В моей предыдущей статье мы рассмотрели как установить Shorewall настроить файлы конфигурации и настроить переадресацию портов через NAT. В этой статье мы рассмотрим некоторые распространенные ошибки Shorewall, некоторые решения и познакомимся с опциями командной строки.
Shorewall — высокоуровневый брандмауэр для настройки серверов Linux — часть 1
Shorewall предлагает широкий спектр команд, которые можно запускать в командной строке. Взглянув на man shorewall, вы сможете увидеть многое, но первое, что мы собираемся выполнить, — это проверка наших файлов конфигурации:
Shorewall выведет проверку всех ваших файлов конфигурации и опций, содержащихся в них. Вывод будет выглядеть примерно так:
Строка, которую мы ищем, — та, что внизу гласит: «Shorewall configuration verified». Если вы получаете какие-либо ошибки, они, скорее всего, связаны с отсутствием модулей в конфигурации вашего ядра.
Мы покажем вам, как устранить две наиболее распространенные ошибки, но вам следует перекомпилировать ваше ядро со всеми необходимыми модулями, если вы планируете использовать свою машину в качестве брандмауэра.
Первая и самая распространенная ошибка — это ошибка с NAT.
Если вы видите что-то похожее на это, скорее всего, ваше текущее ядро не скомпилировано с поддержкой NAT. Это характерно для большинства готовых ядер. Пожалуйста, прочитайте мою статью «Как скомпилировать ядро Linux на CentOS 7?», чтобы начать.
Другая распространенная ошибка, возникающая при проверке, — это ошибка iptables и ведения журнала.
Эта ошибка также, связана с компиляцией ядра, но есть решение — использовать ULOG. ULOG — это механизм ведения журнала, отличный от syslog. Его довольно легко использовать.
Чтобы установить ULOG, вы должны изменить каждый экземпляр «info» на «ULOG» во всех ваших файлах конфигурации в /etc/shorewall. Следующая команда может сделать это за вас:
После этого отредактируйте файл «/etc/shorewall/shorewall.conf» и поменяйте строку:
В ней укажите адрес куда бы вы хотели, чтобы сохранялся ваш журнал. Наш находится в /var/log/shorewall.log:
Выполнение «sudo shorewall check» должно дать вам полную оценку текущего состояния shorewall.
Интерфейс командной строки Shorewall поставляется со многими удобными «однострочниками» для системных администраторов. Одна из часто используемых команд, особенно когда в брандмауэр вносятся многочисленные изменения, — это сохранение текущего состояния конфигурации, чтобы вы могли откатиться, если возникнут какие-либо сложности. Синтаксис для неё прост:
Откатиться так же просто:
Shorewall также можно запустить и настроить для использования альтернативного каталога конфигурации. Вы можете указать, что это команда выполняется в режиме тестового запуска, а только потом применить её на постоянном основании:
Если вы просто хотите опробовать конфигурацию, запустите её указав опцию try:
Shorewall — это только одно из многих надежных решений брандмауэров, доступных в системах Linux. Независимо от того, на каком конце сетевого спектра вы находитесь, многие считают Shorewall простым и полезным решением.
Это всего лишь вступление, которое поможет вам продвинуться по пути познания работы с брэндмауреми, не углубляясь в сетевые концепции. Как всегда, пожалуйста, изучите и посмотрите справочные страницы и другие ресурсы.
Спасибо за уделенное время на прочтение статьи об изучении конфигурации брандмауэра Shorewall и параметров командной строки!
Если возникли вопросы, задавайте их в комментариях.
Подписывайтесь на обновления нашего блога и оставайтесь в курсе новостей мира инфокоммуникаций!
Чтобы знать больше и выделяться знаниями среди толпы IT-шников, записывайтесь на курсы Cisco, курсы по кибербезопасности, полный курс по кибербезопасности, курсы DevNet (программируемые сети) от Академии Cisco, курсы Linux от Linux Professional Institute на платформе SEDICOMM University (Университет СЭДИКОММ).
Курсы Cisco, Linux, кибербезопасность, DevOps / DevNet, Python с трудоустройством!
- Поможем стать экспертом по сетевой инженерии, кибербезопасности, программируемым сетям и системам и получить международные сертификаты Cisco, Linux LPI, Python Institute.
- Предлагаем проверенную программу с лучшими учебниками от экспертов из Cisco Networking Academy, Linux Professional Institute и Python Institute, помощь сертифицированных инструкторов и личного куратора.
- Поможем с трудоустройством и стартом карьеры в сфере IT — 100% наших выпускников трудоустраиваются.
- Проведем вечерние онлайн-лекции на нашей платформе.
- Согласуем с вами удобное время для практик.
- Если хотите индивидуальный график — обсудим и реализуем.
- Личный куратор будет на связи, чтобы ответить на вопросы, проконсультировать и мотивировать придерживаться сроков сдачи экзаменов.
- Всем, кто боится потерять мотивацию и не закончить обучение, предложим общение с профессиональным коучем.
- отредактировать или создать с нуля резюме;
- подготовиться к техническим интервью;
- подготовиться к конкурсу на понравившуюся вакансию;
- устроиться на работу в Cisco по специальной программе. Наши студенты, которые уже работают там: жмите на #НашиВCisco Вконтакте, #НашиВCisco Facebook.