Στο προηγούμενο άρθρο μου, ρίξαμε μια ματιά Shorewall, πώς να το εγκαταστήσετε, να ρυθμίσετε τα αρχεία διαμόρφωσης και να διαμορφώσετε την προώθηση της θύρας ΝΑΤ. Σε αυτό το άρθρο, θα εξετάσουμε μερικά από αυτά ShorewallΤα συνηθισμένα σφάλματα, ορισμένες λύσεις και εισαγωγή στις επιλογές γραμμής εντολών.
Shorewall προσφέρει ένα ευρύ φάσμα εντολών που μπορούν να εκτελεστούν στη γραμμή εντολών. Ρίχνοντας μια ματιά στο άνθρωπος shorewall θα πρέπει να έχετε πολλά να δείτε, αλλά η πρώτη εργασία που πρόκειται να εκτελέσουμε είναι ένας έλεγχος στα αρχεία διαμόρφωσής μας.
$ sudo shorewall έλεγχο
Shorewall θα εκτυπώσει έναν έλεγχο όλων των αρχείων διαμόρφωσης και των επιλογών που περιέχονται σε αυτά. Η έξοδος θα μοιάζει κάπως έτσι.
Προσδιορισμός κεντρικών υπολογιστών σε ζώνες... Εντοπισμός αρχείων ενεργειών... Έλεγχος/usr/share/shorewall/action. Πτώση για αλυσίδα Πτώση... Έλεγχος/usr/share/shorewall/action. Μετάδοση για αλυσίδα Εκπομπή... Έλεγχος/usr/shrae/shorewall/action. Άκυρο για αλυσίδα Άκυρο... Έλεγχος/usr/share/shorewall/action. NotSyn για αλυσίδα NotSyn.. Έλεγχος/usr/share/shorewall/action. Απόρριψη για αλυσίδα Απόρριψη... Έλεγχος/etc/shorewall/policy... Προσθήκη κανόνων κατά του στρουμφιού. Προσθήκη κανόνων για DHCP. Έλεγχος φιλτραρίσματος σημαιών TCP... Έλεγχος φιλτραρίσματος διαδρομής πυρήνα... Έλεγχος καταγραφής του Άρη... Έλεγχος Αποδοχή δρομολόγησης πηγής... Έλεγχος φιλτραρίσματος MAC - Φάση 1... Έλεγχος/etc/shorewall/κανόνες... Έλεγχος/usr/share/shorewall/action. Μη έγκυρο για την αλυσίδα %Άκυρο... Έλεγχος διήθησης MAC - Φάση 2... Εφαρμογή πολιτικών... Έλεγχος/etc/shorewall/routestopped... Η διαμόρφωση Shorewall επαληθεύτηκε
Η μαγική γραμμή που ψάχνουμε είναι αυτή στο κάτω μέρος που γράφει: «Η διαμόρφωση Shorewall επαληθεύτηκε”. Εάν λάβετε τυχόν σφάλματα, πιθανότατα οφείλονται σε ελλείψεις μονάδων στη διαμόρφωση του πυρήνα σας.
Θα σας δείξω πώς να επιλύσετε δύο από τα πιο συνηθισμένα σφάλματα, αλλά πρέπει να επανασυγκολλήσετε τον πυρήνα σας με όλες τις απαραίτητες ενότητες εάν σκοπεύετε να χρησιμοποιήσετε το μηχάνημά σας ως τείχος προστασίας.
Το πρώτο και συνηθέστερο σφάλμα είναι το σφάλμα σχετικά ΝΑΤ.
Επεξεργασία /etc/shorewall/shorewall.conf... Φόρτωση ενοτήτων... Έλεγχος/etc/shorewall/zones... Έλεγχος/etc/shorewall/διεπαφές... Προσδιορισμός κεντρικών υπολογιστών σε ζώνες... Εντοπισμός αρχείων ενεργειών... Έλεγχος/usr/share/shorewall/action. Πτώση για αλυσίδα Πτώση... Έλεγχος/usr/share/shorewall/action. Μετάδοση για αλυσίδα Εκπομπή... Έλεγχος/usr/shrae/shorewall/action. Άκυρο για αλυσίδα Άκυρο... Έλεγχος/usr/share/shorewall/action. NotSyn για αλυσίδα NotSyn.. Έλεγχος/usr/share/shorewall/action. Απόρριψη για αλυσίδα Απόρριψη... Έλεγχος/etc/shorewall/policy... Προσθήκη κανόνων κατά του στρουμφιού. Προσθήκη κανόνων για DHCP. Έλεγχος φιλτραρίσματος σημαιών TCP... Έλεγχος φιλτραρίσματος διαδρομής πυρήνα... Έλεγχος καταγραφής του Άρη... Έλεγχος Αποδοχή δρομολόγησης πηγής... Έλεγχος/etc/shorewall/masq... ΣΦΑΛΜΑ: ένα μη κενό αρχείο masq απαιτεί NAT στον πυρήνα σας και iptables/etc/shorewall/masq (γραμμή 15)
Εάν βλέπετε κάτι παρόμοιο με αυτό, πιθανότατα είναι το τρέχον σας Πυρήνας δεν έχει καταρτιστεί με υποστήριξη για ΝΑΤ. Αυτό είναι σύνηθες με τους περισσότερους πυρήνες εκτός συσκευασίας. Παρακαλώ διαβάστε το σεμινάριο μου για το "Πώς να συντάξετε έναν πυρήνα Debian"Για να ξεκινήσετε.
