Kif tirrestrinġi l-aċċess għan-netwerk billi tuża FirewallD
Bħala utent Linux, tista 'tagħżel jew li tippermetti jew tirrestrinġi l-aċċess għan-netwerk għal xi servizzi jew indirizzi IP billi tuża l-firewalld firewall li huwa indiġenu għal CentOS/RHEL 8 u l-biċċa l-kbira tad-distribuzzjonijiet ibbażati fuq RHEL bħal Fedora.
Il-firewalld firewall juża l-utilità tal-linja tal-kmand tal-firewall-cmd biex jikkonfigura r-regoli tal-firewall.
Qabel ma nkunu nistgħu nwettqu kwalunkwe konfigurazzjoni, ejja l-ewwel nippermettu s-servizz firewalld billi tuża l-utilità systemctl kif muri:
$ sudo systemctl enable firewalld
Ladarba tkun attivata, issa tista' tibda s-servizz firewalld billi tesegwixxi:
$ sudo systemctl start firewalld
Tista' tivverifika l-istatus ta' firewalld billi tħaddem il-kmand:
$ sudo systemctl status firewalld
L-output hawn taħt jikkonferma li s-servizz tal-firewalld qed jaħdem.
Konfigurazzjoni tar-Regoli bl-użu ta 'Firewalld
Issa li għandna firewalld qed jaħdem, nistgħu mmorru direttament biex nagħmlu xi konfigurazzjonijiet. Firewalld jippermettilek li żżid u timblokka portijiet, lista sewda, kif ukoll indirizzi IP whitelist biex tipprovdi aċċess għas-server. Ladarba tlesti bil-konfigurazzjonijiet, dejjem aċċerta ruħek li terġa 'tagħbija l-firewall biex ir-regoli l-ġodda jidħlu fis-seħħ.
Biex iżżid port, ngħidu l-port 443 għal HTTPS, uża s-sintassi hawn taħt. Innota li trid tispeċifika jekk il-port huwiex port TCP jew UDP wara n-numru tal-port:
$ sudo firewall-cmd --add-port=22/tcp --permanent
Bl-istess mod, biex iżżid port UDP, speċifika l-għażla UDP kif muri:
$ sudo firewall-cmd --add-port=53/udp --permanent
Il-marka --permanent
tiżgura li r-regoli jippersistu anke wara reboot.
Biex timblokka port TCP, bħall-port 22, mexxi l-kmand.
$ sudo firewall-cmd --remove-port=22/tcp --permanent
Bl-istess mod, l-imblukkar ta' port UDP se jsegwi l-istess sintassi:
$ sudo firewall-cmd --remove-port=53/udp --permanent
Is-servizzi tan-netwerk huma definiti fil-fajl /etc/services. Biex tippermetti servizz bħal https, eżegwixxi l-kmand:
$ sudo firewall-cmd --add-service=https
Biex timblokka servizz, pereżempju, FTP, eżegwixxi:
$ sudo firewall-cmd --remove-service=https
Biex tippermetti indirizz IP wieħed fuq il-firewall, eżegwixxi l-kmand:
$ sudo firewall-cmd --permanent --add-source=192.168.2.50
Tista 'wkoll tippermetti firxa ta' IPs jew subnet kollu billi tuża notazzjoni CIDR (Rotot Inter-Domain mingħajr Klassi). Pereżempju biex tippermetti subnet kollu fis-subnet 255.255.255.0, eżegwixxi.
$ sudo firewall-cmd --permanent --add-source=192.168.2.0/24
Jekk tixtieq tneħħi IP fil-lista bajda fuq il-firewall, uża l-marka --remove-source
kif muri:
$ sudo firewall-cmd --permanent --remove-source=192.168.2.50
Għas-subnet kollu, mexxi:
$ sudo firewall-cmd --permanent --remove-source=192.168.2.50/24
S'issa, rajna kif tista 'żżid u tneħħi portijiet u servizzi kif ukoll whitelisting u tneħħi IPs whitelisted. Biex timblokka indirizz IP, jintużaw ‘regoli sinjuri’ għal dan il-għan.
Pereżempju biex timblokka l-IP 192.168.2.50 mexxi l-kmand:
$ sudo firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='192.168.2.50' reject"
Biex timblokka s-subnet kollu, mexxi:
$ sudo firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='192.168.2.0/24' reject"
Jekk għamilt xi tibdil fir-regoli tal-firewall, trid tmexxi l-kmand hawn taħt biex il-bidliet jiġu applikati immedjatament:
$ sudo firewall-cmd --reload
Biex ikollok tħares lejn ir-regoli kollha fil-firewall, eżegwixxi l-kmand:
$ sudo firewall-cmd --list-all
Dan jikkonkludi din il-gwida dwar kif tippermetti jew tirrestrinġi l-aċċess għan-netwerk billi tuża FirewallD fuq CentOS/RHEL 8. Nittamaw li sibt din il-gwida utli.