PalomuuriD: n määrittäminen RHEL: ssä, CentOS: ssa ja Fedorassa
Net-filter , koska me kaikki tiedämme, että se on palomuuri Linuxissa. Firewalld on dynaaminen daemon hallita palomuureja tukemalla verkkovyöhykkeitä. Aikaisemmassa versiossa RHEL & CentOS 6 olemme käyttäneet iptablesia pakettisuodatuskehyksen demonina. RHEL / CentOS 7/8 -käyttöjärjestelmässä Fedora ja openSUSE - rong> iptables -käyttöliittymä korvataan palomuurilla.
On suositeltavaa aloittaa Firewalld -toiminnon käyttäminen iptablesin sijaan, koska se voi lopettaa tulevaisuudessa. Iptables on kuitenkin edelleen tuettu, ja ne voidaan asentaa yum-komennolla. Emme voi pitää Firewalld ja iptables molempia samassa järjestelmässä, mikä voi johtaa ristiriitaan.
Iptablesissa käytimme aiemmin määrityksiä INPUT, OUTPUT & FORWARD CHAINS , mutta täällä Firewalldissa konsepti käyttää vyöhykkeitä. Oletuksena palomuurissa on käytettävissä erilaisia vyöhykkeitä, joista keskustellaan tässä artikkelissa.
Perusvyöhyke, joka on kuin julkinen ja yksityinen vyöhyke. Jotta asiat toimisivat näiden vyöhykkeiden kanssa, meidän on lisättävä käyttöliittymä määritetyllä vyöhyketukella ja sitten voimme lisätä palvelut palomuuriin.
Oletuksena on, että käytettävissä on monia palveluja, yksi palomuurin parhaista ominaisuuksista on se, että se sisältää ennalta määriteltyjä palveluita ja voimme ottaa nämä palvelut esimerkkinä palvelujemme lisäämiseksi yksinkertaisesti kopioimalla ne.
Firewalld toimii hyvin myös IPv4-, IPv6- ja Ethernet-siltojen kanssa. Palomuurissa voi olla erillinen ajoaika ja pysyvä kokoonpano.
Aloitetaan miten työskentelet vyöhykkeiden kanssa ja luomme omat palvelumme ja paljon mielenkiintoisempaa palomuurin käyttöä.
Operating System : CentOS Linux release 7.0.1406 (Core) IP Address : 192.168.0.55 Host-name : server1.tecmintlocal.com
Vaihe 1: Palomuurin asentaminen CentOSiin
1. Firewalld-paketti asennetaan oletuksena RHEL/CentOS 7/8, Fedora ja openSUSE. Jos ei, voit asentaa sen seuraavalla yum-komennolla.
# yum install firewalld -y
2. Kun palomuuri on asennettu, on aika tarkistaa, onko iptables-palvelu käynnissä vai ei. Jos se on käynnissä, sinun on pysäytettävä ja peitettävä (ei enää käytetä) iptables-palvelu alla olevilla komennoilla.
# systemctl status iptables # systemctl stop iptables # systemctl mask iptables
Vaihe 2: Keskustelu palomuurikomponenteista
3. Ennen kuin palaat palomuurin kokoonpanoon, haluaisin keskustella jokaisesta alueesta. Oletuksena on joitain vyöhykkeitä käytettävissä. Meidän on määritettävä rajapinta vyöhykkeelle. Vyöhyke määrittelee, että vyöhyke, johon luotettiin tai joka oli evätty, on tasoinen käyttöliittymälle yhteyden saamiseksi. Vyöhyke voi sisältää palveluja ja portteja.
Tässä kuvataan kaikki palomuurissa käytettävissä olevat alueet.
- Drop Zone : Kaikki saapuvat paketit pudotetaan, jos käytämme tätä pudotusaluetta. Tämä on sama kuin käytämme lisäämällä iptables -j drop . Jos käytämme pudotussääntöä, tarkoittaa, että vastausta ei ole, vain lähtevät verkkoyhteydet ovat käytettävissä.
- Estä vyöhyke : Estovyöhyke estää saapuvat verkkoyhteydet hylätään, jos icmp-isäntä on kielletty. Vain muodostetut yhteydet palvelimella sallitaan.
- Julkinen alue : Valittujen yhteyksien hyväksymiseksi voimme määrittää säännöt julkisella vyöhykkeellä. Tämä sallii vain tietyn portin avaamisen palvelimellamme, muut yhteydet menetetään.
- Ulkoinen vyöhyke : Tämä vyöhyke toimii reitittimen asetuksina, joiden naamiointi on käytössä, muut yhteydet menetetään ja niitä ei hyväksytä, vain määritetty yhteys sallitaan.
