Shorewall Firewall konfigurasiýasyny we buýruk setiriniň opsiýalaryny öwrenmek

Öňki makalamda, Shorewall-a, ony nädip gurmalydygyna, konfigurasiýa faýllaryny sazlamaga we portuň NAT-a ugradylmagyna göz aýladyk. Bu makalada, Shorewallyň umumy ýalňyşlyklaryny, käbir çözgütlerini öwreneris we buýruk setiriniň opsiýalary bilen tanyşarys.

1. Shorewall - Linux serwerlerini sazlamak üçin ýokary derejeli gorag diwary - 1-nji bölüm

Shorewall buýruk setirinde işledip boljak köp sanly buýruk hödürleýär. Adam kenaryna göz aýlamak size köp zat bermeli, ýöne ýerine ýetirjek ilkinji işimiz konfigurasiýa faýllarymyzy barlamakdyr.

$ sudo shorewall check

“Shorewall” ähli konfigurasiýa faýllaryňyzyň çekini we içindäki opsiýalary çap eder. Çykyş şuňa meňzeş bir zat görüner.

Determining Hosts in Zones...
Locating Actions Files...
Checking /usr/share/shorewall/action.Drop for chain Drop...
Checking /usr/share/shorewall/action.Broadcast for chain Broadcast...
Checking /usr/shrae/shorewall/action.Invalid for chain Invalid...
Checking /usr/share/shorewall/action.NotSyn for chain NotSyn..
Checking /usr/share/shorewall/action.Reject for chain Reject...
Checking /etc/shorewall/policy...
Adding Anti-smurf Rules
Adding rules for DHCP
Checking TCP Flags filtering...
Checking Kernel Route Filtering...
Checking Martian Logging...
Checking Accept Source Routing...
Checking MAC Filtration -- Phase 1...
Checking /etc/shorewall/rules...
Checking /usr/share/shorewall/action.Invalid for chain %Invalid...
Checking MAC Filtration -- Phase 2...
Applying Policies...
Checking /etc/shorewall/routestopped...
Shorewall configuration verified

Gözleýän jadyly çyzygymyzyň aşagyndaky setir: Deňiz kenary konfigurasiýasy barlandy . Haýsydyr bir ýalňyşlyk alsaňyz, ýadro konfigurasiýasyndaky modullaryň ýoklugy bilen baglanyşyklydyr.

Has ýygy duş gelýän iki ýalňyşlygy nädip çözmelidigini görkezerin, ýöne enjamyňyzy gorag diwary hökmünde ulanmagy meýilleşdirýän bolsaňyz, ýadrosyňyzy ähli zerur modullar bilen täzeden düzmeli.

Ilkinji ýalňyşlyk we iň köp ýaýran ýalňyşlyk, NAT baradaky ýalňyşlyk.

Processing /etc/shorewall/shorewall.conf...
Loading Modules...
Checking /etc/shorewall/zones...
Checking /etc/shorewall/interfaces...
Determining Hosts in Zones...
Locating Actions Files...
Checking /usr/share/shorewall/action.Drop for chain Drop...
Checking /usr/share/shorewall/action.Broadcast for chain Broadcast...
Checking /usr/shrae/shorewall/action.Invalid for chain Invalid...
Checking /usr/share/shorewall/action.NotSyn for chain NotSyn..
Checking /usr/share/shorewall/action.Reject for chain Reject...
Checking /etc/shorewall/policy...
Adding Anti-smurf Rules
Adding rules for DHCP
Checking TCP Flags filtering...
Checking Kernel Route Filtering...
Checking Martian Logging...
Checking Accept Source Routing...
Checking /etc/shorewall/masq...
    ERROR: a non-empty masq file requires NAT in your kernel and iptables /etc/shorewall/masq (line 15)

Şuňa meňzeş bir zady görýän bolsaňyz, häzirki ýadrosyňyzyň NAT goldawy bilen düzülmezligi ähtimal. Bu gutydan çykýan ýadro bilen köp bolýar. Başlamak üçin\Debian ýadrosyny nädip düzmeli atly okuwymy okaň.

Çek tarapyndan öndürilen başga bir umumy ýalňyşlyk, iptables we hasaba alyş säwligi.

[email :/etc/shorewall# shorewall check
Checking...
Processing /etc/shorewall/params...
Processing /etc/shorewall/shorewall.conf
Loading Modules..
   ERROR: Log level INFO requires LOG Target in your kernel and iptables

Bu, täze ýadro düzüp boljak bir zat, ýöne ULOG-dan peýdalanmak isleseňiz, ony çalt düzedip bilersiňiz. ULOG syslog-dan tapawutly hasaba alyş mehanizmidir. Ulanmak gaty aňsat.

Muny düzmek üçin/etc/shorewall-daky ähli konfigurasiýa faýllaryňyzda\maglumat -yň her mysalyny\ULOG -a üýtgetmeli. Aşakdaky buýruk muny siziň üçin edip biler.

$ cd /etc/shorewall
$ sudo sed –i ‘s/info/ULOG/g’ *

Ondan soň /etc/shorewall/shorewall.conf faýlyny redaktirläň we setiri düzüň.

LOGFILE=

Logurnalyňyzyň nirede saklanmagyny isleýän ýeriňize. Mina /var/log/shorewall.log-da.

LOGFILE=/var/log/shorewall.log

“Sudo kenar ýakasyny barlamak” size arassa saglyk hasabyny bermeli.

“Shorewall” -yň buýruk setiri interfeýsi ulgam dolandyryjylary üçin köp amatly bir setir bilen üpjün edilýär. Frequygy-ýygydan ulanylýan buýruk, esasanam gorag diwaryna köp üýtgeşmeler girizilende, häzirki konfigurasiýa ýagdaýyny tygşytlamak, haýsydyr bir kynçylyk bar bolsa yza gaýdyp bilersiňiz. Munuň sintaksis ýönekeý.

$ sudo shorewall save <filename>

Yza gaýtmak hem aňsat:

$ sudo shorewall restore <filename>

“Shorewall” -y başga bir konfigurasiýa katalogyny ulanmak üçin başlap we düzüp bolýar. Munuň başlangyç buýrugyny kesgitläp bilersiňiz, ýöne ilki bilen barlamak islärsiňiz.

$ sudo shorewall check <config-directory>

Diňe konfigurasiýany synap görmek isleseňiz we işleýän bolsa, işe başlaň, synanyşyk opsiýasyny görkezip bilersiňiz.

$ sudo shorewall try <config-directory> [  ]

“Shorewall” Linux ulgamlarynda bar bolan ygtybarly diwar gorag çözgütleriniň diňe biridir. Torlaýyn spektriň haýsy ujuna girseňizem, köpler ony ýönekeý we peýdaly hasaplaýarlar.

Bu kiçijik başlangyç we tor düşünjelerine gaty girmän sizi ýoluňyza alyp biler. Hemişe bolşy ýaly gözleg geçiriň we adam sahypalaryna we beýleki çeşmelere göz aýlaň. Shorewallyň poçta sanawy ajaýyp ýer, häzirki zaman we gowy saklanýar.