Kif tirrestrinġi l-aċċess għan-netwerk billi tuża FirewallD


Bħala utent Linux, tista 'tagħżel jew li tippermetti jew tirrestrinġi l-aċċess għan-netwerk għal xi servizzi jew indirizzi IP billi tuża l-firewalld firewall li huwa indiġenu għal CentOS/RHEL 8 u l-biċċa l-kbira tad-distribuzzjonijiet ibbażati fuq RHEL bħal Fedora.

Il-firewalld firewall juża l-utilità tal-linja tal-kmand tal-firewall-cmd biex jikkonfigura r-regoli tal-firewall.

Qabel ma nkunu nistgħu nwettqu kwalunkwe konfigurazzjoni, ejja l-ewwel nippermettu s-servizz firewalld billi tuża l-utilità systemctl kif muri:

$ sudo systemctl enable firewalld

Ladarba tkun attivata, issa tista' tibda s-servizz firewalld billi tesegwixxi:

$ sudo systemctl start firewalld

Tista' tivverifika l-istatus ta' firewalld billi tħaddem il-kmand:

$ sudo systemctl status firewalld

L-output hawn taħt jikkonferma li s-servizz tal-firewalld qed jaħdem.

Konfigurazzjoni tar-Regoli bl-użu ta 'Firewalld

Issa li għandna firewalld qed jaħdem, nistgħu mmorru direttament biex nagħmlu xi konfigurazzjonijiet. Firewalld jippermettilek li żżid u timblokka portijiet, lista sewda, kif ukoll indirizzi IP whitelist biex tipprovdi aċċess għas-server. Ladarba tlesti bil-konfigurazzjonijiet, dejjem aċċerta ruħek li terġa 'tagħbija l-firewall biex ir-regoli l-ġodda jidħlu fis-seħħ.

Biex iżżid port, ngħidu l-port 443 għal HTTPS, uża s-sintassi hawn taħt. Innota li trid tispeċifika jekk il-port huwiex port TCP jew UDP wara n-numru tal-port:

$ sudo firewall-cmd --add-port=22/tcp --permanent

Bl-istess mod, biex iżżid port UDP, speċifika l-għażla UDP kif muri:

$ sudo firewall-cmd --add-port=53/udp --permanent

Il-marka --permanent tiżgura li r-regoli jippersistu anke wara reboot.

Biex timblokka port TCP, bħall-port 22, mexxi l-kmand.

$ sudo firewall-cmd --remove-port=22/tcp --permanent

Bl-istess mod, l-imblukkar ta' port UDP se jsegwi l-istess sintassi:

$ sudo firewall-cmd --remove-port=53/udp --permanent

Is-servizzi tan-netwerk huma definiti fil-fajl /etc/services. Biex tippermetti servizz bħal https, eżegwixxi l-kmand:

$ sudo firewall-cmd --add-service=https

Biex timblokka servizz, pereżempju, FTP, eżegwixxi:

$ sudo firewall-cmd --remove-service=https

Biex tippermetti indirizz IP wieħed fuq il-firewall, eżegwixxi l-kmand:

$ sudo firewall-cmd --permanent --add-source=192.168.2.50

Tista 'wkoll tippermetti firxa ta' IPs jew subnet kollu billi tuża notazzjoni CIDR (Rotot Inter-Domain mingħajr Klassi). Pereżempju biex tippermetti subnet kollu fis-subnet 255.255.255.0, eżegwixxi.

$ sudo firewall-cmd --permanent --add-source=192.168.2.0/24

Jekk tixtieq tneħħi IP fil-lista bajda fuq il-firewall, uża l-marka --remove-source kif muri:

$ sudo firewall-cmd --permanent --remove-source=192.168.2.50

Għas-subnet kollu, mexxi:

$ sudo firewall-cmd --permanent --remove-source=192.168.2.50/24

S'issa, rajna kif tista 'żżid u tneħħi portijiet u servizzi kif ukoll whitelisting u tneħħi IPs whitelisted. Biex timblokka indirizz IP, jintużaw ‘regoli sinjuri’ għal dan il-għan.

Pereżempju biex timblokka l-IP 192.168.2.50 mexxi l-kmand:

$ sudo firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='192.168.2.50' reject"

Biex timblokka s-subnet kollu, mexxi:

$ sudo firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='192.168.2.0/24' reject"

Jekk għamilt xi tibdil fir-regoli tal-firewall, trid tmexxi l-kmand hawn taħt biex il-bidliet jiġu applikati immedjatament:

$ sudo firewall-cmd --reload

Biex ikollok tħares lejn ir-regoli kollha fil-firewall, eżegwixxi l-kmand:

$ sudo firewall-cmd --list-all

Dan jikkonkludi din il-gwida dwar kif tippermetti jew tirrestrinġi l-aċċess għan-netwerk billi tuża FirewallD fuq CentOS/RHEL 8. Nittamaw li sibt din il-gwida utli.