Explorar opciones de configuración de firewall de Shorewall y línea de comando

En mi artículo anterior, echamos un vistazo a Mochila, Cómo instalarlo, configurar los archivos de configuración y configurar el reenvío de puertos Nat. En este artículo, vamos a explorar algunos de MochilaLos errores comunes, algunas soluciones y obtienen una introducción a sus opciones de línea de comando.

1. Shorewall: un firewall de alto nivel para configurar servidores Linux - Parte 1

Mochila ofrece una amplia gama de comandos que se pueden ejecutar en la línea de comando. Echar un vistazo a Man Shorewall Debería darle mucho para ver, pero la primera tarea que vamos a realizar es una verificación de nuestros archivos de configuración.

$ sudo shorewall cheque

Mochila Imprimirá una verificación de todos sus archivos de configuración y las opciones contenidas dentro de ellos. La salida se verá algo así.

Determinación de hosts en zonas ... Localización de archivos de acciones ... Comprobación/usr/share/shorewall/acción.Drop para la caída de la cadena ... Comprobación/usr/share/shorewall/acción.Transmisión para la transmisión en cadena ... Comprobación/usr/shrae/shorewall/acción.Inválido por cadena Inválida ... Comprobación/usr/share/shorewall/acción.Notsyn para la cadena Notsyn ... Comprobación/usr/share/shorewall/acción.Rechazo para la cadena Rechazo ... Comprobación/etc/Shorewall/Política ... Agregar reglas anti-Smurf Agregar reglas para la comprobación de DHCP Filtrado de banderas TCP ... Comprobación de filtrado de ruta del núcleo ... Verificación de registro marciano ... Verificación de la fuente de aceptación de la fuente ... Comprobación de la filtración Mac-Fase 1 ... Verifique /etc/shorewall/reglas ... verificación/usr/share/shorewall/acción.Inválido para el %de cadena Inválido ... Comprobación de filtración MAC - Fase 2 ... Aplicación de políticas ... Comprobación/etc/Shorewall/Routestopped .. Configuración de Shorewall verificada

La línea mágica que estamos buscando es la que dice: "Configuración de Shorewall verificada". Si recibe algún error, lo más probable es que se deban a los módulos faltantes en la configuración de su núcleo.

Le mostraré cómo resolver dos de los errores más comunes, pero le corresponde recompilar su núcleo con todos los módulos necesarios si planea usar su máquina como firewall.

El primer error, y más común, es el error sobre Nat.

Procesamiento/etc/shorewall/shorewall.Conf ... Módulos de carga ... Verificación/etc/Shorewall/zonas ... verificación/etc/shorewall/interfaces ... determinando hosts en zonas ... Localización de archivos de acciones ... comprobación/usr/share/shorewall/acción.Drop para la caída de la cadena ... Comprobación/usr/share/shorewall/acción.Transmisión para la transmisión en cadena ... Comprobación/usr/shrae/shorewall/acción.Inválido por cadena Inválida ... Comprobación/usr/share/shorewall/acción.Notsyn para la cadena Notsyn ... Comprobación/usr/share/shorewall/acción.Rechazo para la cadena Rechazo ... Comprobación/ETC/Shorewall/Política ... Agregar reglas anti-Smurf Agregar reglas para el filtrado de indicadores de TCP DHCP… Verificación de filtrado de ruta del núcleo ... Verificación de registro marciano ... Verificación de enrutamiento de fuente de aceptación ... verificación/etc/shorewall/mask .. Error: un archivo MASQ no vacío requiere NAT en su kernel e iptables/etc/shorewall/masq (línea 15)

Si está viendo algo parecido a esto, es probable que su actual Núcleo no se compila con soporte para Nat. Esto es común con la mayoría de los núcleos listos para usar. Lea mi tutorial sobre "Cómo compilar un núcleo Debian" para comenzar.

Otro error común producido por la verificación es el error sobre iptables y Inicio sesión.

[Correo electrónico protegido]:/etc/shorewall# shorewall verificación de verificación ... procesamiento/etc/shorewall/params ... procesamiento/etc/shorewall/shorewall.módulos de carga conf .. Error: la información del nivel de registro requiere un objetivo de registro en su kernel e iptables

Esto también es algo que puede compilar en un nuevo núcleo, pero hay una solución rápida para ello, si desea usar Ulog. Ulog es un mecanismo de registro diferente de syslog. es muy facil de usar.

Para establecer esto, debe cambiar cada instancia de "información" a "Ulog"En todos sus archivos de configuración en /etc/shorewall. El siguiente comando puede hacer eso por ti.

$ cd/etc/shorewall $ sudo sed -i 's/info/ulog/g' * *

Después de eso, edite el /etc/shorewall/shorewall.confusión Archivo y configure la línea.

Logfile =

A donde le gustaría que se almacenara su registro. El mío esta en /var/log/shorewall.registro.

LogFile =/var/log/shorewall.registro

Correr "cheque de sudo shorewall"Debería darle una lista de salud limpia.

La interfaz de línea de comandos de Shorewall viene con muchas frases prácticas para administradores de sistemas. Un comando de uso frecuente, especialmente cuando se están haciendo numerosos cambios en el firewall, es guardar el estado de configuración actual para que pueda retroceder si hay alguna complicación. La sintaxis para esto es simple.

$ sudo shorewall ahorro 

Revolver es igual de fácil:

$ sudo shorewall restaurar 

Shorewall también se puede iniciar y configurar para usar un directorio de configuración alternativo. Puede especificar que este es el comando de inicio, pero primero querrá verificarlo.

$ sudo shorewall cheque 

Si simplemente desea probar la configuración, y si está funcionando, inicie, puede especificar la opción Prueba.

$ sudo shorewall intente []

Shorewall es solo una de las muchas soluciones de firewall robustas que están disponibles en los sistemas de Linux. No importa en qué final del espectro de redes se encuentre, muchos encuentran que es simple y útil.

Este no es más que un pequeño comienzo, y uno que puede ponerlo en su camino sin ir en gran medida a los conceptos de redes. Como siempre, investigue y eche un vistazo a las páginas del hombre y otros recursos. La lista de correo de Shorewall es un lugar increíble, y está actualizado y está bien mantenido.