In mijn vorige artikel hebben we gekeken naar Kustmuur, hoe het te installeren, de configuratiebestanden in te stellen en port forwarding te configureren over NAT. In dit artikel gaan we een aantal van Kustmuur’s veelvoorkomende fouten, enkele oplossingen en een inleiding tot de opdrachtregelopties.
Kustmuur biedt een breed scala aan opdrachten die op de opdrachtregel kunnen worden uitgevoerd. Een kijkje nemen op man kustmuur zou je genoeg te zien moeten geven, maar de eerste taak die we gaan uitvoeren is een controle van onze configuratiebestanden.
$ sudo kustmuurcontrole
Kustmuur zal een vinkje afdrukken van al uw configuratiebestanden en de opties die erin zitten. De uitvoer zal er ongeveer zo uitzien.
Hosts bepalen in zones... Actiebestanden lokaliseren... Controleer /usr/share/shorewall/action. Drop voor ketting Drop... Controleer /usr/share/shorewall/action. Broadcast voor keten Broadcast... Controleer /usr/shrae/shorewall/action. Ongeldig voor keten Ongeldig... Controleer /usr/share/shorewall/action. NotSyn voor ketting NotSyn.. Controleer /usr/share/shorewall/action. Weigeren voor ketting Weigeren... Controleren /etc/shorewall/policy... Anti-smurfregels toevoegen. Regels toevoegen voor DHCP. Filtering van TCP-vlaggen controleren... Kernelroutefiltering controleren... Martian-logboekregistratie controleren... Bronroutering accepteren controleren... MAC-filtratie controleren -- Fase 1... Controleren /etc/shorewall/regels... Controleer /usr/share/shorewall/action. Ongeldig voor keten %Ongeldig... MAC-filtratie controleren - Fase 2... Beleid toepassen... Controleren /etc/shorewall/routestopped... Shorewall-configuratie geverifieerd
De magische regel waar we naar op zoek zijn, is die onderaan die luidt: “Shorewall-configuratie geverifieerd”. Als u fouten ontvangt, zijn deze hoogstwaarschijnlijk te wijten aan ontbrekende modules in uw kernelconfiguratie.
Ik zal je laten zien hoe je twee van de meest voorkomende fouten kunt oplossen, maar het betaamt je om je kernel opnieuw te compileren met alle benodigde modules als je van plan bent je machine als een firewall te gebruiken.
De eerste fout, en de meest voorkomende, is de fout over: NAT.
Verwerking /etc/shorewall/shorewall.conf... Modules laden... /etc/shorewall/zones controleren... /etc/shorewall/interfaces controleren... Hosts bepalen in zones... Actiebestanden lokaliseren... Controleer /usr/share/shorewall/action. Drop voor ketting Drop... Controleer /usr/share/shorewall/action. Broadcast voor keten Broadcast... Controleer /usr/shrae/shorewall/action. Ongeldig voor keten Ongeldig... Controleer /usr/share/shorewall/action. NotSyn voor ketting NotSyn.. Controleer /usr/share/shorewall/action. Weigeren voor ketting Weigeren... Controleren /etc/shorewall/policy... Anti-smurfregels toevoegen. Regels toevoegen voor DHCP. Filtering van TCP-vlaggen controleren... Kernelroutefiltering controleren... Martian-logboekregistratie controleren... Bronroutering accepteren controleren... Controleren /etc/shorewall/masq... FOUT: een niet-leeg masq-bestand vereist NAT in je kernel en iptables /etc/shorewall/masq (regel 15)
Als u iets ziet dat hierop lijkt, is de kans groot dat uw huidige Kernel is niet gecompileerd met ondersteuning voor NAT. Dit is gebruikelijk bij de meeste kant-en-klare kernels. Lees mijn tutorial over “Een Debian-kernel compileren” om u op weg te helpen.
Een andere veelvoorkomende fout die door de controle wordt veroorzaakt, is de fout over: iptables en loggen.
[e-mail beveiligd]:/etc/shorewall# Shorewall-controle. Controleren... Verwerking /etc/shorewall/params... Verwerking /etc/shorewall/shorewall.conf. Modules laden.. FOUT: INFO op logniveau vereist LOG Target in je kernel en iptables
Dit is ook iets dat je kunt compileren in een nieuwe kernel, maar er is een snelle oplossing voor, als je het wilt gebruiken ULOG. ULOG is een ander registratiemechanisme dan syslog. Het is vrij eenvoudig te gebruiken.
Om dit in te stellen, moet u elke instantie van "info" tot "ULOG” in al uw configuratiebestanden in /etc/shorewall. De volgende opdracht kan dat voor u doen.
$ cd /etc/kustmuur. $ sudo sed –i ‘s/info/ULOG/g’ *
Bewerk daarna de /etc/shorewall/shorewall.conf bestand en stel de lijn in.
LOGBESTAND=
Naar waar u wilt dat uw logboek wordt opgeslagen. de mijne is binnen /var/log/shorewall.log.
LOGFILE=/var/log/shorewall.log
Rennen "sudo kustmuur check” zou u een schone gezondheidsverklaring moeten geven.
De opdrachtregelinterface van Shorewall wordt geleverd met veel handige oneliners voor systeembeheerders. Een veelgebruikte opdracht, vooral wanneer er veel wijzigingen in de firewall worden aangebracht, is om de huidige configuratiestatus op te slaan, zodat u deze kunt terugdraaien als er complicaties zijn. De syntaxis hiervoor is eenvoudig.
$ sudo kustmuur besparen
Terugdraaien is net zo eenvoudig:
$ sudo kustmuur herstellen
Shorewall kan ook worden gestart en geconfigureerd om een alternatieve configuratiemap te gebruiken. U kunt specificeren dat dit het startcommando is, maar u zult het eerst willen controleren.
$ sudo kustmuurcontrole
Als u de configuratie gewoon wilt uitproberen en als deze werkt, start deze dan op, dan kunt u de try-optie specificeren.
$ sudo kustmuur proberen[ ]
Shorewall is slechts een van de vele robuuste firewall-oplossingen die beschikbaar zijn op Linux-systemen. Het maakt niet uit aan welk uiteinde van het netwerkspectrum u zich bevindt, velen vinden het eenvoudig en nuttig.
Dit is slechts een klein begin, en een die u op weg kan helpen zonder al te zwaar in te gaan op netwerkconcepten. Onderzoek, zoals altijd, de man-pagina's en andere bronnen. De mailinglijst van Shorewall is een geweldige plek, up-to-date en goed onderhouden.