Exploration des options de configuration du pare-feu de Shorewall et de ligne de commande
- 3018
- 633
- Victor Charpentier
Dans mon article précédent, nous avons jeté un œil à Clôture, comment l'installer, configurer les fichiers de configuration et configurer le transfert de port sur Nat. Dans cet article, nous allons explorer certains des ClôtureLes erreurs courantes, certaines solutions, et obtiennent une introduction à ses options de ligne de commande.
Options de configuration de Shorewall - Shorewall - un pare-feu de haut niveau pour configurer les serveurs Linux - partie 1
Clôture offre un large éventail de commandes qui peuvent être exécutées sur la ligne de commande. Avoir un coup d'œil homme à terre devrait vous donner beaucoup à voir, mais la première tâche que nous allons effectuer est une vérification de nos fichiers de configuration.
$ Sudo Shorewall Check
Clôture Imprimera une vérification de tous vos fichiers de configuration et des options contenues dans. La sortie ressemblera à ceci.
Déterminer les hôtes dans les zones… Localisation des fichiers d'actions… Vérification / usr / partager / shorewall / action.Drop pour la chute de chaîne… Vérification / usr / share / shorewall / action.Difficulté pour la diffusion de la chaîne… Vérification / usr / shrae / shorewall / action.Invalide pour la chaîne invalide… Vérification / usr / share / shorewall / action.NOTSYN pour la chaîne notsyn… Vérification / USR / Partage / Shorewall / Action.Rejeter pour Rejeter en chaîne… Vérification / etc / Shorewall / Policy… Ajout de règles anti-SMURF Ajoutant des règles pour DHCP Vérification du filtrage des drapeaux TCP… Vérification du filtrage des itinéraires du noyau… Vérification de la journalisation martienne… Vérification d'accepter le routage source… Vérification de la filtration MAC - Phase 1… Vérification martienne / etc / shorewall / règles… Vérification / usr / share / shorewall / action.Invalide pour le% de chaîne invalide… Vérification de la filtration MAC - Phase 2… appliquant des politiques… Vérification / etc / Shorewall / RouteTopped… Configuration de Shorewall vérifiée
La ligne magique que nous recherchons est celle en bas qui lit: «Configuration de Shorewall vérifiée". Si vous recevez des erreurs, ils sont très probablement dus à des modules manquants dans votre configuration du noyau.
Je vais vous montrer comment résoudre deux des erreurs les plus courantes, mais il vous appartient de recompiler votre noyau avec tous les modules nécessaires si vous prévoyez d'utiliser votre machine comme pare-feu.
La première erreur, et la plus courante, est l'erreur sur Nat.
Traitement / etc / Shorewall / Shorewall.confe… Modules de chargement… Vérification / etc / Shorewall / Zones… Vérification / etc / Shorewall / Interfaces… Déterminer les hôtes dans les zones… Localisation des fichiers d'actions… Vérification / usr / share / shorewall / Action.Drop pour la chute de chaîne… Vérification / usr / share / shorewall / action.Difficulté pour la diffusion de la chaîne… Vérification / usr / shrae / shorewall / action.Invalide pour la chaîne invalide… Vérification / usr / share / shorewall / action.NOTSYN pour la chaîne notsyn… Vérification / USR / Partage / Shorewall / Action.Rejeter pour Rejeter la chaîne… Vérification / etc / Shorewall / Policy… Ajout de règles anti-SMURF Ajout de règles pour DHCP Vérifier le filtrage des indicateurs TCP… Vérification du filtrage des itinéraires du noyau… Vérification de la journalisation martienne… Vérification d'accepter le routage source… Vérification / etc / Shorewall / MASQ… Erreur: un fichier MASQ non vide nécessite NAT dans votre noyau et iptables / etc / shorewall / masq (ligne 15)
Si vous voyez quelque chose qui ressemble à cela, il y a de fortes chances que votre actuel Noyau n'est pas compilé avec le support pour Nat. Ceci est commun avec la plupart des grains prêts à l'emploi. Veuillez lire mon tutoriel sur «Comment compiler un noyau Debian» pour vous aider à démarrer.
Une autre erreur courante produite par le chèque est l'erreur sur iptables et enregistrement.
[Protégé par e-mail]: / etc / shorewall # chèque Shorewall Checking… Traitement / etc / Shorewall / Params… Traitement / etc / Shorewall / Shore.modules de chargement de confort… Erreur: les informations sur le niveau du journal nécessitent une cible de journal dans votre noyau et iptables
C'est aussi quelque chose que vous pouvez compiler dans un nouveau noyau, mais il y a une solution rapide pour cela, si vous souhaitez utiliser Ulgage. Ulgage est un mécanisme de journalisation différent de Syslog. C'est assez facile à utiliser.
Pour définir ceci, vous devez changer chaque instance de «Info" pour "Ulgage"Dans tous vos fichiers de configuration dans / etc / shorewall. La commande suivante peut le faire pour vous.
$ cd / etc / shorewall $ sudo sed -i 's / info / ulog / g' *
Après cela, modifiez le / etc / Shorewall / Shorewall.confli fichier et définir la ligne.
Logfile =
À l'endroit où vous souhaitez que votre journal soit stocké. Le mien est dans / var / log / shorewall.enregistrer.
Logfile = / var / log / shorewall.enregistrer
En cours "chèque sudo de la côte«Devrait vous donner un billet de santé propre.
L'interface de ligne de commande de Shorewall est livrée avec de nombreux doublures pratiques pour les administrateurs de systèmes. Une commande fréquemment utilisée, en particulier lorsque de nombreuses modifications sont apportées au pare-feu, consiste à enregistrer l'état de configuration actuel afin que vous puissiez revenir en arrière s'il y a des complications. La syntaxe pour ceci est simple.
$ sudo shorewall économiser
Rouler le dos est tout aussi facile:
$ Sudo Shorewall Restore
Shorewall peut également être démarré et configuré pour utiliser un autre répertoire de configuration. Vous pouvez spécifier qu'il s'agit de la commande de démarrage, mais vous voudrez le vérifier d'abord.
$ Sudo Shorewall Check
Si vous souhaitez simplement essayer la configuration et si cela fonctionne, démarrez-le, vous pouvez spécifier l'option d'essai.
$ sudo shorewall essayez []
Shorewall n'est qu'une des nombreuses solutions de pare-feu robustes disponibles sur les systèmes Linux. Quelle que soit la fin du spectre de réseautage sur lequel vous vous trouvez, beaucoup trouvent que c'est simple et utile.
Ce n'est qu'un petit début, et qui peut vous mettre sur votre chemin sans aller fortement dans les concepts de réseautage. Comme toujours, veuillez rechercher et consulter les pages de l'homme et d'autres ressources. La liste de diffusion de Shorewall est un endroit génial, et est à jour et bien entretenu.
- « NOMACHINE - Un outil d'accès de bureau à distance avancé
- Comment ajouter l'hôte Windows au serveur de surveillance Nagios »