Hyödylliset FirewallD-säännöt palomuurin määrittämiseen ja hallintaan Linuxissa
Palomuuri tarjoaa tavan määrittää dynaamiset palomuurisäännöt Linuxissa, joita voidaan käyttää välittömästi ilman palomuurin uudelleenkäynnistystä, ja se tukee myös D-BUS- ja vyöhykekonsepteja, mikä tekee määrityksistä helppoja.
Palomuuri korvasi vanhan Fedoran palomuurimekanismin (Fedora 18 eteenpäin), RHEL/CentOS 7 ja muut uusimmat jakelut perustuvat tähän uuteen mekanismiin. Yksi suurimmista motiiveista uuden palomuurijärjestelmän käyttöönotossa on, että vanha palomuuri on käynnistettävä uudelleen jokaisen muutoksen jälkeen, mikä katkaisee kaikki aktiiviset yhteydet. Kuten edellä todettiin, viimeisin palomuuri tukee dynaamisia vyöhykkeitä, mikä on hyödyllistä määritettäessä erilaisia vyöhykkeitä ja sääntöjä toimistollesi tai kotiverkkoosi komentorivin tai GUI-menetelmän avulla.
Aluksi palomuuri-konseptin näyttäminen on erittäin vaikeaa, mutta palvelut ja vyöhykkeet helpottavat pitämällä molemmat yhdessä tämän artikkelin mukaisesti.
Aikaisemmassa artikkelissamme, jossa olemme nähneet kuinka pelata palomuurilla ja sen vyöhykkeillä, näemme nyt tässä artikkelissa hyödyllisiä palomuurisääntöjä nykyisten Linux-järjestelmiesi määrittämiseksi komentorivillä.
- Palomuurin määritykset RHEL/CentOS 7: ssä
Kaikki tämän artikkelin kattamat esimerkit on käytännössä testattu CentOS 7 -jakelussa, ja ne toimivat myös RHEL- ja Fedora-jakelujen kanssa.
Varmista ennen palomuurisääntöjen käyttöönottoa, että palomuuri-palvelu on käytössä ja käynnissä.
# systemctl status firewalld
Yllä oleva kuva osoittaa, että palomuuri on aktiivinen ja käynnissä. Nyt on aika tarkistaa kaikki aktiiviset vyöhykkeet ja aktiiviset palvelut.
# firewall-cmd --get-active-zones # firewall-cmd --get-services
Jos incase, et ole perehtynyt komentoriviin, voit hallita palomuuria myös käyttöliittymästä. Tätä varten sinun on asennettava järjestelmään GUI-paketti, ellet asenna sitä seuraavalla komennolla.
# yum install firewalld firewall-config
Kuten edellä mainittiin, tämä artikkeli on kirjoitettu erityisesti komentorivin ystäville ja kaikki esimerkit, jotka aiomme käsitellä, perustuvat vain komentoriville, ei GUI-tapaa .. anteeksi ... ..
Ennen kuin siirryt eteenpäin, varmista ensin, että määrität minkä julkisen vyöhykkeen aiot määrittää Linux-palomuurin, ja listaa kaikki aktiiviset palvelut, portit ja julkisen vyöhykkeen rikas säännöt seuraavan komennon avulla.
# firewall-cmd --zone=public --list-all
Yllä olevassa kuvassa ei ole vielä lisätty mitään aktiivisia sääntöjä. Katsotaanpa, miten sääntöjä lisätään, poistetaan ja muokataan tämän artikkelin jäljellä olevassa osassa ...
1. Palomuurin porttien lisääminen ja poistaminen
Voit avata minkä tahansa portin julkiselle alueelle seuraavalla komennolla. Esimerkiksi seuraava komento avaa portin 80 julkiselle alueelle.
# firewall-cmd --permanent --zone=public --add-port=80/tcp
Samoin poistaaksesi lisätyn portin, käytä vain ”–remove” -asetusta palomuurilla alla olevan kuvan mukaisesti.
# firewall-cmd --zone=public --remove-port=80/tcp
Kun olet lisännyt tai poistanut tiettyjä portteja, varmista, että portti on lisätty vai poistettu, käyttämällä ‘–list-ports’ -vaihtoehtoa.
# firewall-cmd --zone=public --list-ports
2. Palvelujen lisääminen ja poistaminen palomuurissa
Palomuurin mukana toimitetaan oletusarvoisesti ennalta määritetyt palvelut. Jos haluat lisätä luettelon tietyistä palveluista, sinun on luotava uusi xml-tiedosto, johon sisältyvät kaikki tiedostoon sisältyvät palvelut, tai muuten voit myös määrittää tai poistaa kunkin palvelun manuaalisesti suorittamalla komentoja.
Esimerkiksi seuraavat komennot auttavat sinua lisäämään tai poistamaan tiettyjä palveluita, kuten teimme FTP: lle tässä esimerkissä.
# firewall-cmd --zone=public --add-service=ftp # firewall-cmd --zone=public --remove-service=ftp # firewall-cmd --zone=public --list-services
3. Estä saapuvat ja lähtevät paketit (paniikkitila)
Jos haluat estää saapuvat tai lähtevät yhteydet, sinun on käytettävä paniikkitilaa tällaisten pyyntöjen estämiseen. Esimerkiksi seuraava sääntö pudottaa kaikki olemassa olevat yhteydet järjestelmään.
# firewall-cmd --panic-on
Kun olet ottanut paniikkitilan käyttöön, yritä pingata mitä tahansa verkkotunnusta (sanoa google.com) ja tarkista, onko paniikkitila päällä, käyttämällä alla olevaa ”–query-panic” -vaihtoehtoa.
# ping google.com -c 1 # firewall-cmd --query-panic
Näetkö yllä olevassa kuvassa, paniikkikysely sanoo "Tuntematon isäntä google.com". Yritä nyt poistaa paniikkitila käytöstä ja sitten vielä kerran pingata ja tarkistaa.
# firewall-cmd --query-panic # firewall-cmd --panic-off # ping google.com -c 1
Nyt tällä kertaa lähetetään ping-pyyntö osoitteesta google.com.