En mi artículo anterior, aprendimos sobre la instalación de Shorewall, la configuración del archivo de configuración y la configuración de reenvío de puertos NAT. En este artículo, profundizaremos en los errores comunes relacionados con Shorewall, brindaremos soluciones y presentaremos sus opciones de línea de comandos.
muro del muelle Proporciona una serie de comandos que se pueden ejecutar en la línea de comandos.echar un vistazo muro de la orilla humana Esto debería darte mucho que ver, pero la primera tarea que vamos a realizar es comprobar nuestro perfil.
sudo shorewall check
muro del muelle Se imprimirá un cheque para todos los perfiles y las opciones que contienen.
La salida se ve así.
Determining Hosts in Zones... Locating Actions Files... Checking /usr/share/shorewall/action.Drop for chain Drop... Checking /usr/share/shorewall/action.Broadcast for chain Broadcast... Checking /usr/shrae/shorewall/action.Invalid for chain Invalid... Checking /usr/share/shorewall/action.NotSyn for chain NotSyn.. Checking /usr/share/shorewall/action.Reject for chain Reject... Checking /etc/shorewall/policy... Adding Anti-smurf Rules Adding rules for DHCP Checking TCP Flags filtering... Checking Kernel Route Filtering... Checking Martian Logging... Checking Accept Source Routing... Checking MAC Filtration -- Phase 1... Checking /etc/shorewall/rules... Checking /usr/share/shorewall/action.Invalid for chain %Invalid... Checking MAC Filtration -- Phase 2... Applying Policies... Checking /etc/shorewall/routestopped... Shorewall configuration verified
La línea mágica que buscamos es la que está en la parte inferior: «Configuración del muro costero verificada”. Si recibe algún error, lo más probable es que se deba a que faltan modificaciones en la configuración del kernel.
Te mostraré cómo corregir dos de los errores más comunes, pero si planeas usar tu computadora como firewall, necesitarás volver a compilar el núcleo con todas las modificaciones necesarias.
El primer error y el más común es NAT.
Processing /etc/shorewall/shorewall.conf...
Loading Modules...
Checking /etc/shorewall/zones...
Checking /etc/shorewall/interfaces...
Determining Hosts in Zones...
Locating Actions Files...
Checking /usr/share/shorewall/action.Drop for chain Drop...
Checking /usr/share/shorewall/action.Broadcast for chain Broadcast...
Checking /usr/shrae/shorewall/action.Invalid for chain Invalid...
Checking /usr/share/shorewall/action.NotSyn for chain NotSyn..
Checking /usr/share/shorewall/action.Reject for chain Reject...
Checking /etc/shorewall/policy...
Adding Anti-smurf Rules
Adding rules for DHCP
Checking TCP Flags filtering...
Checking Kernel Route Filtering...
Checking Martian Logging...
Checking Accept Source Routing...
Checking /etc/shorewall/masq...
ERROR: a non-empty masq file requires NAT in your kernel and iptables /etc/shorewall/masq (line 15)
Si ves algo como esto, es probable que estés actualmente centro No soportado en tiempo de compilación NAT. Esto es común con la mayoría de los núcleos listos para usar. Lea mi tutorial «Cómo compilar Debian Core» para ayudarlo a comenzar.
Otro error común que se produce al comprobar es el relacionado con iptables y Registro.
shorewall check Checking... Processing /etc/shorewall/params... Processing /etc/shorewall/shorewall.conf Loading Modules.. ERROR: Log level INFO requires LOG Target in your kernel and iptables
También puedes compilarlo en el nuevo núcleo, pero puedes arreglarlo rápidamente si quieres usarlo. urog. urog Es un mecanismo de registro diferente al de syslog. Es muy fácil de usar.
Para configurarlo, debe cambiar cada instancia de «información» llegar»urog” en todos tus perfiles /etc/muro costero. El siguiente comando puede hacer esto por usted.
cd /etc/shorewall sudo sed –i ‘s/info/ULOG/g’ *
Después de eso, edite /etc/shorewall/shorewall.conf archivo y establecer la línea.
LOGFILE=
a la ubicación donde desea que se almacenen los registros.El mio es /var/log/shorewall.log.
LOGFILE=/var/log/shorewall.log
Ejecutar el siguiente comando nuevamente debería brindarle una salud limpia.
shorewall check
La interfaz de línea de comandos de Shorewall proporciona a los administradores del sistema muchos comandos convenientes de una sola línea. Un comando utilizado con frecuencia es guardar el estado de configuración actual para poder revertirlo si surge alguna complicación, especialmente al realizar cambios importantes en el firewall.
Su sintaxis es simple.
sudo shorewall save
Retroceder es igual de fácil:
sudo shorewall restore
Shorewall también se puede iniciar y configurar para utilizar un directorio de configuración alternativo. Puede especificar que este es el comando de inicio, pero primero debe verificarlo.
sudo shorewall check
Si solo desea probar la configuración e iniciarla si funciona, puede especificar la opción de prueba.
sudo shorewall try[ ]
Shorewall es sólo una de las muchas potentes soluciones de firewall disponibles en sistemas Linux. No importa en qué extremo del espectro de redes se encuentre, muchas personas lo encontrarán simple y útil.
Este es solo un pequeño comienzo que lo pondrá en camino sin saber demasiado sobre conceptos de redes. Como siempre, estudie y revise las páginas de manual y otros recursos. La lista de correo de Shorewall es un excelente lugar para estar, está actualizada y bien mantenida.
