Eksplorimi i konfigurimit të murit të zjarrit dhe opsionet e linjës së komandës
Në artikullin tim të mëparshëm, ne hodhëm një vështrim te Shorewall, si ta instalojmë atë, të konfigurojmë skedarët e konfigurimit dhe të konfigurojmë përcjelljen e portit përmes NAT. Në këtë artikull, ne do të shqyrtojmë disa nga gabimet e zakonshme të Shorewall, disa zgjidhje dhe do të bëjmë një hyrje në opsionet e tij të linjës së komandës.
- Shorewall – Një mur zjarri i nivelit të lartë për konfigurimin e serverëve Linux – Pjesa 1
Shorewall ofron një gamë të gjerë komandash që mund të ekzekutohen në vijën e komandës. Një vështrim në murin e bregut të njeriut duhet t'ju japë shumë për të parë, por detyra e parë që do të kryejmë është një kontroll në skedarët tanë të konfigurimit.
$ sudo shorewall check
Shorewall do të printojë një kontroll të të gjithë skedarëve tuaj të konfigurimit dhe opsioneve që gjenden brenda tyre. Prodhimi do të duket diçka si kjo.
Determining Hosts in Zones...
Locating Actions Files...
Checking /usr/share/shorewall/action.Drop for chain Drop...
Checking /usr/share/shorewall/action.Broadcast for chain Broadcast...
Checking /usr/shrae/shorewall/action.Invalid for chain Invalid...
Checking /usr/share/shorewall/action.NotSyn for chain NotSyn..
Checking /usr/share/shorewall/action.Reject for chain Reject...
Checking /etc/shorewall/policy...
Adding Anti-smurf Rules
Adding rules for DHCP
Checking TCP Flags filtering...
Checking Kernel Route Filtering...
Checking Martian Logging...
Checking Accept Source Routing...
Checking MAC Filtration -- Phase 1...
Checking /etc/shorewall/rules...
Checking /usr/share/shorewall/action.Invalid for chain %Invalid...
Checking MAC Filtration -- Phase 2...
Applying Policies...
Checking /etc/shorewall/routestopped...
Shorewall configuration verified
Linja magjike që ne po kërkojmë është ajo në fund që lexon: \Konfigurimi i murit bregdetar u verifikua. Nëse merrni ndonjë gabim, ka shumë të ngjarë që ato të jenë për shkak të moduleve që mungojnë në konfigurimin e kernelit tuaj.
Unë do t'ju tregoj se si të zgjidhni dy nga gabimet më të zakonshme, por ju duhet të ripërpiloni kernelin tuaj me të gjitha modulet e nevojshme nëse planifikoni të përdorni kompjuterin tuaj si një mur zjarri.
Gabimi i parë, dhe më i zakonshmi, është gabimi në lidhje me NAT.
Processing /etc/shorewall/shorewall.conf...
Loading Modules...
Checking /etc/shorewall/zones...
Checking /etc/shorewall/interfaces...
Determining Hosts in Zones...
Locating Actions Files...
Checking /usr/share/shorewall/action.Drop for chain Drop...
Checking /usr/share/shorewall/action.Broadcast for chain Broadcast...
Checking /usr/shrae/shorewall/action.Invalid for chain Invalid...
Checking /usr/share/shorewall/action.NotSyn for chain NotSyn..
Checking /usr/share/shorewall/action.Reject for chain Reject...
Checking /etc/shorewall/policy...
Adding Anti-smurf Rules
Adding rules for DHCP
Checking TCP Flags filtering...
Checking Kernel Route Filtering...
Checking Martian Logging...
Checking Accept Source Routing...
Checking /etc/shorewall/masq...
ERROR: a non-empty masq file requires NAT in your kernel and iptables /etc/shorewall/masq (line 15)
Nëse po shihni diçka që i ngjan kësaj, shanset janë që Kerneli juaj aktual të mos jetë i përpiluar me mbështetje për NAT. Kjo është e zakonshme me shumicën e bërthamave jashtë kutisë. Ju lutemi lexoni tutorialin tim mbi \Si të përpiloni një kernel Debian për të filluar.
Një tjetër gabim i zakonshëm i prodhuar nga kontrolli është gabimi në lidhje me iptables dhe logging.
[email :/etc/shorewall# shorewall check
Checking...
Processing /etc/shorewall/params...
Processing /etc/shorewall/shorewall.conf
Loading Modules..
ERROR: Log level INFO requires LOG Target in your kernel and iptables
Kjo është gjithashtu diçka që mund ta përpiloni në një kernel të ri, por ka një zgjidhje të shpejtë për të, nëse dëshironi të përdorni ULOG. ULOG është një mekanizëm i ndryshëm regjistrimi nga syslog. Është goxha e lehtë për t'u përdorur.
Për ta vendosur këtë, duhet të ndryshoni çdo shembull të \info në \ULOG në të gjithë skedarët tuaj të konfigurimit në /etc/shorewall. Komanda e mëposhtme mund ta bëjë këtë për ju.
$ cd /etc/shorewall
$ sudo sed –i ‘s/info/ULOG/g’ *
Pas kësaj, modifikoni skedarin /etc/shorewall/shorewall.conf dhe vendosni linjën.
LOGFILE=
Aty ku dëshironi të ruani regjistrin tuaj. E imja është në /var/log/shorewall.log.
LOGFILE=/var/log/shorewall.log
Kryerja e kontrollit të murit të bregut sudo duhet t'ju japë një faturë të pastër shëndetësore.
Ndërfaqja e linjës së komandës së Shorewall vjen me shumë rreshta të dobishëm për administratorët e sistemeve. Një komandë e përdorur shpesh, veçanërisht kur bëhen ndryshime të shumta në murin e zjarrit, është ruajtja e gjendjes aktuale të konfigurimit në mënyrë që të mund të riktheheni nëse ka ndonjë ndërlikim. Sintaksa për këtë është e thjeshtë.
$ sudo shorewall save <filename>
Kthimi është po aq i lehtë:
$ sudo shorewall restore <filename>
Shorewall gjithashtu mund të niset dhe konfigurohet për të përdorur një drejtori alternative të konfigurimit. Ju mund të specifikoni se kjo është komanda e fillimit, por ju do të dëshironi ta kontrolloni atë së pari.
$ sudo shorewall check <config-directory>
Nëse thjesht dëshironi të provoni konfigurimin dhe nëse funksionon, ndizni, mund të specifikoni opsionin e provoni.
$ sudo shorewall try <config-directory> [ ]
Shorewall është vetëm një nga shumë zgjidhjet e fuqishme të mureve të zjarrit që janë të disponueshme në sistemet Linux. Pavarësisht se në cilin fund të spektrit të rrjetit e gjeni veten, shumë e konsiderojnë atë të thjeshtë dhe të dobishëm.
Ky është vetëm një fillim i vogël dhe ai që mund t'ju çojë në rrugën tuaj pa u futur shumë në konceptet e rrjeteve. Si gjithmonë, ju lutemi hulumtoni dhe hidhini një sy faqeve të njeriut dhe burimeve të tjera. Lista e postimeve e Shorewall është një vend i mrekullueshëm dhe është i përditësuar dhe i mirëmbajtur mirë.