В моей предыдущей статье мы рассмотрели Shorewall, как его установить, настроить файлы конфигурации и настроить переадресацию портов через NAT. В этой статье мы собираемся изучить некоторые из ShorewallРаспространенные ошибки, некоторые решения и общие сведения о параметрах командной строки.
Shorewall предлагает широкий спектр команд, которые можно запускать из командной строки. Глядя на человек Shorewall должен дать вам много интересного, но первая задача, которую мы собираемся выполнить, - это проверка наших файлов конфигурации.
$ sudo shorewall проверить
Shorewall распечатает проверку всех ваших файлов конфигурации и содержащихся в них опций. Результат будет выглядеть примерно так.
Определение хостов в зонах... Поиск файлов действий... Проверяем / usr / share / shorewall / action. Капля за цепочку Капля... Проверяем / usr / share / shorewall / action. Трансляция для сетевого вещания... Проверка / usr / shrae / shorewall / action. Недействительно для цепочки Недействительно... Проверяем / usr / share / shorewall / action. NotSyn для сети NotSyn.. Проверяем / usr / share / shorewall / action. Отклонить для цепочки Отклонить... Проверка / etc / shorewall / policy... Добавление правил Anti-smurf. Добавление правил для DHCP. Проверка фильтрации TCP-флагов... Проверка фильтрации маршрутов ядра... Проверка марсианского каротажа... Проверка принятия маршрутизации от источника... Проверка фильтрации MAC - этап 1... Проверка / etc / shorewall / rules... Проверяем / usr / share / shorewall / action. Недействительно для цепочки% Недействительно... Проверка фильтрации MAC - этап 2... Применение политик... Проверка / etc / shorewall / routestopped... Конфигурация Shorewall проверена
Магическая линия, которую мы ищем, - это та, которая внизу гласит: «Конфигурация Shorewall проверена”. Если вы получаете какие-либо ошибки, они, скорее всего, связаны с отсутствием модулей в конфигурации вашего ядра.
Я покажу вам, как исправить две наиболее распространенные ошибки, но вам следует перекомпилировать ядро со всеми необходимыми модулями, если вы планируете использовать свою машину в качестве брандмауэра.
Первая и самая частая ошибка - это ошибка, связанная с NAT.
Обработка /etc/shorewall/shorewall.conf... Загрузка модулей... Проверка / etc / shorewall / zone... Проверка / etc / shorewall / interfaces... Определение хостов в зонах... Поиск файлов действий... Проверяем / usr / share / shorewall / action. Капля за цепочку Капля... Проверяем / usr / share / shorewall / action. Трансляция для сетевого вещания... Проверка / usr / shrae / shorewall / action. Недействительно для цепочки Недействительно... Проверяем / usr / share / shorewall / action. NotSyn для сети NotSyn.. Проверяем / usr / share / shorewall / action. Отклонить для цепочки Отклонить... Проверка / etc / shorewall / policy... Добавление правил Anti-smurf. Добавление правил для DHCP. Проверка фильтрации TCP-флагов... Проверка фильтрации маршрутов ядра... Проверка марсианского каротажа... Проверка принятия маршрутизации от источника... Проверка / etc / shorewall / masq... ОШИБКА: непустой файл masq требует NAT в вашем ядре и iptables / etc / shorewall / masq (строка 15)
Если вы видите что-то похожее на это, скорее всего, ваш текущий Ядро не скомпилирован с поддержкой NAT. Это характерно для большинства готовых ядер. Пожалуйста, прочтите мой учебник на тему «Как скомпилировать ядро Debian», Чтобы вы начали.
Другая распространенная ошибка, возникающая при проверке, - это ошибка о iptables и Ведение журнала.
[электронная почта защищена]: / etc / shorewall # проверка Shorewall. Проверяю... Обработка / etc / shorewall / params... Обрабатывается /etc/shorewall/shorewall.conf. Загрузка модулей.. ОШИБКА: ИНФОРМАЦИЯ на уровне журнала требует LOG Target в вашем ядре и iptables.
Это также то, что вы можете скомпилировать в новое ядро, но есть быстрое исправление, если вы хотите использовать ULOG. ULOG это другой механизм ведения журнала, чем syslog. Пользоваться им довольно просто.
Чтобы установить это, вы должны изменить каждый экземпляр «Информация" к "ULOG”Во всех ваших файлах конфигурации в /etc/shorewall. Следующая команда может сделать это за вас.
$ cd / etc / shorewall. $ sudo sed –i ‘s / info / ULOG / g’ *
После этого отредактируйте /etc/shorewall/shorewall.conf файл и установите строку.
LOGFILE =
Туда, где вы хотите хранить журнал. Мой находится в /var/log/shorewall.log.
LOGFILE = / var / log / shorewall.log
Бег "проверка sudo shorewall»Должны дать вам отчет о состоянии здоровья.
Интерфейс командной строки Shorewall содержит множество удобных однострочных команд для системных администраторов. Одна из часто используемых команд, особенно когда в брандмауэр вносятся многочисленные изменения, - это сохранить текущее состояние конфигурации, чтобы вы могли выполнить откат в случае возникновения каких-либо осложнений. Синтаксис для этого прост.
$ sudo shorewall сохранить
Откатиться так же просто:
$ sudo shorewall восстановить
Shorewall также можно запустить и настроить для использования альтернативного каталога конфигурации. Вы можете указать, что это команда запуска, но сначала вы захотите ее проверить.
$ sudo shorewall проверить
Если вы просто хотите опробовать конфигурацию, и если она работает, запустите ее, вы можете указать опцию «попробовать».
$ sudo shorewall попробовать[ ]
Shorewall - лишь одно из многих надежных брандмауэров, доступных в системах Linux. Независимо от того, на каком конце сетевого спектра вы находитесь, многие находят его простым и полезным.
Это всего лишь небольшое начало, и оно поможет вам двигаться дальше, не вдаваясь в сетевые концепции. Как всегда, пожалуйста, исследуйте и просмотрите страницы руководства и другие ресурсы. Список рассылки Shorewall - отличное место, он обновлен и поддерживается в хорошем состоянии.
