Kif tikkonfigura FirewallD f'RHEL/CentOS 7 u Fedora 21
Net-filter kif nafu lkoll huwa firewall fil-Linux. Firewalld huwa daemon dinamiku biex jimmaniġġja firewalls b'appoġġ għal żoni tan-netwerk. Fil-verżjoni preċedenti, RHEL & CentOS 6 ilna nużaw iptables bħala daemon għall-qafas tal-filtrazzjoni tal-pakketti. F'RHEL/CentOS 7/8, Fedora u openSUSE – rong>iptables interface qed jiġi sostitwit minn firewalld.
Huwa rakkomandat li tibda tuża Firewalld minflok iptables peress li dan jista' jieqaf fil-futur. Madankollu, iptables għadhom appoġġjati u jistgħu jiġu installati bil-kmand yum. Ma nistgħux inżommu Firewalld u iptables it-tnejn fl-istess sistema li jistgħu jwasslu għal kunflitt.
F'iptables, konna nikkonfiguraw bħala INPUT, OUTPUT & FORWARD CHAINS iżda hawn f'Firewalld, il-kunċett juża Żoni. B'mod awtomatiku, hemm żoni differenti disponibbli f'firewalld, li se jiġu diskussi f'dan l-artikolu.
Iż-żona bażika li huma bħal żona pubblika u żona privata. Biex l-affarijiet jaħdmu madwar ma 'dawn iż-żoni, għandna bżonn li żżid l-interface bl-appoġġ taż-żona speċifikata u mbagħad nistgħu nżidu s-servizzi għall-firewalld.
B'mod awtomatiku, hemm ħafna servizzi disponibbli, waħda mill-aqwa karatteristiċi ta 'firewalld hija, tiġi flimkien ma' servizzi definiti minn qabel u nistgħu nieħdu dawn is-servizzi bħala eżempju biex inżidu s-servizzi tagħna billi sempliċement nikkuppjawhom.
Il-Firewalld jaħdem tajjeb ukoll mal-pontijiet IPv4, IPv6 u Ethernet. Nistgħu jkollna run-time separata u konfigurazzjoni permanenti f'firewalld.
Ejja nibdew kif naħdmu maż-żoni u noħolqu s-servizzi tagħna stess u użu ħafna aktar eċċitanti tal-firewalld.
Operating System : CentOS Linux release 7.0.1406 (Core) IP Address : 192.168.0.55 Host-name : server1.tecmintlocal.com
Pass 1: Installazzjoni ta 'Firewalld f'CentOS
1. Il-pakkett Firewalld huwa installat awtomatikament f'RHEL/CentOS 7/8, Fedora u openSUSE. Jekk le, tista 'tinstallah billi tuża l-kmand yum li ġej.
# yum install firewalld -y
2. Wara li l-pakkett firewalld ikun ġie installat, wasal iż-żmien li tivverifika jekk is-servizz iptables huwiex qed jaħdem jew le, jekk qed jaħdem, għandek bżonn tieqaf u taħbi (ma tużax aktar) is-servizz iptables bil-kmandi ta 'hawn taħt.
# systemctl status iptables # systemctl stop iptables # systemctl mask iptables
Pass 2: Niddiskutu l-Komponenti Firewalld
3. Qabel ma nidħol għall-konfigurazzjoni tal-firewalld, nixtieq niddiskuti kull żona. B'mod awtomatiku, hemm xi żoni disponibbli. Għandna bżonn nassenjaw l-interface għaż-żona. Żona tiddefinixxi li ż-żona li kienet fdata jew miċħuda livell għall-interface biex tikseb konnessjoni. Żona jista' jkun fiha servizzi u portijiet.
Hawnhekk, se niddeskrivu kull żona disponibbli f'Firewalld.
- Żona ta' qatra: Kwalunkwe pakkett li jkun deħlin jintrema jekk nużaw din iż-żona ta' qatra. Dan huwa l-istess kif nużaw biex inżidu iptables -j drop. Jekk nużaw ir-regola tal-waqgħa, tfisser li m'hemm l-ebda tweġiba, konnessjonijiet tan-netwerk ħerġin biss ikunu disponibbli.
- Żona tal-Blokk: Żona tal-Blokk se tiċħad li l-konnessjonijiet tan-netwerk li jkunu deħlin jiġu rrifjutati b'icmp-host-projbit. Se jkunu permessi biss konnessjonijiet stabbiliti fis-server.
- Żona Pubblika: Biex naċċettaw il-konnessjonijiet magħżula nistgħu niddefinixxu regoli fiż-żona pubblika. Dan se jippermetti biss li l-port speċifiku jinfetaħ fis-server tagħna konnessjonijiet oħra se jintefgħu.
- Żona Esterna: Din iż-żona se taġixxi bħala għażliet tar-router bil-masquerading huwa ppermettiet konnessjonijiet oħra se jitwarrbu u mhux se jaċċettaw, se tkun permessa biss konnessjoni speċifikata.
