ຊອກຫາການຕັ້ງຄ່າ Shorewall Firewall ແລະຕົວເລືອກ Line Command


ໃນບົດຂຽນທີ່ຜ່ານມາຂອງຂ້ອຍ, ພວກເຮົາໄດ້ເບິ່ງທີ່ Shorewall, ວິທີການຕິດຕັ້ງມັນ, ຕັ້ງຄ່າເອກະສານການຕັ້ງຄ່າ, ແລະຕັ້ງຄ່າການສົ່ງຕໍ່ພອດ. ໃນບົດຂຽນນີ້, ພວກເຮົາ ກຳ ລັງຈະ ສຳ ຫຼວດບາງຂໍ້ຜິດພາດທົ່ວໄປຂອງ Shorewall, ບາງວິທີແກ້ໄຂແລະໃຫ້ ຄຳ ແນະ ນຳ ກ່ຽວກັບຕົວເລືອກສາຍ ຄຳ ສັ່ງຂອງມັນ.

<

  • Shorewall - Firewall ທີ່ມີລະດັບສູງ ສຳ ລັບ ກຳ ຫນົດຄ່າ Linux Server - ສ່ວນທີ 1
  • Shorewall ໃຫ້ ຄຳ ສັ່ງທີ່ກວ້າງຂວາງທີ່ສາມາດເຮັດວຽກເທິງເສັ້ນ ຄຳ ສັ່ງໄດ້. ການເບິ່ງຜູ້ຊາຍ shorewall ຄວນໃຫ້ທ່ານເບິ່ງຫລາຍ, ແຕ່ວຽກ ທຳ ອິດທີ່ພວກເຮົາຈະເຮັດແມ່ນການກວດເບິ່ງເອກະສານການຕັ້ງຄ່າຂອງພວກເຮົາ.

    $ sudo shorewall check

    Shorewall ຈະພິມອອກເຊັກຂອງທຸກໆເອກະສານການຕັ້ງຄ່າຂອງທ່ານ, ແລະທາງເລືອກທີ່ມີຢູ່ໃນນັ້ນ. ຜົນຜະລິດຈະມີລັກສະນະເປັນແບບນີ້.

    Determining Hosts in Zones...
    Locating Actions Files...
    Checking /usr/share/shorewall/action.Drop for chain Drop...
    Checking /usr/share/shorewall/action.Broadcast for chain Broadcast...
    Checking /usr/shrae/shorewall/action.Invalid for chain Invalid...
    Checking /usr/share/shorewall/action.NotSyn for chain NotSyn..
    Checking /usr/share/shorewall/action.Reject for chain Reject...
    Checking /etc/shorewall/policy...
    Adding Anti-smurf Rules
    Adding rules for DHCP
    Checking TCP Flags filtering...
    Checking Kernel Route Filtering...
    Checking Martian Logging...
    Checking Accept Source Routing...
    Checking MAC Filtration -- Phase 1...
    Checking /etc/shorewall/rules...
    Checking /usr/share/shorewall/action.Invalid for chain %Invalid...
    Checking MAC Filtration -- Phase 2...
    Applying Policies...
    Checking /etc/shorewall/routestopped...
    Shorewall configuration verified

    ເສັ້ນສາຍທີ່ພວກເຮົາ ກຳ ລັງຊອກຫາແມ່ນຢູ່ທາງລຸ່ມທີ່ອ່ານວ່າ: "ການຕັ້ງຄ່າແບບ Shorewall ໄດ້ຢືນຢັນແລ້ວ". ຖ້າທ່ານໄດ້ຮັບຂໍ້ຜິດພາດໃດໆ, ມັນສ່ວນຫຼາຍແມ່ນຍ້ອນໂມດູນທີ່ຂາດຫາຍໄປໃນການຕັ້ງຄ່າແກ່ນຂອງທ່ານ.

    ຂ້ອຍຈະສະແດງວິທີແກ້ໄຂຂໍ້ຜິດພາດສອງຢ່າງທີ່ຜິດປົກກະຕິ, ແຕ່ມັນຄວນຈະແນະ ນຳ ໃຫ້ທ່ານປັບລະຫັດຂອງຄອມພິວເຕີ້ຂອງທ່ານດ້ວຍໂມດູນທີ່ ຈຳ ເປັນທັງ ໝົດ ຖ້າທ່ານວາງແຜນທີ່ຈະໃຊ້ເຄື່ອງຂອງທ່ານເປັນ Firewall.

