Kaip apriboti prieigą prie tinklo naudojant FirewallD
Kaip „Linux“ naudotojas, galite pasirinkti leisti arba apriboti tinklo prieigą prie kai kurių paslaugų arba IP adresų naudodami ugniasienės užkardą, kuri yra sukurta CentOS/RHEL 8 ir daugumai RHEL. pagrįsti platinimai, pvz., Fedora.
Užkarda ugniasienė naudoja komandų eilutės įrankį firewall-cmd ugniasienės taisyklėms konfigūruoti.
Prieš atlikdami konfigūraciją, pirmiausia įgalinkime firewalld paslaugą naudodami „systemctl“ įrankį, kaip parodyta:
sudo systemctl enable firewalld
Kai įgalinta, dabar galite paleisti ugniasienės paslaugą, vykdydami:
sudo systemctl start firewalld
Galite patikrinti ugniasienės būseną vykdydami komandą:
sudo systemctl status firewalld
Toliau pateikta išvada patvirtina, kad užkardos paslauga veikia ir veikia.
Taisyklių konfigūravimas naudojant ugniasienę
Dabar, kai veikia ugniasienė, galime iškart atlikti kai kurias konfigūracijas. Ugniasienė leidžia pridėti ir blokuoti prievadus, juodąjį sąrašą, taip pat į baltąjį sąrašą įtraukti IP adresus, kad būtų suteikta prieiga prie serverio. Atlikę konfigūraciją, visada įsitikinkite, kad iš naujo įkeliate užkardą, kad naujos taisyklės įsigaliotų.
TCP/UDP prievado pridėjimas
Norėdami pridėti prievadą, pasakykite prievadą 443, skirtą HTTPS, naudokite toliau pateiktą sintaksę. Atminkite, kad po prievado numerio turite nurodyti, ar prievadas yra TCP, ar UDP prievadas:
sudo firewall-cmd --add-port=22/tcp --permanent
Panašiai, norėdami pridėti UDP prievadą, nurodykite parinktį UDP, kaip parodyta:
sudo firewall-cmd --add-port=53/udp --permanent
Žyma --permanent
užtikrina, kad taisyklės išliktų net ir paleidus iš naujo.
TCP/UDP prievado blokavimas
Norėdami užblokuoti TCP prievadą, pvz., 22 prievadą, paleiskite komandą.
sudo firewall-cmd --remove-port=22/tcp --permanent
Panašiai, blokuojant UDP prievadą, bus taikoma ta pati sintaksė:
sudo firewall-cmd --remove-port=53/udp --permanent
Paslaugos leidimas
Tinklo paslaugos apibrėžtos /etc/services faile. Norėdami leisti paslaugą, pvz., https, vykdykite komandą:
sudo firewall-cmd --add-service=https
Paslaugos blokavimas
Norėdami užblokuoti paslaugą, pvz., FTP, vykdykite:
sudo firewall-cmd --remove-service=https
IP adreso įtraukimas į baltąjį sąrašą
Norėdami leisti vieną IP adresą per užkardą, vykdykite komandą:
sudo firewall-cmd --permanent --add-source=192.168.2.50
Taip pat galite leisti IP diapazoną arba visą potinklį naudodami CIDR (Classless Inter-Domain Routing) žymėjimą. Pavyzdžiui, norėdami leisti visą potinklį 255.255.255.0 potinklyje, paleiskite.
sudo firewall-cmd --permanent --add-source=192.168.2.0/24
Į baltąjį sąrašą įtraukto IP adreso pašalinimas
Jei norite pašalinti ugniasienės į baltąjį sąrašą įtrauktą IP, naudokite vėliavėlę --remove-source
, kaip parodyta:
sudo firewall-cmd --permanent --remove-source=192.168.2.50
Visame potinklyje paleiskite:
sudo firewall-cmd --permanent --remove-source=192.168.2.50/24
IP adreso blokavimas
Iki šiol matėme, kaip galite pridėti ir pašalinti prievadus ir paslaugas, taip pat įtraukti į baltąjį sąrašą ir pašalinti IP adresus. Norint užblokuoti IP adresą, šiuo tikslu naudojamos raiškiosios taisyklės.
Pavyzdžiui, norėdami užblokuoti IP 192.168.2.50, paleiskite komandą:
sudo firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='192.168.2.50' reject"
Norėdami užblokuoti visą potinklį, paleiskite:
sudo firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='192.168.2.0/24' reject"
Ugniasienės taisyklių išsaugojimas
Jei atlikote kokius nors ugniasienės taisyklių pakeitimus, turite paleisti toliau pateiktą komandą, kad pakeitimai būtų pritaikyti nedelsiant:
sudo firewall-cmd --reload
Užkardos taisyklių peržiūra
Norėdami pamatyti visas ugniasienės taisykles, vykdykite komandą:
sudo firewall-cmd --list-all
Tai užbaigia vadovą, kaip leisti arba apriboti prieigą prie tinklo naudojant FirewallD CentOS/RHEL 8. Tikimės, kad šis vadovas jums buvo naudingas.