Kif tikkonfigura FirewallD f'RHEL/CentOS 7 u Fedora 21

Net-filter kif nafu lkoll huwa firewall fil-Linux. Firewalld huwa daemon dinamiku biex jimmaniġġja firewalls b'appoġġ għal żoni tan-netwerk. Fil-verżjoni preċedenti, RHEL & CentOS 6 ilna nużaw iptables bħala daemon għall-qafas tal-filtrazzjoni tal-pakketti. F'RHEL/CentOS 7/8, Fedora u openSUSE – rong>iptables interface qed jiġi sostitwit minn firewalld.

Huwa rakkomandat li tibda tuża Firewalld minflok iptables peress li dan jista' jieqaf fil-futur. Madankollu, iptables għadhom appoġġjati u jistgħu jiġu installati bil-kmand yum. Ma nistgħux inżommu Firewalld u iptables it-tnejn fl-istess sistema li jistgħu jwasslu għal kunflitt.

F'iptables, konna nikkonfiguraw bħala INPUT, OUTPUT & FORWARD CHAINS iżda hawn f'Firewalld, il-kunċett juża Żoni. B'mod awtomatiku, hemm żoni differenti disponibbli f'firewalld, li se jiġu diskussi f'dan l-artikolu.

Iż-żona bażika li huma bħal żona pubblika u żona privata. Biex l-affarijiet jaħdmu madwar ma 'dawn iż-żoni, għandna bżonn li żżid l-interface bl-appoġġ taż-żona speċifikata u mbagħad nistgħu nżidu s-servizzi għall-firewalld.

B'mod awtomatiku, hemm ħafna servizzi disponibbli, waħda mill-aqwa karatteristiċi ta 'firewalld hija, tiġi flimkien ma' servizzi definiti minn qabel u nistgħu nieħdu dawn is-servizzi bħala eżempju biex inżidu s-servizzi tagħna billi sempliċement nikkuppjawhom.

Il-Firewalld jaħdem tajjeb ukoll mal-pontijiet IPv4, IPv6 u Ethernet. Nistgħu jkollna run-time separata u konfigurazzjoni permanenti f'firewalld.

Ejja nibdew kif naħdmu maż-żoni u noħolqu s-servizzi tagħna stess u użu ħafna aktar eċċitanti tal-firewalld.

Operating System :	CentOS Linux release 7.0.1406 (Core)
IP Address       :	192.168.0.55
Host-name	:	server1.tecmintlocal.com

Pass 1: Installazzjoni ta 'Firewalld f'CentOS

1. Il-pakkett Firewalld huwa installat awtomatikament f'RHEL/CentOS 7/8, Fedora u openSUSE. Jekk le, tista 'tinstallah billi tuża l-kmand yum li ġej.

# yum install firewalld -y

2. Wara li l-pakkett firewalld ikun ġie installat, wasal iż-żmien li tivverifika jekk is-servizz iptables huwiex qed jaħdem jew le, jekk qed jaħdem, għandek bżonn tieqaf u taħbi (ma tużax aktar) is-servizz iptables bil-kmandi ta 'hawn taħt.

# systemctl status iptables
# systemctl stop iptables
# systemctl mask iptables

Pass 2: Niddiskutu l-Komponenti Firewalld

3. Qabel ma nidħol għall-konfigurazzjoni tal-firewalld, nixtieq niddiskuti kull żona. B'mod awtomatiku, hemm xi żoni disponibbli. Għandna bżonn nassenjaw l-interface għaż-żona. Żona tiddefinixxi li ż-żona li kienet fdata jew miċħuda livell għall-interface biex tikseb konnessjoni. Żona jista' jkun fiha servizzi u portijiet.

Hawnhekk, se niddeskrivu kull żona disponibbli f'Firewalld.

