Naudingos „FirewallD“ taisyklės, kaip konfigūruoti ir valdyti „Linux“ ugniasienę
Firewalld suteikia galimybę sukonfigūruoti dinamines užkardos taisykles sistemoje „Linux“, kurias galima taikyti nedelsiant, nereikalaujant iš naujo paleisti užkardos, taip pat palaiko D-BUS ir zonų koncepcijas, o tai palengvina konfigūravimą.
Firewalld pakeitė seną „Fedora“ užkardos („Fedora 18“ ir toliau) mechanizmą, „RHEL/CentOS 7“ ir kiti naujausi paskirstymai remiasi šiuo nauju mechanizmu. Vienas didžiausių naujos ugniasienės sistemos įdiegimo motyvų yra tai, kad seną užkardą reikia iš naujo paleisti atlikus kiekvieną pakeitimą, taip nutraukiant visus aktyvius ryšius. Kaip minėta aukščiau, naujausia užkarda palaiko dinamines zonas, kurios yra naudingos konfigūruojant skirtingus zonų ir taisyklių rinkinius jūsų biurui ar namų tinklui per komandų eilutę arba naudojant GUI metodą.
Iš pradžių „firewalld“ koncepciją atrodo labai sunku sukonfigūruoti, tačiau paslaugos ir zonos palengvina išlaikant abi kartu, kaip aprašyta šiame straipsnyje.
Mūsų ankstesniame straipsnyje, kuriame mes matėme, kaip žaisti su užkarda ir jos zonomis, dabar čia, šiame straipsnyje, pamatysime keletą naudingų užkardos taisyklių, kad galėtumėte konfigūruoti dabartines „Linux“ sistemas naudodami komandų eilutės būdą.
- Užkardos konfigūracija „RHEL/CentOS 7“
Visi šiame straipsnyje aptarti pavyzdžiai yra praktiškai išbandyti naudojant „CentOS 7“ paskirstymą, taip pat veikia su „RHEL“ ir „Fedora“ paskirstymais.
Prieš diegdami užkardos taisykles, pirmiausia patikrinkite, ar įjungta ir veikia užkardos paslauga.
# systemctl status firewalld
Aukščiau pateiktame paveikslėlyje parodyta, kad „firewalld“ yra aktyvi ir veikia. Dabar atėjo laikas patikrinti visas aktyvias zonas ir aktyvias paslaugas.
# firewall-cmd --get-active-zones # firewall-cmd --get-services
Jei esate „incase“, jūs nesate susipažinę su komandine eilute, taip pat galite valdyti užkardą iš GUI, todėl sistemoje turite įdiegti GUI paketą, jei ne įdiegti naudodami šią komandą.
# yum install firewalld firewall-config
Kaip minėta pirmiau, šis straipsnis yra specialiai parašytas komandų eilutės mėgėjams, o visi pavyzdžiai, kuriuos mes apžvelgsime, yra pagrįsti tik komandine eilute, be GUI būdo..Deja, ...
Prieš eidami toliau, pirmiausia įsitikinkite, kurioje viešojoje zonoje sukonfigūruosite „Linux“ ugniasienę, ir naudodami šią komandą išvardykite visas aktyvias viešosios zonos paslaugas, prievadus ir turtingas taisykles.
# firewall-cmd --zone=public --list-all
Anksčiau pateiktame paveikslėlyje dar nėra pridėta jokių aktyvių taisyklių. Pažiūrėkime, kaip pridėti, pašalinti ir modifikuoti taisykles likusioje šio straipsnio dalyje.
1. „Firewalld“ uostų pridėjimas ir pašalinimas
Norėdami atidaryti bet kurį viešosios zonos prievadą, naudokite šią komandą. Pavyzdžiui, ši komanda atidarys 80 prievadą viešajai zonai.
# firewall-cmd --permanent --zone=public --add-port=80/tcp
Panašiai, jei norite pašalinti pridėtą prievadą, tiesiog naudokite parinktį „–remove“ su ugniasienės komanda, kaip parodyta žemiau.
# firewall-cmd --zone=public --remove-port=80/tcp
Pridėję arba pašalinę konkrečius prievadus, naudodami parinktį „–lista-prievadai“ įsitikinkite, kad prievadas pridėtas ar pašalintas.
# firewall-cmd --zone=public --list-ports
2. „Firewalld“ paslaugų pridėjimas ir pašalinimas
Pagal numatytuosius nustatymus „firewalld“ ateina su iš anksto nustatytomis paslaugomis. Jei norite pridėti konkrečių paslaugų sąrašą, turite sukurti naują xml failą su visomis į failą įtrauktomis paslaugomis. Priešingu atveju taip pat galite apibrėžti arba pašalinti kiekvieną paslaugą rankiniu būdu, vykdydami šiuos veiksmus: komandos.
Pvz., Šios komandos padės jums pridėti ar pašalinti konkrečias paslaugas, kaip mes padarėme FTP atveju šiame pavyzdyje.
# firewall-cmd --zone=public --add-service=ftp # firewall-cmd --zone=public --remove-service=ftp # firewall-cmd --zone=public --list-services
3. Blokuokite gaunamus ir siunčiamus paketus (panikos režimas)
Jei norite užblokuoti bet kokius gaunamus ar siunčiamus ryšius, turite naudoti „panikos įjungimo“ režimą, kad užblokuotumėte tokias užklausas. Pavyzdžiui, ši taisyklė panaikins bet kokį esamą užmegztą ryšį sistemoje.
# firewall-cmd --panic-on
Įjungę panikos režimą, pabandykite persijungti bet kurį domeną (tarkime, google.com) ir patikrinkite, ar panikos režimas įjungtas, naudodami parinktį „–klausa-panika“, kaip nurodyta toliau.
# ping google.com -c 1 # firewall-cmd --query-panic
Ar matote aukščiau esančiame paveikslėlyje, panikos užklausoje sakoma „Nežinomas pagrindinio kompiuterio google.com“. Dabar pabandykite išjungti panikos režimą, tada dar kartą patikrinkite ir patikrinkite.
# firewall-cmd --query-panic # firewall-cmd --panic-off # ping google.com -c 1
Dabar šį kartą bus pateikta ping užklausa iš google.com ..