- DMZ-alue : Jos joudumme sallimaan pääsyn joihinkin palveluihin yleisölle, voit määrittää sen DMZ-vyöhykkeellä. Myös tällä on ominaisuus, että vain valitut saapuvat yhteydet hyväksytään.
- Työhyke: Tässä vyöhykkeessä voimme määrittää vain sisäiset verkot, eli yksityisten verkkojen liikenne on sallittua.
- Kotivyöhyke : Tätä vyöhykettä käytetään erityisesti kotialueilla, voimme käyttää tätä vyöhykettä luottamaan muihin verkon tietokoneisiin, jotta ne eivät vahingoita tietokonettasi kuten jokainen vyöhyke. Myös tämä sallii vain valitut saapuvat yhteydet.
- Sisäinen vyöhyke : Tämä on samanlainen kuin työvyöhyke, jossa on valitut sallitut yhteydet.
- Luotettu vyöhyke : Jos asetamme luotettavan vyöhykkeen, kaikki liikenne hyväksytään.
Nyt sinulla on parempi käsitys vyöhykkeistä, nyt selvitetään käytettävissä olevat vyöhykkeet, oletusvyöhykkeet ja luetellaan kaikki vyöhykkeet seuraavilla komennoilla.
# firewall-cmd --get-zones
# firewall-cmd --get-default-zone
# firewall-cmd --list-all-zones
Huomaa: Yllä olevan komennon lähtö ei sovi yhdelle sivulle, koska siinä luetellaan kaikki vyöhykkeet, kuten lohko, dmz, drop, ulkoinen, koti, sisäinen, julkinen, luotettu ja työ. Jos vyöhykkeillä on Rich-sääntöjä, myös käytössä olevat palvelut tai portit luetellaan kyseisten vyöhyketietojen kanssa.
Vaihe 3: Palomuurin oletusalueen asettaminen
4. Jos haluat asettaa oletusvyöhykkeen sisäiseksi, ulkoiseksi, pudotus-, työ- tai muuksi vyöhykkeeksi, voit määrittää oletusvyöhykkeen alla olevan komennon avulla. Tässä käytämme "sisäistä" vyöhykettä oletuksena.
# firewall-cmd --set-default-zone=internal
5. Kun olet asettanut vyöhykkeen, tarkista oletusalue käyttämällä alla olevaa komentoa.
# firewall-cmd --get-default-zone
6. Tässä käyttöliittymämme on enp0s3 . Jos meidän on tarkistettava vyöhykkeemme, jossa rajapinta on rajattu, voimme käyttää alla olevaa komentoa.
# firewall-cmd --get-zone-of-interface=enp0s3
7. Toinen mielenkiintoinen ominaisuus palomuurissa on ”icmptype”, joka on yksi palomuurin tukemista icmp-tyypeistä. Saadaksesi tuettujen icmp-tyyppien luettelon voimme käyttää alla olevaa komentoa.
# firewall-cmd --get-icmptypes
Vaihe 4: Omien palvelujen luominen palomuuriin
8. Palvelut ovat joukko portteja ja asetuksia sisältäviä sääntöjä, joita palomuuri käyttää. Käytössä olevat palvelut ladataan automaattisesti, kun palomuuri-palvelu käynnistyy.
Oletusarvoisesti monet palvelut ovat käytettävissä. Saat luettelon kaikista käytettävissä olevista palveluista seuraavalla komennolla.
# firewall-cmd --get-services
9. Saat luettelon kaikista käytettävissä olevista oletuspalveluista siirtymällä seuraavaan hakemistoon, josta saat luettelon palveluista.
# cd /usr/lib/firewalld/services/
10. Voit luoda oman palvelun määrittelemällä sen seuraavaan sijaintiin. Esimerkiksi tässä haluan lisätä palvelun RTMP-portille 1935, tehdä ensin kopio mistä tahansa palvelusta.
# cd /etc/firewalld/services/ # cp /usr/lib/firewalld/services/ssh.xml /etc/firewalld/services/
Siirry sitten sijaintiin, johon palvelutiedostomme kopioitiin, ja nimeä sitten tiedosto 'ssh.xml' nimeksi 'rtmp.xml' alla olevan kuvan mukaisesti.
# cd /etc/firewalld/services/
11. Avaa ja muokkaa seuraavaksi tiedostoa Otsikko, Kuvaus, Protokolla ja Portin numero , joita meidän on käytettävä RTMP-palvelussa, kuten alla olevassa kuvassa näkyy.
12. Jotta nämä muutokset aktivoituisivat, käynnistä palomuuri uudelleen tai lataa asetukset uudelleen.
# firewall-cmd --reload
13. Vahvista, lisätäänkö palvelu palveluun, suorittamalla alla oleva komento saadaksesi luettelon käytettävissä olevista palveluista.
