Kaip apriboti prieigą prie tinklo naudojant FirewallD

Kaip „Linux“ naudotojas, galite pasirinkti leisti arba apriboti tinklo prieigą prie kai kurių paslaugų arba IP adresų naudodami ugniasienės užkardą, kuri yra sukurta CentOS/RHEL 8 ir daugumai RHEL. pagrįsti platinimai, pvz., Fedora.

Užkarda ugniasienė naudoja komandų eilutės įrankį firewall-cmd ugniasienės taisyklėms konfigūruoti.

Prieš atlikdami konfigūraciją, pirmiausia įgalinkime firewalld paslaugą naudodami „systemctl“ įrankį, kaip parodyta:

sudo systemctl enable firewalld

Kai įgalinta, dabar galite paleisti ugniasienės paslaugą, vykdydami:

sudo systemctl start firewalld

Galite patikrinti ugniasienės būseną vykdydami komandą:

sudo systemctl status firewalld

Toliau pateikta išvada patvirtina, kad užkardos paslauga veikia ir veikia.

Taisyklių konfigūravimas naudojant ugniasienę

Dabar, kai veikia ugniasienė, galime iškart atlikti kai kurias konfigūracijas. Ugniasienė leidžia pridėti ir blokuoti prievadus, juodąjį sąrašą, taip pat į baltąjį sąrašą įtraukti IP adresus, kad būtų suteikta prieiga prie serverio. Atlikę konfigūraciją, visada įsitikinkite, kad iš naujo įkeliate užkardą, kad naujos taisyklės įsigaliotų.

TCP/UDP prievado pridėjimas

Norėdami pridėti prievadą, pasakykite prievadą 443, skirtą HTTPS, naudokite toliau pateiktą sintaksę. Atminkite, kad po prievado numerio turite nurodyti, ar prievadas yra TCP, ar UDP prievadas:

sudo firewall-cmd --add-port=22/tcp --permanent

Panašiai, norėdami pridėti UDP prievadą, nurodykite parinktį UDP, kaip parodyta:

sudo firewall-cmd --add-port=53/udp --permanent

Žyma --permanent užtikrina, kad taisyklės išliktų net ir paleidus iš naujo.

TCP/UDP prievado blokavimas

Norėdami užblokuoti TCP prievadą, pvz., 22 prievadą, paleiskite komandą.

sudo firewall-cmd --remove-port=22/tcp --permanent

Panašiai, blokuojant UDP prievadą, bus taikoma ta pati sintaksė:

sudo firewall-cmd --remove-port=53/udp --permanent

Paslaugos leidimas

Tinklo paslaugos apibrėžtos /etc/services faile. Norėdami leisti paslaugą, pvz., https, vykdykite komandą:

sudo firewall-cmd --add-service=https

Paslaugos blokavimas

Norėdami užblokuoti paslaugą, pvz., FTP, vykdykite:

sudo firewall-cmd --remove-service=https

IP adreso įtraukimas į baltąjį sąrašą

Norėdami leisti vieną IP adresą per užkardą, vykdykite komandą:

sudo firewall-cmd --permanent --add-source=192.168.2.50

Taip pat galite leisti IP diapazoną arba visą potinklį naudodami CIDR (Classless Inter-Domain Routing) žymėjimą. Pavyzdžiui, norėdami leisti visą potinklį 255.255.255.0 potinklyje, paleiskite.

sudo firewall-cmd --permanent --add-source=192.168.2.0/24

Į baltąjį sąrašą įtraukto IP adreso pašalinimas

Jei norite pašalinti ugniasienės į baltąjį sąrašą įtrauktą IP, naudokite vėliavėlę --remove-source, kaip parodyta:

sudo firewall-cmd --permanent --remove-source=192.168.2.50

Visame potinklyje paleiskite:

sudo firewall-cmd --permanent --remove-source=192.168.2.50/24

IP adreso blokavimas

Iki šiol matėme, kaip galite pridėti ir pašalinti prievadus ir paslaugas, taip pat įtraukti į baltąjį sąrašą ir pašalinti IP adresus. Norint užblokuoti IP adresą, šiuo tikslu naudojamos raiškiosios taisyklės.

Pavyzdžiui, norėdami užblokuoti IP 192.168.2.50, paleiskite komandą:

sudo firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='192.168.2.50' reject"

Norėdami užblokuoti visą potinklį, paleiskite:

sudo firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='192.168.2.0/24' reject"

Ugniasienės taisyklių išsaugojimas

Jei atlikote kokius nors ugniasienės taisyklių pakeitimus, turite paleisti toliau pateiktą komandą, kad pakeitimai būtų pritaikyti nedelsiant:

sudo firewall-cmd --reload

Užkardos taisyklių peržiūra

Norėdami pamatyti visas ugniasienės taisykles, vykdykite komandą:

sudo firewall-cmd --list-all

Tai užbaigia vadovą, kaip leisti arba apriboti prieigą prie tinklo naudojant FirewallD CentOS/RHEL 8. Tikimės, kad šis vadovas jums buvo naudingas.