ჩემს წინა სტატიაში ჩვენ შევხედეთ Shorewall, როგორ დააინსტალიროთ, კონფიგურაციის ფაილები და დააკონფიგურიროთ პორტის გადაგზავნა NAT. ამ სტატიაში ჩვენ ვაპირებთ ზოგიერთი მათგანის შესწავლას Shorewallსაერთო შეცდომები, ზოგიერთი გამოსავალი და გაეცანით მის ბრძანების ხაზის ვარიანტებს.
Shorewall გთავაზობთ ბრძანებების ფართო სპექტრს, რომელთა გაშვება შესაძლებელია ბრძანების ხაზზე. შეხედვის მქონე კაცი shorewall უნდა მოგცეთ ბევრი სანახავი, მაგრამ პირველი ამოცანა, რომელსაც ჩვენ ვაპირებთ, არის ჩვენი კონფიგურაციის ფაილების შემოწმება.
$ sudo shorewall შემოწმება
Shorewall დაბეჭდავს თქვენი ყველა კონფიგურაციის ფაილის შემოწმებას და მათში შემავალ ვარიანტებს. გამომავალი დაახლოებით ასე გამოიყურება.
მასპინძლების განსაზღვრა ზონებში... მოქმედებების ფაილების განთავსება... შემოწმება/usr/share/shorewall/action. წვეთი ჯაჭვისთვის წვეთი... შემოწმება/usr/share/shorewall/action. მაუწყებლობა ჯაჭვისთვის მაუწყებლობა... შემოწმება/usr/shrae/shorewall/action. არასწორია ჯაჭვისთვის არასწორია... შემოწმება/usr/share/shorewall/action. NotSyn ჯაჭვისთვის NotSyn.. შემოწმება/usr/share/shorewall/action. უარყავი ჯაჭვისთვის უარი... შემოწმება/etc/shorewall/policy... სტრუფის საწინააღმდეგო წესების დამატება. წესების დამატება DHCP– სთვის. TCP დროშების ფილტრაციის შემოწმება... ბირთვის მარშრუტის ფილტრაციის შემოწმება... მარსიანის ხეების შემოწმება... წყაროს მარშრუტის მიღების შემოწმება... MAC ფილტრაციის შემოწმება - ფაზა 1... შემოწმება/etc/shorewall/წესები... შემოწმება/usr/share/shorewall/action. არასწორია ჯაჭვისთვის %არასწორია... MAC ფილტრაციის შემოწმება - ფაზა 2... პოლიტიკის გამოყენება... შემოწმება/etc/shorewall/routestopped... Shorewall– ის კონფიგურაცია დადასტურებულია
ჯადოსნური ხაზი, რომელსაც ჩვენ ვეძებთ არის ის ბოლოში, სადაც ნათქვამია: ”Shorewall– ის კონფიგურაცია დადასტურებულია”. თუ თქვენ მიიღებთ რაიმე შეცდომას, ისინი სავარაუდოდ გამოწვეულია თქვენი ბირთვის კონფიგურაციის მოდულების გამო.
მე გაჩვენებთ, თუ როგორ უნდა მოაგვაროთ ორი ყველაზე გავრცელებული შეცდომა, მაგრამ თქვენ უნდა გადააკეთოთ თქვენი ბირთვი ყველა საჭირო მოდულით, თუკი აპირებთ გამოიყენოთ თქვენი მანქანა როგორც ბუხარი.
პირველი და ყველაზე გავრცელებული შეცდომა არის შეცდომა NAT.
დამუშავება /etc/shorewall/shorewall.conf... იტვირთება მოდულები... შემოწმება/etc/shorewall/zones... შემოწმება/etc/shorewall/ინტერფეისები... მასპინძლების განსაზღვრა ზონებში... მოქმედებების ფაილების განთავსება... შემოწმება/usr/share/shorewall/action. წვეთი ჯაჭვისთვის წვეთი... შემოწმება/usr/share/shorewall/action. მაუწყებლობა ჯაჭვისთვის მაუწყებლობა... შემოწმება/usr/shrae/shorewall/action. არასწორია ჯაჭვისთვის არასწორია... შემოწმება/usr/share/shorewall/action. NotSyn ჯაჭვისთვის NotSyn.. შემოწმება/usr/share/shorewall/action. უარყავი ჯაჭვისთვის უარი... შემოწმება/etc/shorewall/policy... სტრუფის საწინააღმდეგო წესების დამატება. წესების დამატება DHCP– სთვის. TCP დროშების ფილტრაციის შემოწმება... ბირთვის მარშრუტის ფილტრაციის შემოწმება... მარსიანის ხეების შემოწმება... წყაროს მარშრუტის მიღების შემოწმება... შემოწმება/etc/shorewall/masq... შეცდომა: მასკის არაცარიელი ფაილი მოითხოვს NAT თქვენს ბირთვს და iptables/etc/shorewall/masq (სტრიქონი 15)
თუ ხედავთ რაიმე მსგავსს, დიდი შანსია, რომ თქვენი მიმდინარე იყოს ბირთვი არ არის შედგენილი მხარდაჭერით NAT. ეს საერთოა ყუთის გარეთ არსებულ ბირთვებთან. გთხოვთ წაიკითხოთ ჩემი გაკვეთილი თემაზე "როგორ შევადგინოთ დებიანის ბირთვი”დასაწყებად.