  • Żona ta' qatra: Kwalunkwe pakkett li jkun deħlin jintrema jekk nużaw din iż-żona ta' qatra. Dan huwa l-istess kif nużaw biex inżidu iptables -j drop. Jekk nużaw ir-regola tal-waqgħa, tfisser li m'hemm l-ebda tweġiba, konnessjonijiet tan-netwerk ħerġin biss ikunu disponibbli.
  • Żona tal-Blokk: Żona tal-Blokk se tiċħad li l-konnessjonijiet tan-netwerk li jkunu deħlin jiġu rrifjutati b'icmp-host-projbit. Se jkunu permessi biss konnessjonijiet stabbiliti fis-server.
  • Żona Pubblika: Biex naċċettaw il-konnessjonijiet magħżula nistgħu niddefinixxu regoli fiż-żona pubblika. Dan se jippermetti biss li l-port speċifiku jinfetaħ fis-server tagħna konnessjonijiet oħra se jintefgħu.
  • Żona Esterna: Din iż-żona se taġixxi bħala għażliet tar-router bil-masquerading huwa ppermettiet konnessjonijiet oħra se jitwarrbu u mhux se jaċċettaw, se tkun permessa biss konnessjoni speċifikata.
  • Żona DMZ: Jekk irridu nħallu aċċess għal xi wħud mis-servizzi lill-pubbliku, tista' tiddefinixxiha fiż-żona DMZ. Dan ukoll għandu l-karatteristika ta 'konnessjonijiet deħlin magħżula biss huma aċċettati.
  • Żona tax-Xogħol: F'din iż-żona, nistgħu niddefinixxu biss netwerks interni jiġifieri t-traffiku tan-netwerks privati huwa permess.
  • Żona tad-Dar: Din iż-żona tintuża b'mod speċjali fiż-żoni tad-dar, nistgħu nużaw din iż-żona biex nafdaw il-kompjuters l-oħra fuq in-netwerks biex ma tagħmilx ħsara lill-kompjuter tiegħek bħal kull żona. Dan ukoll jippermetti biss il-konnessjonijiet deħlin magħżula.
  • Żona Interna: Din hija simili għaż-żona tax-xogħol b'konnessjonijiet permessi magħżula.
  • Żona ta' fiduċja: Jekk nissettjaw iż-żona ta' fiduċja, it-traffiku kollu jiġi aċċettat.

Issa għandek idea aħjar dwar iż-żoni, issa ejja nsiru nafu żoni disponibbli, żoni default, u elenka ż-żoni kollha billi tuża l-kmandi li ġejjin.

# firewall-cmd --get-zones

# firewall-cmd --get-default-zone

# firewall-cmd --list-all-zones

Nota: L-output tal-kmand ta 'hawn fuq mhux se jidħol f'paġna waħda peress li dan se jelenka kull żona bħal blokk, dmz, drop, estern, dar, intern, pubbliku, fdat, u xogħol. Jekk iż-żoni għandhom xi regoli sinjuri, is-servizzi jew il-portijiet attivati se jiġu elenkati wkoll ma 'dik l-informazzjoni taż-żona rispettiva.

Pass 3: L-issettjar taż-Żona Firewalld default

4. Jekk tixtieq tissettja ż-żona default bħala interna, esterna, qatra, xogħol jew kwalunkwe żona oħra, tista 'tuża l-kmand hawn taħt biex tissettja ż-żona default. Hawnhekk aħna nużaw iż-żona interna bħala default.

# firewall-cmd --set-default-zone=internal

5. Wara li tissettja ż-żona, ivverifika ż-żona default billi tuża l-kmand ta 'hawn taħt.

# firewall-cmd --get-default-zone

6. Hawnhekk, l-Interface tagħna hija enp0s3, Jekk għandna bżonn niċċekkjaw iż-żona tagħna li fiha l-interface hija mdawra nistgħu nużaw il-kmand hawn taħt.

# firewall-cmd --get-zone-of-interface=enp0s3

7. Karatteristika oħra interessanti ta 'firewalld hija 'icmptype' hija waħda mit-tipi icmp appoġġjati minn firewalld. Biex tikseb l-elenkar tat-tipi icmp appoġġjati nistgħu nużaw il-kmand hawn taħt.

# firewall-cmd --get-icmptypes

Pass 4: Ħolqien tas-Servizzi Proprji f'Firewalld

8. Is-servizzi huma sett ta' regoli b'portijiet u għażliet li jintużaw minn Firewalld. Servizzi li huma attivati, se jitgħabba awtomatikament meta s-servizz Firewalld jibda jaħdem.

B'mod awtomatiku, ħafna servizzi huma disponibbli, biex tikseb il-lista tas-servizzi kollha disponibbli, uża l-kmand li ġej.

# firewall-cmd --get-services

9. Biex tikseb il-lista tas-servizzi kollha disponibbli default, mur fid-direttorju li ġej, hawnhekk ikollok il-lista tas-servizzi.

# cd /usr/lib/firewalld/services/

10. Biex toħloq is-servizz tiegħek, trid tiddefinixxih fil-post li ġej. Pereżempju, hawnhekk irrid inżid servizz għall-port RTMP 1935, l-ewwel agħmel kopja ta 'kwalunkwe wieħed mis-servizzi.

# cd /etc/firewalld/services/
# cp /usr/lib/firewalld/services/ssh.xml /etc/firewalld/services/

U mbagħad, innaviga lejn il-post fejn ġie kkupjat il-fajl tas-servizz tagħna, imbagħad semmi l-fajl 'ssh.xml' għal 'rtmp.xml' kif muri fl-istampa hawn taħt.

# cd /etc/firewalld/services/

11. Imbagħad tiftaħ u editja l-fajl bħala Intestatura, Deskrizzjoni, Protokoll, u numru tal-Port, li għandna bżonn nużaw għas-servizz RTMP kif muri fl-istampa hawn taħt.

