Exploración de la configuración de Shorewall Firewall y las opciones de la línea de comandos

Exploración de la configuración de Shorewall Firewall y las opciones de la línea de comandos

En mi artículo anterior, echamos un vistazo a Shorewall. cómo instalarlo, configurar los archivos de configuración y configurar el reenvío de puertos a través de NAT. En este artículo, exploraremos algunos de los errores comunes de Shorewall. algunas soluciones y obtendremos una introducción a sus opciones de línea de comandos.

 Opciones de configuración de Shorewall  Opciones de configuración de Shorewall Opciones de configuración de Shorewall

  1. Shorewall-Un cortafuegos de alto nivel para configurar servidores Linux-Parte 1

Shorewall. ofrece una amplia gama de comandos que se pueden ejecutar en la línea de comandos. Echar un vistazo a man shorewall. debería darte mucho que ver, pero la primera tarea que vamos a realizar es una verificación de nuestros archivos de configuración.

$ sudo shorewall check

Shorewall. imprimirá una comprobación de todos sus archivos de configuración y las opciones que contienen. La salida se verá así.

Determinando hosts en zonas … Ubicando archivos de acciones … Verificando/usr/share/shorewall/action.Drop para cadena Drop … Verificando/usr/share/shorewall/action.Broadcast para la cadena Broadcast … Checking/usr/shrae/shorewall/action.Invalid for chain No válido … Checking/usr/share/shorewall/action.NotSyn for chain NotSyn .. Checking/usr/share/shorewall/Acción.Rechazar para la cadena Rechazar … Verificando/etc/shorewall/policy … Agregar reglas anti-pitufos Agregar reglas para DHCP Verificar el filtrado de banderas TCP … Verificar el filtrado de ruta del núcleo … Verificar el registro de Marte … Verificar Aceptar Enrutamiento de origen … Verificando la filtración MAC-Fase 1 … Verificando/etc/shorewall/rules … Verificando/usr/share/shorewall/action.Invalid for chain% Invalid … Checking MAC Filtration-Phase 2 … Aplicando políticas … Comprobando/etc/shorewall/routetopped … Configuración de Shorewall verificada.

La línea mágica que estamos buscando es la que está en t La parte inferior que dice: “ Configuración de Shorewall verificada. . Si recibe algún error, lo más probable es que se deba a que faltan módulos en la configuración de su kernel.

Le mostraré cómo resolver dos de los errores más comunes, pero le conviene volver a compilar su kernel con todos de los módulos necesarios si planea usar su máquina como firewall.

freestar.config.enabled_slots.push

El primer error, y más común, es el error sobre NAT.

Procesando/etc/shorewall/shorewall.conf … Cargando módulos … Verificando/etc/shorewall/zones … Verificando/etc/shorewall/interfaces … Determinando hosts en zonas … Ubicando archivos de acciones … Verificando/usr/share/shorewall/action.Drop para cadena Soltar … Verificando/usr/share/shorewall/action.Broadcast para cadena Emitir … Comprobando/usr/shrae/shorewall/action.Invalid for chain No válido … Comprobando/usr/share/shorewall/action.NotSyn para cadena NotSyn .. Comprobando/usr/share/shorewall/action.Reject para cadena Rechazar … Comprobando/etc/shorewall/policy … Añadiendo reglas anti-smurf Añadiendo reglas para DHCP Comprobando el filtrado de banderas de TCP … Comprobando el filtrado de ruta del núcleo … Comprobando el registro de Marte … Comprobando Aceptar enrutamiento de origen … Comprobando/etc/shorewall/masq … ERROR: un archivo masq no vacío requiere NAT en su kernel e iptables/etc/shorewall/masq (línea 15).

Si está viendo algo similar a esto, es probable que su Kernel. actual no esté compilado con soporte para NAT. Esto es común con la mayoría de los Kernels listos para usar. Lea mi tutorial sobre “Cómo compilar un núcleo de Debian” para comenzar.

Otro error común producido por la verificación es el error sobre iptables. y registro.

[email protected]:/etc/shorewall # shorewall check Comprobando … Procesando/etc/shorewall/params … Procesando/etc/shorewall/shorewall.conf Cargando módulos .. ERROR: El nivel de registro INFO requiere LOG Target en su kernel e iptables.

Esto también es algo que puede compilar en un nuevo Kernel, pero hay una solución rápida para ello, si desea usar ULOG. ULOG. es un mecanismo de registro diferente de syslog. Es muy facil de usar.

Para configurar esto, debe cambiar cada instancia de “ info. a “ ULOG. en todos sus archivos de configuración en /etc/shorewall. El siguiente comando puede hacer eso por usted.

$ cd/etc/shorewall $ sudo sed –i ‘s/info/ULOG/g’ *

Después de eso, edite el /etc/shorewall/shorewall.conf. y establezca la línea.

LOGFILE =

A donde le gustaría que se almacenara su registro. El mío está en /var/log/shorewall.log.

LOGFILE =/var/log/shorewall.log

Ejecutar “ sudo shorewall check. debería le dará un certificado de buena salud.

La interfaz de línea de comandos de Shorewall viene con muchas frases sencillas para los administradores de sistemas. Un comando de uso frecuente, especialmente cuando se realizan numerosos cambios en el firewall, es guardar el estado de configuración actual para que pueda retroceder si hay alguna complicación. La sintaxis para esto es simple.

$ sudo shorewall save

Revertir es igual de fácil:

$ sudo shorewall restore

Shorewall también se puede iniciar y configurar para utilice un directorio de configuración alternativo. Puede especificar que este es el comando de inicio, pero primero querrá verificarlo.

$ sudo shorewall check

Si simplemente desea probar la configuración, y si está funcionando, inícielo, puede especificar la opción try.

$ sudo shorewall try []

Shorewall es solo una de las muchas soluciones de firewall robustas que están disponibles en sistemas Linux. No importa en qué extremo del espectro de redes se encuentre, muchos lo encuentran simple y útil.

Este es solo un pequeño comienzo, y puede ayudarlo a seguir su camino sin tener que esforzarse demasiado conceptos de redes. Como siempre, investigue y eche un vistazo a las páginas de manual y otros recursos. La lista de correo de Shorewall es un lugar increíble, y está actualizada y bien mantenida.

Leave a comment

Your email address will not be published. Required fields are marked *