Entdeckt Shorewall Firewall Konfiguratioun a Kommandozeiloptiounen


A mengem fréieren Artikel hu mir e Bléck op Shorewall gemaach, wéi se se installéieren, d'Konfiguratiounsdateien opstellen an d'Port Forwarding iwwer NAT konfiguréieren. An dësem Artikel wäerte mir e puer vun de gemeinsame Feeler Shorewall entdecken, e puer Léisungen, a kréien eng Aféierung op seng Kommandozeiloptiounen.

  1. Shorewall - Eng High-Level Firewall fir Linux Serveren ze konfiguréieren - Deel 1

Shorewall bitt eng breet Palette vu Kommandoen déi op der Kommandozeil lafen kënnen. E Bléck op de Mann Shorewall sollt Iech vill ze gesinn, awer déi éischt Aufgab déi mir ausféieren ass e Scheck vun eise Konfiguratiounsdateien.

$ sudo shorewall check

Shorewall dréckt e Scheck vun all Äre Konfiguratiounsdateien aus, an d'Optiounen an hinnen. D'Ausgab wäert sou eppes ausgesinn.

Determining Hosts in Zones...
Locating Actions Files...
Checking /usr/share/shorewall/action.Drop for chain Drop...
Checking /usr/share/shorewall/action.Broadcast for chain Broadcast...
Checking /usr/shrae/shorewall/action.Invalid for chain Invalid...
Checking /usr/share/shorewall/action.NotSyn for chain NotSyn..
Checking /usr/share/shorewall/action.Reject for chain Reject...
Checking /etc/shorewall/policy...
Adding Anti-smurf Rules
Adding rules for DHCP
Checking TCP Flags filtering...
Checking Kernel Route Filtering...
Checking Martian Logging...
Checking Accept Source Routing...
Checking MAC Filtration -- Phase 1...
Checking /etc/shorewall/rules...
Checking /usr/share/shorewall/action.Invalid for chain %Invalid...
Checking MAC Filtration -- Phase 2...
Applying Policies...
Checking /etc/shorewall/routestopped...
Shorewall configuration verified

Déi magesch Linn, déi mir sichen, ass déi ënnen, déi liest: \Shorewall Configuration verified.\ Wann Dir Feeler kritt, da sinn se héchstwahrscheinlech wéinst fehlenden Moduler an Ärer Kernelkonfiguratioun.

Ech weisen Iech wéi Dir zwee vun de méi heefegste Feeler léist, awer et passt Iech fir Äre Kernel mat all déi néideg Moduler ze kompiléieren wann Dir plangt Är Maschinn als Firewall ze benotzen.

Den éischte Feeler, an am meeschte verbreet, ass de Feeler iwwer NAT.

Processing /etc/shorewall/shorewall.conf...
Loading Modules...
Checking /etc/shorewall/zones...
Checking /etc/shorewall/interfaces...
Determining Hosts in Zones...
Locating Actions Files...
Checking /usr/share/shorewall/action.Drop for chain Drop...
Checking /usr/share/shorewall/action.Broadcast for chain Broadcast...
Checking /usr/shrae/shorewall/action.Invalid for chain Invalid...
Checking /usr/share/shorewall/action.NotSyn for chain NotSyn..
Checking /usr/share/shorewall/action.Reject for chain Reject...
Checking /etc/shorewall/policy...
Adding Anti-smurf Rules
Adding rules for DHCP
Checking TCP Flags filtering...
Checking Kernel Route Filtering...
Checking Martian Logging...
Checking Accept Source Routing...
Checking /etc/shorewall/masq...
    ERROR: a non-empty masq file requires NAT in your kernel and iptables /etc/shorewall/masq (line 15)

Wann Dir eppes gesitt dat ähnlech ass, sinn d'Chancen datt Ären aktuellen Kernel net mat Ënnerstëtzung fir NAT kompiléiert ass. Dëst ass heefeg mat de meescht out-of-the-box Kernels. Liest w.e.g. mäin Tutorial iwwer \Wéi een Debian Kernel kompiléiert fir Iech unzefänken.

En anere gemeinsame Feeler produzéiert vum Scheck ass de Feeler iwwer iptables a Logbicher.

[email :/etc/shorewall# shorewall check
Checking...
Processing /etc/shorewall/params...
Processing /etc/shorewall/shorewall.conf
Loading Modules..
   ERROR: Log level INFO requires LOG Target in your kernel and iptables

Dëst ass och eppes wat Dir an en neie Kernel kompiléiere kënnt, awer et gëtt e schnelle Fix fir et, wann Dir ULOG benotze wëllt. ULOG ass en anere Logmechanismus vum Syslog. Et ass relativ einfach ze benotzen.

Fir dëst ze setzen, musst Dir all Instanz vun \Info op \ULOG an all Äre Konfiguratiounsdateien an /etc/shorewall änneren. De folgende Kommando kann dat fir Iech maachen.

$ cd /etc/shorewall
$ sudo sed –i ‘s/info/ULOG/g’ *

Duerno ännert d'Datei /etc/shorewall/shorewall.conf a setzt d'Linn.

LOGFILE=

Wou Dir wëllt datt Äre Log gespäichert gëtt. Meng ass am /var/log/shorewall.log.

LOGFILE=/var/log/shorewall.log

Sudo Shorewall Check auszeféieren sollt Iech eng propper Gesondheetsrechnung ginn.

D'Shorewall Kommandozeil Interface kënnt mat villen prakteschen One-Liner fir Systemadministratoren. Een dacks benotzte Kommando, besonnesch wann vill Ännerungen un der Firewall gemaach ginn, ass den aktuellen Konfiguratiounszoustand ze späicheren, sou datt Dir zréckrolle kënnt wann et Komplikatioune gëtt. D'Syntax fir dëst ass einfach.

$ sudo shorewall save <filename>

Réckrollen ass grad esou einfach:

$ sudo shorewall restore <filename>

Shorewall kann och gestart a konfiguréiert ginn fir en alternativen Konfiguratiounsverzeechnes ze benotzen. Dir kënnt uginn datt dëst de Start Kommando ass, awer Dir wëllt et als éischt kontrolléieren.

$ sudo shorewall check <config-directory>

Wann Dir einfach d'Konfiguratioun ausprobéiere wëllt, a wann et funktionnéiert, start se op, Dir kënnt d'probéieren Optioun uginn.

$ sudo shorewall try <config-directory> [  ]

Shorewall ass just eng vu ville robuste Firewall-Léisungen déi op Linux Systemer verfügbar sinn. Egal op wéi engem Enn vum Netzwierksspektrum Dir Iech selwer fannt, vill fannen et einfach an nëtzlech.

Dëst ass nëmmen e klenge Start, an een deen Iech op Äre Wee ka kréien ouni vill an Netzwierkkonzepter ze goen. Wéi ëmmer, w.e.g. Fuerschung a kuckt op d'Man Säiten an aner Ressourcen. Dem Shorewall seng Mailinglëscht ass eng genial Plaz, an ass aktuell a gutt ënnerhal.