# firewall-cmd --get-services
Vaihe 5: Palvelujen määrittäminen palomuurialueille
14. Tässä aiomme nähdä kuinka hallita palomuuria käyttämällä palomuuri-cmd-komentoa. Kirjoita seuraava komento tietääksesi palomuurin ja kaikkien aktiivisten vyöhykkeiden nykyisen tilan.
# firewall-cmd --state # firewall-cmd --get-active-zones
15. Saadaksesi käyttöliittymän enp0s3 julkisen vyöhykkeen, tämä on oletuskäyttöliittymä, joka määritetään /etc/firewalld/firewalld.conf -tiedostossa nimellä DefaultZone = julkinen .
Luettelemaan kaikki käytettävissä olevat palvelut tällä oletusliitäntäalueella.
# firewall-cmd --get-service
Vaihe 6: Palvelujen lisääminen palomuurialueille
16. Edellä olevissa esimerkeissä olemme nähneet, miten luodaan omat palvelumme luomalla rtmp-palvelu, tässä näemme, kuinka rtmp-palvelu lisätään myös vyöhykkeeseen.
# firewall-cmd --add-service=rtmp
17. Poista lisätty vyöhyke kirjoittamalla.
# firewall-cmd --zone=public --remove-service=rtmp
Yllä oleva vaihe oli vain väliaikainen jakso. Jotta se olisi pysyvä, meidän on suoritettava alla oleva komento vaihtoehdolla –pysyvä .
# firewall-cmd --add-service=rtmp --permanent # firewall-cmd --reload
18. Määritä verkon lähdealueen säännöt ja avaa mikä tahansa portista. Esimerkiksi, jos haluat avata verkkoalueen, sano ”192.168.0.0/24” ja portti ”1935”, käytä seuraavia komentoja.
# firewall-cmd --permanent --add-source=192.168.0.0/24 # firewall-cmd --permanent --add-port=1935/tcp
Muista ladata palomuuri uudelleen, kun olet lisännyt tai poistanut kaikki palvelut tai portit.
# firewall-cmd --reload # firewall-cmd --list-all
Vaihe 7: Rikkaiden sääntöjen lisääminen verkkoalueelle
19. Jos haluan sallia palvelut, kuten http, https, vnc-server, PostgreSQL, käytät seuraavia sääntöjä. Lisää ensin sääntö ja tee siitä pysyvä ja lataa säännöt uudelleen ja tarkista tila.
# firewall-cmd --add-rich-rule 'rule family="ipv4" source address="192.168.0.0/24" service name="http" accept' # firewall-cmd --add-rich-rule 'rule family="ipv4" source address="192.168.0.0/24" service name="http" accept' --permanent # firewall-cmd --add-rich-rule 'rule family="ipv4" source address="192.168.0.0/24" service name="https" accept' # firewall-cmd --add-rich-rule 'rule family="ipv4" source address="192.168.0.0/24" service name="https" accept' --permanent # firewall-cmd --add-rich-rule 'rule family="ipv4" source address="192.168.0.0/24" service name="vnc-server" accept' # firewall-cmd --add-rich-rule 'rule family="ipv4" source address="192.168.0.0/24" service name="vnc-server" accept' --permanent # firewall-cmd --add-rich-rule 'rule family="ipv4" source address="192.168.0.0/24" service name="postgresql" accept' # firewall-cmd --add-rich-rule 'rule family="ipv4" source address="192.168.0.0/24" service name="postgresql" accept' --permanent
Nyt verkkoalue 192.168.0.0/24 voi käyttää yllä olevaa palvelinta palvelimeltani. Vaihtoehtoa –pysyvä voidaan käyttää jokaisessa säännössä, mutta meidän on määriteltävä sääntö ja tarkistettava asiakkaan pääsystä sen jälkeen, kun se on tehtävä pysyväksi.
20. Kun olet lisännyt yllä olevat säännöt, älä unohda ladata palomuurisääntöjä uudelleen ja luetella säännöt seuraavilla tavoilla:
# firewall-cmd --reload # firewall-cmd --list-all
Jos haluat tietää enemmän palomuurista.
# man firewalld
Siinä kaikki, olemme nähneet, kuinka verkkosuodatin voidaan asentaa Firewalldilla RHEL/CentOS: ssa ja Fedorassa.
Net-filter on kehys palomuurille jokaiselle Linux-jakelulle. Kaikissa RHEL- ja CentOS-versioissa käytimme iptable-ohjelmia, mutta uudemmissa versioissa ne ovat esittäneet Firewalld-sovelluksen. Palomuuria on helpompi ymmärtää ja käyttää. Toivottavasti olet nauttinut kirjoituksesta.