ในบทความที่แล้วเรามาดูที่ ชอร์วอลล์, วิธีการติดตั้ง, ตั้งค่าไฟล์คอนฟิกูเรชัน, และกำหนดค่าพอร์ตฟอร์เวิร์ดโอเวอร์ แนท. ในบทความนี้เราจะมาสำรวจบางส่วนของ ชอร์วอลล์ข้อผิดพลาดทั่วไป วิธีแก้ปัญหาบางอย่าง และรับคำแนะนำเกี่ยวกับตัวเลือกบรรทัดคำสั่ง
ชอร์วอลล์ มีคำสั่งมากมายที่สามารถรันบนบรรทัดคำสั่งได้ มองดู ชายชอร์วอลล์ ควรให้คุณเห็นมากมาย แต่งานแรกที่เราจะทำคือการตรวจสอบไฟล์การกำหนดค่าของเรา
$ sudo ชอร์วอลล์เช็ค
ชอร์วอลล์ จะพิมพ์การตรวจสอบไฟล์การกำหนดค่าทั้งหมดของคุณและตัวเลือกที่มีอยู่ภายในไฟล์ ผลลัพธ์จะออกมาประมาณนี้
การกำหนดโฮสต์ในโซน... กำลังค้นหาไฟล์การดำเนินการ... กำลังตรวจสอบ /usr/share/shorewall/action.js ดรอปโซ่ ดรอป... กำลังตรวจสอบ /usr/share/shorewall/action.js ออกอากาศแบบลูกโซ่ บรอดคาส... กำลังตรวจสอบ /usr/shrae/shorewall/action.js ไม่ถูกต้องสำหรับห่วงโซ่ ไม่ถูกต้อง... กำลังตรวจสอบ /usr/share/shorewall/action.js NotSyn สำหรับลูกโซ่ NotSyn.. กำลังตรวจสอบ /usr/share/shorewall/action.js ปฏิเสธโซ่ ปฏิเสธ... กำลังตรวจสอบ /etc/shorewall/policy... การเพิ่มกฎการต่อต้านการสเมิร์ฟ การเพิ่มกฎสำหรับ DHCP กำลังตรวจสอบการกรอง TCP Flags... กำลังตรวจสอบการกรองเส้นทางเคอร์เนล... กำลังตรวจสอบการบันทึกดาวอังคาร... กำลังตรวจสอบการยอมรับการกำหนดเส้นทางต้นทาง... กำลังตรวจสอบการกรอง MAC -- ระยะที่ 1... กำลังตรวจสอบ /etc/shorewall/rules... กำลังตรวจสอบ /usr/share/shorewall/action.js ไม่ถูกต้องสำหรับเชน %Invalid... กำลังตรวจสอบการกรอง MAC -- ระยะที่ 2... กำลังใช้นโยบาย... กำลังตรวจสอบ /etc/shorewall/routestopped... การกำหนดค่า Shorewall ได้รับการยืนยันแล้ว
เส้นเวทย์มนตร์ที่เรากำลังมองหาคือเส้นที่อยู่ด้านล่างที่เขียนว่า: “การกำหนดค่า Shorewall ได้รับการยืนยันแล้ว”. หากคุณได้รับข้อผิดพลาดใดๆ ข้อผิดพลาดมักเกิดจากโมดูลที่ขาดหายไปในการกำหนดค่าเคอร์เนลของคุณ
ฉันจะแสดงวิธีแก้ไขข้อผิดพลาดทั่วไปสองข้อ แต่คุณควรคอมไพล์เคอร์เนลของคุณใหม่ด้วยโมดูลที่จำเป็นทั้งหมด หากคุณวางแผนที่จะใช้เครื่องของคุณเป็นไฟร์วอลล์
ข้อผิดพลาดแรกและที่พบบ่อยที่สุดคือข้อผิดพลาดเกี่ยวกับ แนท.
กำลังประมวลผล /etc/shorewall/shorewall.conf... กำลังโหลดโมดูล... กำลังตรวจสอบ /etc/shorewall/zones... กำลังตรวจสอบ /etc/shorewall/interfaces... การกำหนดโฮสต์ในโซน... กำลังค้นหาไฟล์การดำเนินการ... กำลังตรวจสอบ /usr/share/shorewall/action.js ดรอปโซ่ ดรอป... กำลังตรวจสอบ /usr/share/shorewall/action.js ออกอากาศแบบลูกโซ่ บรอดคาส... กำลังตรวจสอบ /usr/shrae/shorewall/action.js ไม่ถูกต้องสำหรับห่วงโซ่ ไม่ถูกต้อง... กำลังตรวจสอบ /usr/share/shorewall/action.js NotSyn สำหรับลูกโซ่ NotSyn.. กำลังตรวจสอบ /usr/share/shorewall/action.js ปฏิเสธโซ่ ปฏิเสธ... กำลังตรวจสอบ /etc/shorewall/policy... การเพิ่มกฎการต่อต้านการสเมิร์ฟ การเพิ่มกฎสำหรับ DHCP กำลังตรวจสอบการกรอง TCP Flags... กำลังตรวจสอบการกรองเส้นทางเคอร์เนล... กำลังตรวจสอบการบันทึกดาวอังคาร... กำลังตรวจสอบการยอมรับการกำหนดเส้นทางต้นทาง... กำลังตรวจสอบ /etc/shorewall/masq... ข้อผิดพลาด: ไฟล์ masq ที่ไม่ว่างเปล่าต้องใช้ NAT ในเคอร์เนลและ iptables ของคุณ /etc/shorewall/masq (บรรทัดที่ 15)
หากคุณเห็นบางสิ่งที่คล้ายคลึงกันนี้ เป็นไปได้ว่าปัจจุบันของคุณ เคอร์เนล ไม่ได้รับการคอมไพล์ด้วยการสนับสนุนสำหรับ แนท. นี่เป็นเรื่องปกติสำหรับเคอร์เนลที่ไม่ได้ใช้แล้วส่วนใหญ่ โปรดอ่านบทช่วยสอนของฉันเกี่ยวกับ “วิธีการคอมไพล์ Debian Kernel” เพื่อให้คุณเริ่มต้น
ข้อผิดพลาดทั่วไปอีกประการหนึ่งที่เกิดจากการตรวจสอบคือข้อผิดพลาดเกี่ยวกับ iptables และ เข้าสู่ระบบ.
