Badanie konfiguracji zapory Shorewall i opcje wiersza poleceń
- 1756
- 303
- Pan Jeremiasz Więcek
W moim poprzednim artykule przyjrzeliśmy się Shorewall, jak go zainstalować, skonfigurować pliki konfiguracyjne i skonfigurować przekazywanie portów Nat. W tym artykule zbadamy niektóre z ShorewallCzęste błędy, niektóre rozwiązania i uzyskaj wprowadzenie do opcji wiersza poleceń.
Opcje konfiguracji Shorewall - Shorewall - zapora ogniowa na wysokim poziomie do konfigurowania serwerów Linux - Część 1
Shorewall oferuje szeroką gamę poleceń, które można uruchomić w wierszu poleceń. Patrząc na Man Shorewall Powinno dać ci wiele do zobaczenia, ale pierwszym zadaniem, które zamierzamy wykonać, jest sprawdzenie naszych plików konfiguracyjnych.
$ Sudo Shorewall Check
Shorewall Wydrukuje kontrolę wszystkich plików konfiguracyjnych i zawartych w nich opcji. Wyjście będzie wyglądało mniej więcej tak.
Określenie hostów w strefach… lokalizacja plików akcji… sprawdzanie/usr/share/shorewall/akcja.Zrzuć spadek łańcucha… sprawdzanie/usr/share/shorewall/akcja.Transmisja do transmisji łańcucha… Sprawdzanie/USR/Shrae/Shorewall/Action.Nieprawidłowe dla łańcucha nieważne… sprawdzanie/usr/share/shorewall/akcja.Notsyn dla łańcucha notsyn… sprawdzanie/usr/share/shorewall/akcja.Odrzucenie odrzucania łańcucha… sprawdzanie/etc/shorewall/polityka… Dodawanie reguł anty-smurfowych Dodawanie reguł dla DHCP sprawdzanie Flagi TCP Filtrowanie… Sprawdzanie filtrowania trasy jądra… Sprawdzanie rejestrowania MARSISTIAN… Sprawdzanie Akceptuj routing źródła… Sprawdzanie MAC Filtracja /etc/shorewall/zasady… sprawdzanie/usr/share/shorewall/akcja.Nieprawidłowe dla łańcucha %nieważne… sprawdzanie filtracji MAC - faza 2… Zastosowanie zasad… sprawdzanie/etc/shorewall/routestopped… Konfiguracja Shorewall zweryfikowana
Magiczna linia, której szukamy, jest ta na dole, która brzmi: „Konfiguracja Shorewall zweryfikowana". Jeśli otrzymasz jakieś błędy, najprawdopodobniej są one spowodowane brakującymi modułami w konfiguracji jądra.
Pokażę ci, jak rozwiązać dwa bardziej popularniejsze błędy, ale to udaje ci ponownie skompilować jądro ze wszystkimi niezbędnymi modułami, jeśli planujesz użyć maszyny jako zapory ogniowej.
Pierwszym błędem, a najczęstszym, jest błąd Nat.
Przetwarzanie/etc/Shorewall/Shorewall.Conf… moduły ładowania… sprawdzanie/etc/shorewall/strefy… sprawdzanie/etc/shorewall/interfejsy… określanie hostów w strefach… lokalizacja plików akcji… sprawdzanie/usr/sharewall/akcja/akcja.Zrzuć spadek łańcucha… sprawdzanie/usr/share/shorewall/akcja.Transmisja do transmisji łańcucha… Sprawdzanie/USR/Shrae/Shorewall/Action.Nieprawidłowe dla łańcucha nieważne… sprawdzanie/usr/share/shorewall/akcja.Notsyn dla łańcucha notsyn… sprawdzanie/usr/share/shorewall/akcja.Odrzucenie odrzucania łańcucha… sprawdzanie/etc/shorewall/polityka… Dodawanie reguł anty-smurfowych Dodawanie reguł dla DHCP sprawdzanie Flagi Flag TCP… Sprawdzanie filtrowania trasy jądra… Sprawdzanie rejestrowania MARSISTIAN… Sprawdzanie Akceptuj routing źródła… ETC/ETC/SHOREWALL/MASQ… Błąd: Plik bez pustego MASQ wymaga NAT w twoim jądrze i iptables/etc/shorewall/masq (wiersz 15)
Jeśli widzisz coś, co przypomina, są szanse, że twój obecny Jądro nie jest kompilowany z obsługą Nat. Jest to powszechne w przypadku większości zbiorników z pudełka. Przeczytaj mój samouczek na temat „Jak skompilować jądro Debian”, aby zacząć.
Innym powszechnym błędem wywołanym przez kontrolę jest błąd iptables I Logowanie.
[chroniony e -mail]:/etc/shorewall# shorewall sprawdzanie sprawdzania… przetwarzania/etc/shorewall/params… przetwarzanie/etc/shorewall/shorewall.moduły ładowania conf… Błąd: Informacje o poziomie dziennika wymagają celu logowania w twoim jądrze i iptables
Jest to również coś, co możesz skompilować w nowym jądrze, ale jest dla niego szybka naprawa, jeśli chcesz użyć Ulog. Ulog to inny mechanizm rejestrowania od syslog. Jest to dość łatwe w użyciu.
Aby to ustawić, musisz zmienić każdą instancję „informacje" Do "Ulog”We wszystkich plikach konfiguracyjnych w /itp./Shorewall. Następujące polecenie może to zrobić za Ciebie.
$ cd/etc/shorewall $ sudo sed -i 's/info/ulog/g' *
Następnie edytuj /etc/shorewall/shorewall.conf Plik i ustaw linię.
Plik logowy =
Tam, gdzie chciałbyś przechowywać dziennik. Mój jest w środku /var/log/shorewall.dziennik.
Logfile =/var/log/shorewall.dziennik
Działanie "Sudo Shorewall Check„Powinny dać ci czystą kartę zdrowia.
Interfejs wiersza poleceń Shorewall jest wyposażony w wiele przydatnych jednoli linii dla administratorów systemów. Jedno często używane polecenie, zwłaszcza gdy wprowadzane są liczne zmiany w zaporze, jest zapisanie bieżącego stanu konfiguracji, aby można było cofać się, jeśli pojawią się jakiekolwiek komplikacje. Składnia tego jest prosta.
$ sudo shorewall zapisz
ROZWIĄZANIE TOTO jest równie łatwe:
$ sudo shorewall przywracanie
Shorewall można również uruchomić i skonfigurować do korzystania z alternatywnego katalogu konfiguracji. Możesz określić, że jest to polecenie Start, ale najpierw będziesz to sprawdzić.
$ Sudo Shorewall Check
Jeśli po prostu chcesz wypróbować konfigurację, a jeśli działa, uruchom ją, możesz określić opcję Try.
$ sudo shorewall próba []
Shorewall to tylko jedno z wielu solidnych rozwiązań zapory, które są dostępne w systemach Linux. Bez względu na koniec spektrum sieciowego, na którym się znajdujesz, wielu uważa, że jest to proste i przydatne.
To jest tylko niewielki początek i taki, który może cię doprowadzić do twojej drogi, nie przechodząc do koncepcji sieciowych. Jak zawsze, bada i spójrz na strony Man i inne zasoby. Lista mailingowa Shorewall to niesamowite miejsce, a także jest aktualna i dobrze utrzymana.
- « Nomachine - zaawansowane narzędzie do dostępu do zdalnego komputera stacjonarnego
- Jak dodać Windows Host do serwera monitorowania Nagios »