Serje RHCSA: Firewall Essentials u Kontroll tat-Traffiku tan-Netwerk Bl-Użu ta' FirewallD u Iptables - Parti 11
Fi kliem sempliċi, firewall huwa sistema ta’ sigurtà li tikkontrolla t-traffiku deħlin u ħerġin f’netwerk ibbażat fuq sett ta’ regoli predefiniti (bħal pereżempju d-destinazzjoni/sors tal-pakkett jew it-tip ta’ traffiku).
F'dan l-artikolu ser nirrevedu l-baŜi tal-firewalld, id-demon tal-firewall dinamiku default f'Red Hat Enterprise Linux 7, u s-servizz iptables, is-servizz tal-firewall tal-wirt għal Linux, li miegħu l-biċċa l-kbira tal-amministraturi tas-sistema u tan-netwerk huma familjari sew, u li huwa wkoll disponibbli. f'RHEL 7.
Tqabbil Bejn FirewallD u Iptables
Taħt il-barnuża, kemm firewalld kif ukoll is-servizz iptables jitkellmu mal-qafas netfilter fil-qalba permezz tal-istess interface, mhux sorpriża, il-kmand iptables. Madankollu, għall-kuntrarju tas-servizz iptables, firewalld jista 'jbiddel is-settings waqt it-tħaddim normali tas-sistema mingħajr ma jintilfu konnessjonijiet eżistenti.
Firewalld għandu jiġi installat awtomatikament fis-sistema RHEL tiegħek, għalkemm jista 'ma jkunx qed jaħdem. Tista' tivverifika bil-kmandi li ġejjin (firewall-config hija l-għodda tal-konfigurazzjoni tal-interface tal-utent):
# yum info firewalld firewall-config
u,
# systemctl status -l firewalld.service
Min-naħa l-oħra, is-servizz iptables mhuwiex inkluż awtomatikament, iżda jista 'jiġi installat permezz.
# yum update && yum install iptables-services
Iż-żewġ daemons jistgħu jinbdew u jitħallew jibdew mal-but bil-kmandi tas-soltu tas-systemd:
# systemctl start firewalld.service | iptables-service.service # systemctl enable firewalld.service | iptables-service.service
Aqra wkoll: Kmandi Utli biex Immaniġġja s-Servizzi Systemd
Fir-rigward tal-fajls tal-konfigurazzjoni, is-servizz iptables juża /etc/sysconfig/iptables (li mhux se jeżisti jekk il-pakkett ma jkunx installat fis-sistema tiegħek). Fuq kaxxa RHEL 7 użata bħala node tal-cluster, dan il-fajl jidher kif ġej:
Billi firewalld jaħżen il-konfigurazzjoni tiegħu f'żewġ direttorji, /usr/lib/firewalld u /etc/firewalld:
# ls /usr/lib/firewalld /etc/firewalld
Aħna se neżaminaw dawn il-fajls ta 'konfigurazzjoni aktar 'il quddiem f'dan l-artikolu, wara li nżidu ftit regoli hawn u hemm. Sa issa jkun biżżejjed li nfakkarkom li dejjem tista 'ssib aktar informazzjoni dwar iż-żewġ għodod bil.
# man firewalld.conf # man firewall-cmd # man iptables
Minbarra dan, ftakar li tagħti ħarsa lejn ir-Reviżjoni tal-Kmandi Essenzjali u d-Dokumentazzjoni tas-Sistema - Parti 1 tas-serje attwali, fejn iddeskrivejt diversi sorsi fejn tista 'tikseb informazzjoni dwar il-pakketti installati fis-sistema RHEL 7 tiegħek.
L-użu ta' Iptables biex tikkontrolla t-Traffiku tan-Netwerk
Jista' jkun li trid tirreferi għal Iptables Firewall - Parti 8 tas-serje Linux Foundation Certified Engineer (LFCE) biex taġġorna l-memorja tiegħek dwar iptables interni qabel ma tkompli. Għalhekk, inkunu nistgħu naqbżu fl-eżempji.
Il-portijiet TCP 80 u 443 huma l-portijiet default użati mis-server tal-web Apache biex jimmaniġġjaw it-traffiku tal-web normali (HTTP) u sigur (HTTPS). Tista' tippermetti traffiku tal-web deħlin u ħerġin miż-żewġ portijiet fuq l-interface enp0s3 kif ġej:
# iptables -A INPUT -i enp0s3 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT # iptables -A OUTPUT -o enp0s3 -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT # iptables -A INPUT -i enp0s3 -p tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT # iptables -A OUTPUT -o enp0s3 -p tcp --sport 443 -m state --state ESTABLISHED -j ACCEPT
Jista' jkun hemm drabi meta jkollok bżonn timblokka t-tip kollu (jew xi) ta' traffiku li joriġina minn netwerk speċifiku, ngħidu aħna 192.168.1.0/24 per eżempju:
# iptables -I INPUT -s 192.168.1.0/24 -j DROP
se jwaqqa' l-pakketti kollha li ġejjin min-netwerk 192.168.1.0/24, filwaqt li,
# iptables -A INPUT -s 192.168.1.0/24 --dport 22 -j ACCEPT
se jippermetti biss traffiku li jidħol mill-port 22.