    ຂໍ້ຜິດພາດ ທຳ ອິດ, ແລະ ທຳ ມະດາທີ່ສຸດ, ແມ່ນຂໍ້ຜິດພາດກ່ຽວກັບ NAT.

    Processing /etc/shorewall/shorewall.conf...
    Loading Modules...
    Checking /etc/shorewall/zones...
    Checking /etc/shorewall/interfaces...
    Determining Hosts in Zones...
    Locating Actions Files...
    Checking /usr/share/shorewall/action.Drop for chain Drop...
    Checking /usr/share/shorewall/action.Broadcast for chain Broadcast...
    Checking /usr/shrae/shorewall/action.Invalid for chain Invalid...
    Checking /usr/share/shorewall/action.NotSyn for chain NotSyn..
    Checking /usr/share/shorewall/action.Reject for chain Reject...
    Checking /etc/shorewall/policy...
    Adding Anti-smurf Rules
    Adding rules for DHCP
    Checking TCP Flags filtering...
    Checking Kernel Route Filtering...
    Checking Martian Logging...
    Checking Accept Source Routing...
    Checking /etc/shorewall/masq...
        ERROR: a non-empty masq file requires NAT in your kernel and iptables /etc/shorewall/masq (line 15)

    ຖ້າທ່ານ ກຳ ລັງເຫັນບາງສິ່ງທີ່ຄ້າຍຄືກັບສິ່ງນີ້, ໂອກາດທີ່ Kernel ປະຈຸບັນຂອງທ່ານບໍ່ຖືກລວບລວມດ້ວຍການສະ ໜັບ ສະ ໜູນ ສຳ ລັບ NAT. ນີ້ແມ່ນເລື່ອງ ທຳ ມະດາກັບ Kernels ທີ່ອອກນອກປະເທດຫຼາຍທີ່ສຸດ. ກະລຸນາອ່ານບົດແນະ ນຳ ຂອງຂ້ອຍກ່ຽວກັບ "ວິທີການລວບລວມເມັດ Debian Kernel" ເພື່ອໃຫ້ທ່ານເລີ່ມຕົ້ນ.

    ຂໍ້ຜິດພາດທົ່ວໄປອີກອັນ ໜຶ່ງ ທີ່ຜະລິດໂດຍການກວດແມ່ນຄວາມຜິດພາດກ່ຽວກັບ iptables ແລະການຕັດໄມ້.

    [email :/etc/shorewall# shorewall check
    Checking...
    Processing /etc/shorewall/params...
    Processing /etc/shorewall/shorewall.conf
    Loading Modules..
       ERROR: Log level INFO requires LOG Target in your kernel and iptables

    ນີ້ກໍ່ແມ່ນສິ່ງທີ່ທ່ານສາມາດລວບລວມເຂົ້າໄປໃນ Kernel ໃໝ່, ແຕ່ວ່າຈະມີການແກ້ໄຂດ່ວນ ສຳ ລັບມັນ, ຖ້າທ່ານຕ້ອງການໃຊ້ ULOG. ULOG ແມ່ນກົນໄກການຕັດໄມ້ທີ່ແຕກຕ່າງຈາກ syslog. ມັນງ່າຍທີ່ຈະໃຊ້.

    ເພື່ອ ກຳ ນົດສິ່ງນີ້, ທ່ານຕ້ອງປ່ຽນທຸກຕົວຢ່າງຂອງຂໍ້ມູນ "ເປັນ" ULOG "ໃນທຸກເອກະສານການຕັ້ງຄ່າຂອງທ່ານໃນ/etc/shorewall. ຄຳ ສັ່ງຕໍ່ໄປນີ້ສາມາດເຮັດໄດ້ ສຳ ລັບທ່ານ.

    $ cd /etc/shorewall
    $ sudo sed –i ‘s/info/ULOG/g’ *

    ຫລັງຈາກນັ້ນ, ໃຫ້ແກ້ໄຂເອກະສານ /etc/shorewall/shorewall.conf ແລະຕັ້ງແຖວ.