ჩეკის მიერ წარმოქმნილი კიდევ ერთი გავრცელებული შეცდომა არის შეცდომა iptables და ხე.
[ელფოსტა დაცულია]:/etc/shorewall# shorewall შემოწმება. შემოწმება... დამუშავება/etc/shorewall/params... დამუშავება /etc/shorewall/shorewall.conf. იტვირთება მოდულები.. შეცდომა: ინფორმაციის დონის შესვლა მოითხოვს LOG სამიზნეს თქვენს ბირთვში და iptables
ეს არის ის, რისი შედგენაც შეგიძლიათ ახალ ბირთვში, მაგრამ არსებობს სწრაფი გამოსავალი, თუ გსურთ გამოიყენოთ ULOG. ULOG არის loging მექანიზმი syslog– ისგან. საკმაოდ ადვილი გამოსაყენებელია.
ამის დასადგენად, თქვენ უნდა შეცვალოთ ყველა მაგალითი ”ინფორმაცია"დან"ULOG”თქვენს ყველა კონფიგურაციის ფაილში /etc/shorewall. შემდეგ ბრძანებას შეუძლია ამის გაკეთება თქვენთვის.
$ cd /etc /shorewall. $ sudo sed –i ‘s/info/ULOG/g’ *
ამის შემდეგ, შეცვალეთ /etc/shorewall/shorewall.conf ფაილი და დააყენეთ ხაზი.
LOGFILE =
იქ, სადაც გსურთ თქვენი ჟურნალი იყოს შენახული. ჩემი არის შემოსული /var/log/shorewall.log.
LOGFILE =/var/log/shorewall.log
Სირბილი "sudo shorewall შემოწმება”უნდა მოგაწოდოთ სუფთა ჯანმრთელობის ანგარიში.
Shorewall– ის ბრძანების ხაზის ინტერფეისს გააჩნია მრავალი მოსახერხებელი ერთი ხაზი სისტემური ადმინისტრატორებისთვის. ერთი ხშირად გამოყენებული ბრძანება, განსაკუთრებით მაშინ, როდესაც მრავალი ცვლილება ხდება Firewall– ში, არის არსებული კონფიგურაციის მდგომარეობის შენახვა, რათა გართულებების შემთხვევაში უკან დაბრუნება შეძლოთ. ამის სინტაქსი მარტივია.
$ sudo shorewall გადარჩენა
უკან დაბრუნება ისეთივე ადვილია:
$ sudo shorewall აღდგენა
Shorewall ასევე შეიძლება დაიწყოს და დააკონფიგურიროთ ალტერნატიული კონფიგურაციის დირექტორია. თქვენ შეგიძლიათ დააკონკრეტოთ, რომ ეს არის დაწყების ბრძანება, მაგრამ პირველ რიგში გსურთ მისი შემოწმება.
$ sudo shorewall შემოწმება
თუ თქვენ უბრალოდ გსურთ სცადოთ კონფიგურაცია და თუ ის მუშაობს, დაიწყეთ იგი, შეგიძლიათ მიუთითოთ try ვარიანტი.
$ sudo shorewall სცადე[ ]
Shorewall არის მხოლოდ ერთი მრავალი ძლიერი firewall გადაწყვეტადან, რომელიც ხელმისაწვდომია Linux სისტემებში. არ აქვს მნიშვნელობა რა ქსელის სპექტრზე აღმოჩნდებით, ბევრი მიიჩნევს, რომ ეს არის მარტივი და სასარგებლო.
ეს მხოლოდ მცირე დასაწყისია და ის, რომელსაც შეუძლია აგიყვანოთ გზაზე, ქსელის კონცეფციებში დიდად შესვლის გარეშე. როგორც ყოველთვის, გთხოვთ გამოიკვლიოთ და გადახედოთ კაცის გვერდებს და სხვა რესურსებს. Shorewall– ის საფოსტო სია არის გასაოცარი ადგილი და განახლებულია და კარგად არის დაცული.