- Żona DMZ: Jekk irridu nħallu aċċess għal xi wħud mis-servizzi lill-pubbliku, tista' tiddefinixxiha fiż-żona DMZ. Dan ukoll għandu l-karatteristika ta 'konnessjonijiet deħlin magħżula biss huma aċċettati.
- Żona tax-Xogħol: F'din iż-żona, nistgħu niddefinixxu biss netwerks interni jiġifieri t-traffiku tan-netwerks privati huwa permess.
- Żona tad-Dar: Din iż-żona tintuża b'mod speċjali fiż-żoni tad-dar, nistgħu nużaw din iż-żona biex nafdaw il-kompjuters l-oħra fuq in-netwerks biex ma tagħmilx ħsara lill-kompjuter tiegħek bħal kull żona. Dan ukoll jippermetti biss il-konnessjonijiet deħlin magħżula.
- Żona Interna: Din hija simili għaż-żona tax-xogħol b'konnessjonijiet permessi magħżula.
- Żona ta' fiduċja: Jekk nissettjaw iż-żona ta' fiduċja, it-traffiku kollu jiġi aċċettat.
Issa għandek idea aħjar dwar iż-żoni, issa ejja nsiru nafu żoni disponibbli, żoni default, u elenka ż-żoni kollha billi tuża l-kmandi li ġejjin.
# firewall-cmd --get-zones
# firewall-cmd --get-default-zone
# firewall-cmd --list-all-zones
Nota: L-output tal-kmand ta 'hawn fuq mhux se jidħol f'paġna waħda peress li dan se jelenka kull żona bħal blokk, dmz, drop, estern, dar, intern, pubbliku, fdat, u xogħol. Jekk iż-żoni għandhom xi regoli sinjuri, is-servizzi jew il-portijiet attivati se jiġu elenkati wkoll ma 'dik l-informazzjoni taż-żona rispettiva.
Pass 3: L-issettjar taż-Żona Firewalld default
4. Jekk tixtieq tissettja ż-żona default bħala interna, esterna, qatra, xogħol jew kwalunkwe żona oħra, tista 'tuża l-kmand hawn taħt biex tissettja ż-żona default. Hawnhekk aħna nużaw iż-żona interna bħala default.
# firewall-cmd --set-default-zone=internal
5. Wara li tissettja ż-żona, ivverifika ż-żona default billi tuża l-kmand ta 'hawn taħt.
# firewall-cmd --get-default-zone
6. Hawnhekk, l-Interface tagħna hija enp0s3, Jekk għandna bżonn niċċekkjaw iż-żona tagħna li fiha l-interface hija mdawra nistgħu nużaw il-kmand hawn taħt.
# firewall-cmd --get-zone-of-interface=enp0s3
7. Karatteristika oħra interessanti ta 'firewalld hija 'icmptype' hija waħda mit-tipi icmp appoġġjati minn firewalld. Biex tikseb l-elenkar tat-tipi icmp appoġġjati nistgħu nużaw il-kmand hawn taħt.
# firewall-cmd --get-icmptypes
Pass 4: Ħolqien tas-Servizzi Proprji f'Firewalld
8. Is-servizzi huma sett ta' regoli b'portijiet u għażliet li jintużaw minn Firewalld. Servizzi li huma attivati, se jitgħabba awtomatikament meta s-servizz Firewalld jibda jaħdem.
B'mod awtomatiku, ħafna servizzi huma disponibbli, biex tikseb il-lista tas-servizzi kollha disponibbli, uża l-kmand li ġej.
# firewall-cmd --get-services
9. Biex tikseb il-lista tas-servizzi kollha disponibbli default, mur fid-direttorju li ġej, hawnhekk ikollok il-lista tas-servizzi.
# cd /usr/lib/firewalld/services/
10. Biex toħloq is-servizz tiegħek, trid tiddefinixxih fil-post li ġej. Pereżempju, hawnhekk irrid inżid servizz għall-port RTMP 1935, l-ewwel agħmel kopja ta 'kwalunkwe wieħed mis-servizzi.
# cd /etc/firewalld/services/ # cp /usr/lib/firewalld/services/ssh.xml /etc/firewalld/services/
U mbagħad, innaviga lejn il-post fejn ġie kkupjat il-fajl tas-servizz tagħna, imbagħad semmi l-fajl 'ssh.xml' għal 'rtmp.xml' kif muri fl-istampa hawn taħt.
# cd /etc/firewalld/services/
11. Imbagħad tiftaħ u editja l-fajl bħala Intestatura, Deskrizzjoni, Protokoll, u numru tal-Port, li għandna bżonn nużaw għas-servizz RTMP kif muri fl-istampa hawn taħt.