12. Biex tagħmel dawn il-bidliet jattivaw, terġa 'tibda s-servizz tal-firewalld jew erġa' tagħbija s-settings.

# firewall-cmd --reload

13. Biex tikkonferma, jekk is-servizz huwa miżjud jew le, mexxi l-kmand hawn taħt biex tikseb lista ta 'servizzi disponibbli.

# firewall-cmd --get-services

Pass 5: Assenja Servizzi għal Żoni Firewalld

14. Hawnhekk se naraw kif timmaniġġja l-firewall billi tuża l-kmand tal-firewall-cmd. Biex tkun taf l-istat attwali tal-firewall u ż-żoni attivi kollha, ittajpja l-kmand li ġej.

# firewall-cmd --state
# firewall-cmd --get-active-zones

15. Biex tikseb iż-żona pubblika għall-interface enp0s3, din hija l-interface default, li hija definita fil-fajl /etc/firewalld/firewalld.conf bħala DefaultZone= pubbliku.

Biex telenka s-servizzi kollha disponibbli f'din iż-żona ta' interface default.

# firewall-cmd --get-service

Pass 6: Żieda ta 'Servizzi għal Żoni Firewalld

16. Fl-eżempji ta 'hawn fuq, rajna kif noħolqu s-servizzi tagħna stess billi noħolqu s-servizz rtmp, hawnhekk se naraw kif inżidu s-servizz rtmp fiż-żona wkoll.

# firewall-cmd --add-service=rtmp

17. Biex tneħħi ż-żona miżjuda, ittajpja.

# firewall-cmd --zone=public --remove-service=rtmp

Il-pass t'hawn fuq kien perjodu temporanju biss. Biex nagħmluha permanenti jeħtieġ li nħaddmu l-kmand hawn taħt bl-għażla –permanent.

# firewall-cmd --add-service=rtmp --permanent
# firewall-cmd --reload

18. Iddefinixxi regoli għall-firxa tas-sors tan-netwerk u tiftaħ kwalunkwe wieħed mill-portijiet. Pereżempju, jekk tixtieq tiftaħ firxa tan-netwerk għid '192.168.0.0/24' u port '1935' uża l-kmandi li ġejjin.

# firewall-cmd --permanent --add-source=192.168.0.0/24
# firewall-cmd --permanent --add-port=1935/tcp

Kun żgur li terġa 'tagħbija tas-servizz firewalld wara li żżid jew tneħħi kwalunkwe servizz jew port.

# firewall-cmd --reload 
# firewall-cmd --list-all

Pass 7: Żieda Regoli Sinjuri għall-Medda tan-Netwerk

19. Jekk irrid nippermetti s-servizzi bħal http, https, vnc-server, PostgreSQL, tuża r-regoli li ġejjin. L-ewwel, żid ir-regola u għamilha permanenti u erġa' tagħbija r-regoli u ċċekkja l-istatus.

# firewall-cmd --add-rich-rule 'rule family="ipv4" source address="192.168.0.0/24" service name="http" accept' 
# firewall-cmd --add-rich-rule 'rule family="ipv4" source address="192.168.0.0/24" service name="http" accept' --permanent

# firewall-cmd --add-rich-rule 'rule family="ipv4" source address="192.168.0.0/24" service name="https" accept'
# firewall-cmd --add-rich-rule 'rule family="ipv4" source address="192.168.0.0/24" service name="https" accept' --permanent

# firewall-cmd --add-rich-rule 'rule family="ipv4" source address="192.168.0.0/24" service name="vnc-server" accept'
# firewall-cmd --add-rich-rule 'rule family="ipv4" source address="192.168.0.0/24" service name="vnc-server" accept' --permanent

# firewall-cmd --add-rich-rule 'rule family="ipv4" source address="192.168.0.0/24" service name="postgresql" accept'
# firewall-cmd --add-rich-rule 'rule family="ipv4" source address="192.168.0.0/24" service name="postgresql" accept' --permanent

Issa, il-firxa tan-Netwerk 192.168.0.0/24 tista 'tuża s-servizz ta' hawn fuq mis-server tiegħi. L-għażla –permanent tista 'tintuża f'kull regola, iżda rridu niddefinixxu r-regola u niċċekkjaw mal-aċċess tal-klijent wara li rridu nagħmluha permanenti.

20. Wara li żżid ir-regoli ta 'hawn fuq, tinsiex terġa' tgħabbi r-regoli tal-firewall u elenka r-regoli billi tuża:

# firewall-cmd --reload
# firewall-cmd --list-all

Biex tkun taf aktar dwar Firewalld.

# man firewalld

Dak hu, rajna kif twaqqaf net-filter billi tuża Firewalld f'RHEL/CentOS u Fedora.

Net-filter huwa l-qafas għal firewall għal kull distribuzzjoni Linux. Lura f'kull edizzjoni RHEL u CentOS, użajna iptables iżda f'verżjonijiet aktar ġodda, introduċew Firewalld. Huwa aktar faċli li tifhem u tuża firewalld. Nittama li ħadt gost bil-kitba.