Pagsuhid sa Shorewall Firewall Configuration ug Command Line Options
Sa akong miaging artikulo, among gitan-aw ang Shorewall, kung giunsa kini i-install, i-set up ang mga file sa pag-configure, ug gi-configure ang pagpasa sa port sa NAT. Niini nga artikulo, atong susihon ang pipila sa kasagarang mga sayop sa Shorewall, pipila ka mga solusyon, ug makakuha og pasiuna sa mga opsyon sa command line niini.
- Shorewall – Usa ka High-Level Firewall para sa Pag-configure sa Linux Servers – Bahin 1
Ang Shorewall nagtanyag usa ka halapad nga han-ay sa mga mando nga mahimong ipadagan sa linya sa mando. Ang pagtan-aw sa man shorewall kinahanglan maghatag kanimo daghang makita, apan ang una nga buluhaton nga among buhaton mao ang pagsusi sa among mga file sa pag-configure.
$ sudo shorewall check
Ang Shorewall mag-print sa usa ka tseke sa tanan nimo nga mga file sa pag-configure, ug ang mga kapilian nga naa sa sulod niini. Ang output tan-awon sama niini.
Determining Hosts in Zones... Locating Actions Files... Checking /usr/share/shorewall/action.Drop for chain Drop... Checking /usr/share/shorewall/action.Broadcast for chain Broadcast... Checking /usr/shrae/shorewall/action.Invalid for chain Invalid... Checking /usr/share/shorewall/action.NotSyn for chain NotSyn.. Checking /usr/share/shorewall/action.Reject for chain Reject... Checking /etc/shorewall/policy... Adding Anti-smurf Rules Adding rules for DHCP Checking TCP Flags filtering... Checking Kernel Route Filtering... Checking Martian Logging... Checking Accept Source Routing... Checking MAC Filtration -- Phase 1... Checking /etc/shorewall/rules... Checking /usr/share/shorewall/action.Invalid for chain %Invalid... Checking MAC Filtration -- Phase 2... Applying Policies... Checking /etc/shorewall/routestopped... Shorewall configuration verified
Ang mahiwagang linya nga among gipangita mao ang naa sa ubos nga mabasa: \Shorewall configuration verified. Kung makadawat ka ug bisan unsa nga mga sayup, kini lagmit tungod sa nawala nga mga module sa imong kernel configuration.
Ipakita ko kanimo kung giunsa pagsulbad ang duha sa labi ka kasagaran nga mga sayup, apan kinahanglan nimo nga i-compile ang imong kernel sa tanan nga kinahanglan nga mga module kung nagplano ka nga gamiton ang imong makina ingon usa ka firewall.
Ang una nga sayup, ug labing kasagaran, mao ang sayup bahin sa NAT.
Processing /etc/shorewall/shorewall.conf...
Loading Modules...
Checking /etc/shorewall/zones...
Checking /etc/shorewall/interfaces...
Determining Hosts in Zones...
Locating Actions Files...
Checking /usr/share/shorewall/action.Drop for chain Drop...
Checking /usr/share/shorewall/action.Broadcast for chain Broadcast...
Checking /usr/shrae/shorewall/action.Invalid for chain Invalid...
Checking /usr/share/shorewall/action.NotSyn for chain NotSyn..
Checking /usr/share/shorewall/action.Reject for chain Reject...
Checking /etc/shorewall/policy...
Adding Anti-smurf Rules
Adding rules for DHCP
Checking TCP Flags filtering...
Checking Kernel Route Filtering...
Checking Martian Logging...
Checking Accept Source Routing...
Checking /etc/shorewall/masq...
ERROR: a non-empty masq file requires NAT in your kernel and iptables /etc/shorewall/masq (line 15)Kung nakakita ka usa ka butang nga kaamgid niini, lagmit nga ang imong karon nga Kernel wala giipon sa suporta alang sa NAT. Kini kasagaran sa kadaghanan sa mga out-of-the-box nga Kernels. Palihug basaha ang akong panudlo sa \Unsaon pag-compile ang usa ka Debian Kernel aron makasugod ka.
Ang laing kasagarang sayup nga gihimo sa tseke mao ang sayup bahin sa mga iptable ug pag-log.
[email :/etc/shorewall# shorewall check Checking... Processing /etc/shorewall/params... Processing /etc/shorewall/shorewall.conf Loading Modules.. ERROR: Log level INFO requires LOG Target in your kernel and iptables
Kini usab usa ka butang nga mahimo nimong i-compile sa usa ka bag-ong Kernel, apan adunay usa ka dali nga pag-ayo alang niini, kung gusto nimo gamiton ang ULOG. Ang ULOG usa ka lahi nga mekanismo sa pag-log gikan sa syslog. Kini mao ang pretty sayon nga gamiton.
Aron mabutang kini, kinahanglan nimong usbon ang matag instance sa \info ngadto sa \ULOG sa tanan nimong mga configuration file sa /etc/shorewall. Ang mosunod nga sugo makahimo niana alang kanimo.
$ cd /etc/shorewall $ sudo sed –i ‘s/info/ULOG/g’ *
Human niana, usba ang /etc/shorewall/shorewall.conf file ug itakda ang linya.
LOGFILE=
Kung asa nimo gusto nga ibutang ang imong log. Ang akoa naa sa /var/log/shorewall.log.
LOGFILE=/var/log/shorewall.log
Ang pagpadagan sa sudo shorewall check kinahanglan maghatag kanimo usa ka limpyo nga bill sa kahimsog.
Ang interface sa command line sa Shorewall adunay daghang magamit nga one-liners alang sa mga administrador sa sistema. Usa ka kanunay nga gigamit nga mando, labi na kung daghang mga pagbag-o ang gihimo sa firewall, mao ang pag-save sa karon nga kahimtang sa pag-configure aron mahimo nimong ibalik kung adunay mga komplikasyon. Ang syntax alang niini yano ra.
$ sudo shorewall save <filename>
Sayon ra ang pagbalik:
$ sudo shorewall restore <filename>
Ang Shorewall mahimo usab nga magsugod ug ma-configure aron magamit ang usa ka alternatibo nga direktoryo sa pag-configure. Mahimo nimong mahibal-an nga kini ang pagsugod nga mando, apan gusto nimo nga susihon una kini.
$ sudo shorewall check <config-directory>
Kung gusto nimo nga sulayan ang pagsumpo, ug kung kini nagtrabaho, sugdi kini, mahimo nimong ipiho ang kapilian sa pagsulay.
$ sudo shorewall try <config-directory> [ ]
Ang Shorewall usa lang sa daghang lig-on nga solusyon sa firewall nga magamit sa mga sistema sa Linux. Bisan unsa nga katapusan sa networking spectrum nga imong nakit-an, daghan ang nakakaplag nga kini yano ug mapuslanon.
Kini usa lamang ka gamay nga pagsugod, ug usa nga makahimo kanimo sa imong dalan nga dili mag-uswag sa mga konsepto sa networking. Sama sa kanunay, palihug pagsiksik ug tan-awa ang mga panid sa tawo ug uban pang mga kapanguhaan. Ang mailing list sa Shorewall usa ka nindot nga lugar, ug labing bag-o ug maayo nga gimentinar.