12. Biex tagħmel dawn il-bidliet jattivaw, terġa 'tibda s-servizz tal-firewalld jew erġa' tagħbija s-settings.
# firewall-cmd --reload
13. Biex tikkonferma, jekk is-servizz huwa miżjud jew le, mexxi l-kmand hawn taħt biex tikseb lista ta 'servizzi disponibbli.
# firewall-cmd --get-services
Pass 5: Assenja Servizzi għal Żoni Firewalld
14. Hawnhekk se naraw kif timmaniġġja l-firewall billi tuża l-kmand tal-firewall-cmd. Biex tkun taf l-istat attwali tal-firewall u ż-żoni attivi kollha, ittajpja l-kmand li ġej.
# firewall-cmd --state # firewall-cmd --get-active-zones
15. Biex tikseb iż-żona pubblika għall-interface enp0s3, din hija l-interface default, li hija definita fil-fajl /etc/firewalld/firewalld.conf bħala DefaultZone= pubbliku.
Biex telenka s-servizzi kollha disponibbli f'din iż-żona ta' interface default.
# firewall-cmd --get-service
Pass 6: Żieda ta 'Servizzi għal Żoni Firewalld
16. Fl-eżempji ta 'hawn fuq, rajna kif noħolqu s-servizzi tagħna stess billi noħolqu s-servizz rtmp, hawnhekk se naraw kif inżidu s-servizz rtmp fiż-żona wkoll.
# firewall-cmd --add-service=rtmp
17. Biex tneħħi ż-żona miżjuda, ittajpja.
# firewall-cmd --zone=public --remove-service=rtmp
Il-pass t'hawn fuq kien perjodu temporanju biss. Biex nagħmluha permanenti jeħtieġ li nħaddmu l-kmand hawn taħt bl-għażla –permanent.
# firewall-cmd --add-service=rtmp --permanent # firewall-cmd --reload
18. Iddefinixxi regoli għall-firxa tas-sors tan-netwerk u tiftaħ kwalunkwe wieħed mill-portijiet. Pereżempju, jekk tixtieq tiftaħ firxa tan-netwerk għid '192.168.0.0/24' u port '1935' uża l-kmandi li ġejjin.
# firewall-cmd --permanent --add-source=192.168.0.0/24 # firewall-cmd --permanent --add-port=1935/tcp
Kun żgur li terġa 'tagħbija tas-servizz firewalld wara li żżid jew tneħħi kwalunkwe servizz jew port.
# firewall-cmd --reload # firewall-cmd --list-all
Pass 7: Żieda Regoli Sinjuri għall-Medda tan-Netwerk
19. Jekk irrid nippermetti s-servizzi bħal http, https, vnc-server, PostgreSQL, tuża r-regoli li ġejjin. L-ewwel, żid ir-regola u għamilha permanenti u erġa' tagħbija r-regoli u ċċekkja l-istatus.
# firewall-cmd --add-rich-rule 'rule family="ipv4" source address="192.168.0.0/24" service name="http" accept' # firewall-cmd --add-rich-rule 'rule family="ipv4" source address="192.168.0.0/24" service name="http" accept' --permanent # firewall-cmd --add-rich-rule 'rule family="ipv4" source address="192.168.0.0/24" service name="https" accept' # firewall-cmd --add-rich-rule 'rule family="ipv4" source address="192.168.0.0/24" service name="https" accept' --permanent # firewall-cmd --add-rich-rule 'rule family="ipv4" source address="192.168.0.0/24" service name="vnc-server" accept' # firewall-cmd --add-rich-rule 'rule family="ipv4" source address="192.168.0.0/24" service name="vnc-server" accept' --permanent # firewall-cmd --add-rich-rule 'rule family="ipv4" source address="192.168.0.0/24" service name="postgresql" accept' # firewall-cmd --add-rich-rule 'rule family="ipv4" source address="192.168.0.0/24" service name="postgresql" accept' --permanent
Issa, il-firxa tan-Netwerk 192.168.0.0/24 tista 'tuża s-servizz ta' hawn fuq mis-server tiegħi. L-għażla –permanent tista 'tintuża f'kull regola, iżda rridu niddefinixxu r-regola u niċċekkjaw mal-aċċess tal-klijent wara li rridu nagħmluha permanenti.
20. Wara li żżid ir-regoli ta 'hawn fuq, tinsiex terġa' tgħabbi r-regoli tal-firewall u elenka r-regoli billi tuża:
# firewall-cmd --reload # firewall-cmd --list-all
Biex tkun taf aktar dwar Firewalld.
# man firewalld
Dak hu, rajna kif twaqqaf net-filter billi tuża Firewalld f'RHEL/CentOS u Fedora.
Net-filter huwa l-qafas għal firewall għal kull distribuzzjoni Linux. Lura f'kull edizzjoni RHEL u CentOS, użajna iptables iżda f'verżjonijiet aktar ġodda, introduċew Firewalld. Huwa aktar faċli li tifhem u tuża firewalld. Nittama li ħadt gost bil-kitba.