Jekk tuża l-kaxxa RHEL 7 tiegħek mhux biss bħala firewall tas-softwer, iżda wkoll bħala dik attwali bbażata fuq il-ħardwer, sabiex tpoġġi bejn żewġ netwerks distinti, it-trażmissjoni tal-IP trid tkun diġà attivata fis-sistema tiegħek. Jekk le, trid teditja /etc/sysctl.conf u tissettja l-valur ta' net.ipv4.ip_forward għal 1, kif ġej:
net.ipv4.ip_forward = 1
imbagħad issalva l-bidla, agħlaq l-editur tat-test tiegħek u finalment mexxi l-kmand li ġej biex tapplika l-bidla:
# sysctl -p /etc/sysctl.conf
Pereżempju, jista' jkollok printer installat f'kaxxa interna b'IP 192.168.0.10, bis-servizz CUPS jisma' fuq il-port 631 (kemm fuq is-server tal-istampar kif ukoll fuq il-firewall tiegħek). Sabiex tibgħat talbiet għall-istampar minn klijenti fuq in-naħa l-oħra tal-firewall, għandek iżżid ir-regola iptables li ġejja:
# iptables -t nat -A PREROUTING -i enp0s3 -p tcp --dport 631 -j DNAT --to 192.168.0.10:631
Jekk jogħġbok żomm f'moħħok li iptables jaqra r-regoli tiegħu b'mod sekwenzjali, għalhekk kun żgur li l-politiki default jew ir-regoli ta 'wara ma jegħlbux dawk deskritti fl-eżempji ta' hawn fuq.
Nibdew b'FirewallD
Waħda mill-bidliet introdotti ma 'firewalld huma żoni. Dan il-kunċett jippermetti li n-netwerks jiġu separati f'żoni differenti livell ta 'fiduċja li l-utent iddeċieda li jqiegħed fuq l-apparati u t-traffiku fi ħdan dak in-netwerk.
Biex telenka ż-żoni attivi:
# firewall-cmd --get-active-zones
Fl-eżempju hawn taħt, iż-żona pubblika hija attiva, u l-interface enp0s3 ġiet assenjata lilha awtomatikament. Biex tara l-informazzjoni kollha dwar żona partikolari:
# firewall-cmd --zone=public --list-all
Peress li tista 'taqra aktar dwar iż-żoni fil-gwida tas-Sigurtà ta' RHEL 7, aħna se niżżlu biss xi eżempji speċifiċi hawn.
Biex tikseb lista tas-servizzi appoġġjati, uża.
# firewall-cmd --get-services
Biex tippermetti traffiku tal-web http u https permezz tal-firewall, effettiv immedjatament u fuq stivali sussegwenti:
# firewall-cmd --zone=MyZone --add-service=http # firewall-cmd --zone=MyZone --permanent --add-service=http # firewall-cmd --zone=MyZone --add-service=https # firewall-cmd --zone=MyZone --permanent --add-service=https # firewall-cmd --reload
Jekk–zone titħalla barra, iż-żona default (tista’ tiċċekkja b’firewall-cmd –get-default-zone) tintuża.
Biex tneħħi r-regola, ibdel il-kelma żid b'neħħi fil-kmandi ta' hawn fuq.
L-ewwelnett, trid issir taf jekk il-masquerading huwiex attivat għaż-żona mixtieqa:
# firewall-cmd --zone=MyZone --query-masquerade
Fl-immaġni hawn taħt, nistgħu naraw li l-masquerading huwa attivat għaż-żona esterna, iżda mhux għall-pubbliku:
Tista' jew tattiva l-masquerading għall-pubbliku:
# firewall-cmd --zone=public --add-masquerade
jew uża masquerading fl-estern. Hawn x'nagħmlu biex nirreplikaw l-Eżempju 3 b'firewalld:
# firewall-cmd --zone=external --add-forward-port=port=631:proto=tcp:toport=631:toaddr=192.168.0.10
U ma ninsewx li terġa 'tagħbija l-firewall.
Tista' ssib aktar eżempji fuq il-Parti 9 tas-serje RHCSA, fejn spjegajna kif tippermetti jew tiddiżattiva l-portijiet li normalment jintużaw minn server tal-web u server ftp, u kif tibdel ir-regola korrispondenti meta l-port default għal dawk is-servizzi huma mibdula. Barra minn hekk, tista' tkun trid tirreferi għall-wiki firewalld għal aktar eżempji.
Aqra wkoll: Eżempji Utli tal-FirewallD biex Jikkonfiguraw il-Firewall f'RHEL 7
Konklużjoni
F'dan l-artikolu spjegajna x'inhu firewall, x'inhuma s-servizzi disponibbli biex timplimenta wieħed f'RHEL 7, u pprovdejna ftit eżempji li jistgħu jgħinuk tibda b'dan il-kompitu. Jekk għandek xi kummenti, suġġerimenti, jew mistoqsijiet, tħossok liberu li tgħarrafna billi tuża l-formola hawn taħt. Grazzi bil-quddiem!