginas do homem e outros recursos. A lista de discussão do Shorewall é um lugar incrível e está atualizado e bem mantido.
- « Nomachine - uma ferramenta avançada de acesso à área de trabalho remota
- Como adicionar host Windows ao Nagios Monitoring Server »