Ένα άλλο συνηθισμένο σφάλμα που προκαλείται από τον έλεγχο είναι το σφάλμα σχετικά iptables και ξύλευση.
[προστασία ηλεκτρονικού ταχυδρομείου]:/etc/shorewall# έλεγχος shorewall. Ελεγχος... Επεξεργασία/etc/shorewall/params... Επεξεργασία /etc/shorewall/shorewall.conf. Φόρτωση ενοτήτων.. ΣΦΑΛΜΑ: Το επίπεδο καταγραφής INFO απαιτεί LOG Target στον πυρήνα και τα iptables σας
Αυτό είναι επίσης κάτι που μπορείτε να μεταγλωττίσετε σε έναν νέο πυρήνα, αλλά υπάρχει μια γρήγορη λύση για αυτό, εάν θέλετε να χρησιμοποιήσετε ULOG. ULOG είναι ένας διαφορετικός μηχανισμός καταγραφής από το syslog. Είναι αρκετά εύκολο στη χρήση.
Για να το ορίσετε, πρέπει να αλλάξετε κάθε παρουσία του "πληροφορίες" προς το "ULOG"Σε όλα τα αρχεία διαμόρφωσης στο /etc/shorewall. Η ακόλουθη εντολή μπορεί να το κάνει αυτό για εσάς.
$ cd /etc /shorewall. $ sudo sed –i ‘s/info/ULOG/g’ *
Μετά από αυτό, επεξεργαστείτε το /etc/shorewall/shorewall.conf αρχείο και ορίστε τη γραμμή.
LOGFILE =
Στο σημείο που θέλετε να αποθηκευτεί το αρχείο καταγραφής σας. Το δικό μου είναι μέσα /var/log/shorewall.log.
LOGFILE =/var/log/shorewall.log
Τρέξιμο "sudo shorewall έλεγχος"Θα πρέπει να σας δώσει έναν καθαρό λογαριασμό υγείας.
Η διεπαφή της γραμμής εντολών του Shorewall συνοδεύεται από πολλές εύχρηστες γραμμές για διαχειριστές συστημάτων. Μια συχνά χρησιμοποιούμενη εντολή, ειδικά όταν γίνονται πολλές αλλαγές στο τείχος προστασίας, είναι η αποθήκευση της τρέχουσας κατάστασης διαμόρφωσης, ώστε να μπορείτε να επιστρέψετε εάν υπάρχουν επιπλοκές. Η σύνταξη για αυτό είναι απλή.
$ sudo shorewall εξοικονόμηση
Η επαναφορά είναι εξίσου εύκολη:
$ sudo shorewall restore
Το Shorewall μπορεί επίσης να ξεκινήσει και να διαμορφωθεί ώστε να χρησιμοποιεί έναν εναλλακτικό κατάλογο διαμόρφωσης. Μπορείτε να καθορίσετε ότι αυτή είναι η εντολή έναρξης, αλλά θα θέλετε πρώτα να την ελέγξετε.
$ sudo shorewall έλεγχο
Εάν θέλετε απλώς να δοκιμάσετε τη διαμόρφωση και εάν λειτουργεί, ξεκινήστε την, μπορείτε να ορίσετε την επιλογή δοκιμής.
$ sudo shorewall δοκιμάστε[ ]
Το Shorewall είναι μόνο μία από τις πολλές ισχυρές λύσεις τείχους προστασίας που είναι διαθέσιμες σε συστήματα Linux. Ανεξάρτητα από το τέλος του φάσματος δικτύωσης που βρίσκεστε, πολλοί το θεωρούν απλό και χρήσιμο.
Αυτό δεν είναι παρά μια μικρή αρχή και μπορεί να σας οδηγήσει χωρίς να ασχοληθείτε έντονα με τις έννοιες δικτύωσης. Όπως πάντα, παρακαλώ ερευνήστε και ρίξτε μια ματιά στις σελίδες ανδρών και άλλους πόρους. Η λίστα αλληλογραφίας του Shorewall είναι ένα φοβερό μέρος και είναι ενημερωμένη και καλά συντηρημένη.