Erkunden von Shorewall Firewall -Konfiguration und Befehlszeilenoptionen
- 1816
- 7
- Janin Pletsch
In meinem vorherigen Artikel haben wir uns angesehen Shorewall, Installation Nat. In diesem Artikel werden wir einige von untersuchen ShorewallDie gemeinsamen Fehler, einige Lösungen und eine Einführung in seine Befehlszeilenoptionen erhalten.
Shorewall -Konfigurationsoptionen - Shorewall - Eine Firewall auf hoher Ebene zum Konfigurieren von Linux -Servern - Teil 1
Shorewall bietet eine breite Palette von Befehlen, die in der Befehlszeile ausgeführt werden können. Einen Blick darauf haben Mann Shorewall Sollte Ihnen viel zu sehen geben, aber die erste Aufgabe, die wir ausführen werden, ist eine Überprüfung unserer Konfigurationsdateien.
$ sudo shorewall check
Shorewall Drucken Sie eine Überprüfung aller Ihrer Konfigurationsdateien und der darin enthaltenen Optionen aus. Die Ausgabe sieht ungefähr so aus.
Bestimmung von Hosts in Zonen.Drop für Kettenabfall… Überprüfung/USR/Share/Shorewall/Action.Sendung für die Kettenübertragung… Überprüfung/USR/Shrae/Shorewall/Action.Ungültig für die Kette ungültig… Überprüfung/USR/Share/Shorewall/Aktion.Notsyn für Ketten Notsyn… Überprüfung/USR/Share/Shorewall/Action.Ablehnung für die Kettenausweisung… Überprüfung/etc/Shorewall/Richtlinie… Hinzufügen von Anti-Smurf-Regeln Hinzufügen von Regeln für DHCP /etc/Shorewall/Regeln… Überprüfung/USR/Share/Shorewall/Aktion.Ungültig für Ketten %Ungültiges… MAC -Filtration überprüfen - Phase 2… Anwendung von Richtlinien… Überprüfung/etc/Shorewall/regeltägliches… Shorewall -Konfiguration verifiziert
Die magische Linie, nach der wir suchen, ist die unten lautet: “Shorewall -Konfiguration verifiziert”. Wenn Sie Fehler erhalten, sind diese höchstwahrscheinlich auf fehlenden Modulen in Ihrer Kernelkonfiguration zurückzuführen.
Ich werde Ihnen zeigen, wie Sie zwei der häufigsten Fehler beheben können, aber es ist Sie darauf hingewiesen, Ihren Kernel mit allen erforderlichen Modulen neu zu kompilieren.
Der erste und am häufigsten vorkommende Fehler ist der Fehler um Nat.
Verarbeitung/etc/Shorewall/Shorewall.Conf… Lademodule… Überprüfung/etc/Shorewall/Zonen… Überprüfung/etc/Shorewall/Schnittstellen… Ermittlung von Hosts in Zonen… Aktionsdateien finden… Überprüfung/USR/Share/Shorewall/Aktion/Aktion.Drop für Kettenabfall… Überprüfung/USR/Share/Shorewall/Action.Sendung für die Kettenübertragung… Überprüfung/USR/Shrae/Shorewall/Action.Ungültig für die Kette ungültig… Überprüfung/USR/Share/Shorewall/Aktion.Notsyn für Ketten Notsyn… Überprüfung/USR/Share/Shorewall/Action.Ablehre für die Kette abgelehnt… Überprüfung/etc/Shorewall/Richtlinie… Hinzufügen von Anti-Smurf-Regeln Hinzufügen von Regeln für DHCP-Überprüfung von TCP-Flags Filterung… Kernel-Routenfilterung zu überprüfen… prüfen Martian-Protokollierung… Überprüfung der Routing von Quellen an Akzeptieren… Fehler: Eine nicht leere Masq-Datei benötigt Nat in Ihrem Kernel und Iptables/etc/Shorewall/Masq (Zeile 15)
Wenn Sie etwas sehen, das dem ähnelt, besteht die Möglichkeit, dass Ihre Strömung Kernel wird nicht mit Unterstützung für Nat. Dies ist bei den meisten außerhalb des Kästchenkernels üblich. Bitte lesen Sie mein Tutorial über „Wie man einen Debian -Kernel kompiliert“, um Ihnen den Einstieg zu erleichtern.
Ein weiterer häufiger Fehler, der durch die Prüfung erzeugt wird, ist der Fehler um iptables Und Protokollierung.
[E -Mail geschützt]:/etc/Shorewall# Shorewall Check -Checking… Verarbeitung/etc/Shorewall/Params… Verarbeitung/etc/Shorewall/Shorewall.Conf -Lademodule… Fehler: Info auf Protokollebene erfordert Protokollziel in Ihrem Kernel und Iptables
Dies ist auch etwas, das Sie zu einem neuen Kernel kompilieren können, aber es gibt eine schnelle Lösung dafür, wenn Sie gerne verwenden möchten Urog. Urog ist ein anderer Protokollierungsmechanismus als Syslog. Es ist ziemlich einfach zu bedienen.
Um dies festzulegen, müssen Sie jede Instanz von “ändern“die Info" Zu "Urog”In all Ihren Konfigurationsdateien in /etc/Shorewall. Der folgende Befehl kann das für Sie tun.
$ cd/etc/shorewall $ sudo sed -i 's/info/uog/g' *
Danach bearbeiten Sie die /etc/Shorewall/Shorewall.Conf Datei und Stellen Sie die Zeile fest.
Logfile =
Wo Sie möchten, dass Ihr Protokoll gespeichert wird. Meins ist in /var/log/Shorewall.Protokoll.
LogFile =/var/log/Shorewall.Protokoll
Betrieb "Sudo Shorewall CheckSollte Ihnen eine saubere Gesundheitsrechnung geben.
Die Befehlszeilenschnittstelle von Shorewall verfügt über viele praktische Einzeiler für Systemadministratoren. Ein häufig verwendeter Befehl, insbesondere wenn zahlreiche Änderungen an der Firewall vorgenommen werden. Die Syntax dafür ist einfach.
$ sudo Shorewall sparen
Zurückrollen ist genauso einfach:
$ sudo shorewall restoure
Shorewall kann auch gestartet und konfiguriert werden, um ein alternatives Konfigurationsverzeichnis zu verwenden. Sie können angeben, dass dies der Befehl Start ist, aber Sie möchten ihn zuerst überprüfen.
$ sudo shorewall check
Wenn Sie einfach die Konfiguration ausprobieren möchten und sie funktioniert, können Sie die Option Try -Option angeben.
$ sudo Shorewall versuchen []
Shorewall ist nur eine von vielen robusten Firewall -Lösungen, die auf Linux -Systemen erhältlich sind. Egal, in welchem Ende des Netzwerkspektrums Sie sich befinden, viele finden es einfach und nützlich.
Dies ist nur ein kleiner Start, der Sie auf den Weg bringen kann, ohne sich stark in Netzwerkkonzepte zu befassen. Bitte recherchieren Sie wie immer und schauen Sie sich die Mannseiten und andere Ressourcen an. Shorewalls Mailingliste ist ein großartiger Ort und ist auf dem neuesten Stand und gut gepflegt.
- « Nomachine - ein erweitertes Remote -Desktop -Zugriffstool
- So fügen Sie Windows Host zum Nagios -Überwachungsserver hinzu »