    LOGFILE=

    ໄປບ່ອນທີ່ທ່ານຢາກເກັບຮັກສາທ່ອນຂອງທ່ານ. ລະເບີດຝັງດິນແມ່ນຢູ່ໃນ /var/log/shorewall.log.

    LOGFILE=/var/log/shorewall.log

    ການ ດຳ ເນີນການ“ ກວດສຸຂະພາບຢ່າງໄວວາ” ຄວນໃຫ້ທ່ານມີສຸຂະພາບທີ່ບໍ່ສະອາດ.

    ອິນເຕີເຟດເສັ້ນ ຄຳ ສັ່ງຂອງ Shorewall ແມ່ນມາພ້ອມກັບສາຍ ສຳ ລັບຜູ້ບໍລິຫານລະບົບ ຈຳ ນວນ ໜຶ່ງ. ຄຳ ສັ່ງທີ່ຖືກໃຊ້ເລື້ອຍໆ, ໂດຍສະເພາະໃນເວລາທີ່ມີການປ່ຽນແປງຫຼາຍຢ່າງໃຫ້ກັບໄຟວໍແມ່ນເພື່ອບັນທຶກສະຖານະການຕັ້ງຄ່າໃນປະຈຸບັນເພື່ອໃຫ້ທ່ານສາມາດມ້ວນຄືນໄດ້ຖ້າມີອາການແຊກຊ້ອນໃດໆ. syntax ສຳ ລັບສິ່ງນີ້ແມ່ນງ່າຍດາຍ.

    $ sudo shorewall save <filename>

    ມ້ວນຫລັງແມ່ນງ່າຍດາຍຄືກັນ:

    $ sudo shorewall restore <filename>

    Shorewall ຍັງສາມາດເລີ່ມຕົ້ນແລະຕັ້ງຄ່າເພື່ອໃຊ້ໄດເລກະທໍລີການຕັ້ງຄ່າທາງເລືອກອື່ນ. ທ່ານສາມາດລະບຸນີ້ແມ່ນ ຄຳ ສັ່ງເລີ່ມຕົ້ນ, ແຕ່ທ່ານຕ້ອງການກວດສອບມັນກ່ອນ.

    $ sudo shorewall check <config-directory>

    ຖ້າທ່ານພຽງແຕ່ຕ້ອງການທົດລອງການຕັ້ງຄ່າ, ແລະຖ້າມັນ ກຳ ລັງເຮັດວຽກ, ເລີ່ມຕົ້ນມັນ, ທ່ານສາມາດລະບຸຕົວເລືອກການທົດລອງໄດ້.

    $ sudo shorewall try <config-directory> [  ]

    Shorewall ແມ່ນພຽງແຕ່ ໜຶ່ງ ໃນຫລາຍໆວິທີແກ້ໄຂບັນຫາທີ່ມີຢູ່ໃນລະບົບ Linux. ບໍ່ວ່າຈຸດຈົບຂອງລະບົບເຄືອຂ່າຍທີ່ທ່ານພົບເຫັນຕົວເອງກໍ່ຕາມ, ຫຼາຍໆຄົນເຫັນວ່າມັນງ່າຍແລະມີປະໂຫຍດ.

    ນີ້ແມ່ນພຽງແຕ່ການເລີ່ມຕົ້ນນ້ອຍໆ, ແລະອັນ ໜຶ່ງ ທີ່ສາມາດເຮັດໃຫ້ທ່ານເດີນທາງໄດ້ໂດຍບໍ່ຕ້ອງເຂົ້າໄປໃນແນວຄິດໃນເຄືອຂ່າຍ. ດັ່ງທີ່ເຄີຍເຮັດ, ກະລຸນາຄົ້ນຄ້ວາແລະເບິ່ງ ໜ້າ ຜູ້ຊາຍແລະຊັບພະຍາກອນອື່ນໆ. ບັນຊີລາຍຊື່ທາງໄປສະນີຂອງ Shorewall ແມ່ນສະຖານທີ່ທີ່ ໜ້າ ຕື່ນຕາຕື່ນໃຈ, ແລະໄດ້ຮັບການຮັກສາໄວ້ເປັນຢ່າງດີ.