[ป้องกันอีเมล]:/etc/shorewall# ตรวจสอบชอร์วอลล์ กำลังตรวจสอบ... กำลังประมวลผล /etc/shorewall/params... กำลังประมวลผล /etc/shorewall/shorewall.conf กำลังโหลดโมดูล.. ข้อผิดพลาด: ข้อมูลระดับบันทึกต้องการ LOG Target ในเคอร์เนลและ iptables ของคุณ
นี่คือสิ่งที่คุณสามารถคอมไพล์เป็นเคอร์เนลใหม่ได้ แต่มีวิธีแก้ไขด่วนหากคุณต้องการใช้ ULOG. ULOG เป็นกลไกการบันทึกที่แตกต่างจาก syslog มันค่อนข้างใช้งานง่าย
ในการตั้งค่านี้ คุณต้องเปลี่ยนทุกอินสแตนซ์ของ “ข้อมูล" ถึง "ULOG” ในไฟล์การกำหนดค่าทั้งหมดของคุณใน /etc/shorewall. คำสั่งต่อไปนี้สามารถทำเพื่อคุณได้
$ cd /etc/shorewall. $ sudo sed –i ‘s/info/ULOG/g’ *
หลังจากนั้นให้แก้ไข /etc/shorewall/shorewall.conf ไฟล์และตั้งค่าบรรทัด
LOGFILE=
ไปยังตำแหน่งที่คุณต้องการจัดเก็บบันทึกของคุณ ของฉันอยู่ใน /var/log/shorewall.log.
LOGFILE=/var/log/shorewall.log
วิ่ง "sudo shorewall ตรวจสอบ” ควรให้ค่ารักษาพยาบาลที่สะอาดแก่คุณ
อินเทอร์เฟซบรรทัดคำสั่งของ Shorewall มาพร้อมกับบรรทัดเดียวที่มีประโยชน์มากมายสำหรับผู้ดูแลระบบ คำสั่งหนึ่งที่ใช้บ่อย โดยเฉพาะอย่างยิ่งเมื่อมีการเปลี่ยนแปลงหลายอย่างกับไฟร์วอลล์ คือการบันทึกสถานะการกำหนดค่าปัจจุบัน เพื่อให้คุณสามารถย้อนกลับได้หากมีความยุ่งยากใดๆ ไวยากรณ์สำหรับสิ่งนี้เป็นเรื่องง่าย
$ sudo shorewall save
การย้อนกลับทำได้ง่ายมาก:
$ sudo shorewall restore
นอกจากนี้ยังสามารถเริ่มต้นและกำหนดค่า Shorewall เพื่อใช้ไดเร็กทอรีการกำหนดค่าอื่น คุณสามารถระบุว่านี่เป็นคำสั่งเริ่มต้น แต่คุณจะต้องตรวจสอบก่อน
$ sudo ชอร์วอลล์เช็ค
หากคุณเพียงต้องการลองใช้การกำหนดค่า และหากใช้งานได้ ให้เริ่มต้นขึ้น คุณสามารถระบุตัวเลือกการลองได้
$ sudo shorewall ลอง[ ]
Shorewall เป็นเพียงหนึ่งในโซลูชันไฟร์วอลล์ที่มีประสิทธิภาพมากมายที่มีอยู่ในระบบ Linux ไม่ว่าคุณจะพบว่าตัวเองอยู่ในจุดสิ้นสุดของคลื่นความถี่เครือข่ายใด หลายคนพบว่ามันง่ายและมีประโยชน์
นี่เป็นเพียงจุดเริ่มต้นเล็กๆ และจุดเริ่มต้นที่จะช่วยให้คุณก้าวไปได้โดยไม่ต้องไปยุ่งกับแนวคิดเรื่องเครือข่ายมากนัก และเช่นเคย โปรดค้นคว้าและดูหน้าคู่มือและแหล่งข้อมูลอื่นๆ รายชื่อผู้รับจดหมายของ Shorewall เป็นสถานที่ที่ยอดเยี่ยมและเป็นปัจจุบันและได้รับการดูแลอย่างดี