Hyödyllisiä FirewallD-sääntöjä palomuurin määrittämiseen ja hallintaan Linuxissa
Palomuuri tarjoaa tavan määrittää dynaamisia palomuurisääntöjä Linuxissa, jotka voidaan ottaa käyttöön välittömästi ilman palomuurin uudelleenkäynnistystä. Se tukee myös D-BUS- ja vyöhykekonsepteja, mikä tekee määrityksestä helppoa.
Palomuuri korvasi vanhan Fedoran palomuurimekanismin (Fedora 18 alkaen), RHEL/CentOS 7 ja muut uusimmat jakelut perustuvat tämä uusi mekanismi. Yksi uuden palomuurijärjestelmän käyttöönoton suurimmista motiiveista on se, että vanha palomuuri tarvitsee uudelleenkäynnistyksen jokaisen muutoksen jälkeen, mikä katkaisee kaikki aktiiviset yhteydet. Kuten edellä mainittiin, uusin palomuuri tukee dynaamisia vyöhykkeitä, mikä on hyödyllistä määritettäessä erilaisia vyöhykkeitä ja sääntöjä toimisto- tai kotiverkkoosi komentorivin tai GUI-menetelmän avulla.
Aluksi palomuurikonsepti näyttää erittäin vaikealta määrittää, mutta palvelut ja vyöhykkeet helpottavat sitä pitämällä molemmat yhdessä, kuten tässä artikkelissa käsitellään.
Aiemmassa artikkelissamme, jossa olemme nähneet kuinka pelata palomuurilla ja sen vyöhykkeillä, nyt tässä, tässä artikkelissa, näemme hyödyllisiä palomuurisääntöjä nykyisten Linux-järjestelmien määrittämiseen komentorivin avulla.
- Palomuurin määritys RHEL/CentOS 7:ssä
Kaikki tässä artikkelissa käsitellyt esimerkit on käytännössä testattu CentOS 7 -jakelussa, ja ne toimivat myös RHEL- ja Fedora-jakeluissa.
Ennen kuin otat palomuurisäännöt käyttöön, tarkista ensin, onko palomuuripalvelu käytössä ja käynnissä.
systemctl status firewalld
Yllä oleva kuva näyttää, että palomuuri on aktiivinen ja käynnissä. Nyt on aika tarkistaa kaikki aktiiviset vyöhykkeet ja aktiiviset palvelut.
firewall-cmd --get-active-zones
firewall-cmd --get-services
Jos et ole perehtynyt komentoriville, voit hallita palomuuria myös graafisesta käyttöliittymästä, tätä varten sinulla on oltava GUI-paketti asennettuna järjestelmään, jos et asenna se seuraavalla komennolla.
yum install firewalld firewall-config
Kuten edellä mainittiin, tämä artikkeli on kirjoitettu erityisesti komentorivin ystäville, ja kaikki esimerkit, jotka aiomme kattaa, perustuvat vain komentoriville, ei GUI-tapaa.. sorry....
Ennen kuin siirryt eteenpäin, varmista ensin, mihin julkiseen vyöhykkeeseen aiot määrittää Linux-palomuurin, ja luettele kaikki aktiiviset palvelut, portit ja julkisen vyöhykkeen monipuoliset säännöt käyttämällä seuraavaa komentoa.
firewall-cmd --zone=public --list-all
Yllä olevassa kuvassa ei ole vielä lisätty aktiivisia sääntöjä, katsotaan kuinka lisätä, poistaa ja muokata sääntöjä tämän artikkelin loppuosassa….
1. Porttien lisääminen ja poistaminen Firewallissa
Voit avata minkä tahansa portin julkiselle vyöhykkeelle käyttämällä seuraavaa komentoa. Esimerkiksi seuraava komento avaa portin 80 julkiselle vyöhykkeelle.
firewall-cmd --permanent --zone=public --add-port=80/tcp
Vastaavasti voit poistaa lisätyn portin käyttämällä '–remove' -vaihtoehtoa palomuurikomennolla alla kuvatulla tavalla.
firewall-cmd --zone=public --remove-port=80/tcp
Kun olet lisännyt tai poistanut tiettyjä portteja, varmista valitsemalla –list-ports, onko portti lisätty vai poistettu.
firewall-cmd --zone=public --list-ports
2. Palvelujen lisääminen ja poistaminen Firewallissa
Oletusarvoisesti palomuuri sisältää ennalta määritetyt palvelut, jos haluat lisätä luettelon tietyistä palveluista, sinun on luotava uusi xml-tiedosto, jossa on kaikki tiedostoon sisältyvät palvelut tai muuten voit myös määrittää tai poistaa jokaisen palvelun manuaalisesti suorittamalla seuraavat komentoja.
Esimerkiksi seuraavat komennot auttavat sinua lisäämään tai poistamaan tiettyjä palveluita, kuten teimme FTP:lle tässä esimerkissä.
firewall-cmd --zone=public --add-service=ftp
firewall-cmd --zone=public --remove-service=ftp
firewall-cmd --zone=public --list-services
3. Estä saapuvat ja lähtevät paketit (paniikkitila)
Jos haluat estää saapuvat tai lähtevät yhteydet, sinun on käytettävä paniikki päällä -tilaa estääksesi tällaiset pyynnöt. Esimerkiksi seuraava sääntö katkaisee kaikki olemassa olevat järjestelmään muodostetut yhteydet.
firewall-cmd --panic-on
Kun olet ottanut paniikkitilan käyttöön, yritä lähettää ping-kutsu mille tahansa verkkotunnukselle (kuten google.com) ja tarkista, onko paniikkitila ON –query-panic-komennolla. >' vaihtoehto alla luetellulla tavalla.
ping google.com -c 1
firewall-cmd --query-panic
Näetkö yllä olevassa kuvassa paniikkikyselyssä "Tuntematon isäntä google.com". Yritä nyt poistaa paniikkitila käytöstä ja sitten vielä kerran ping ja tarkista.
firewall-cmd --query-panic
firewall-cmd --panic-off
ping google.com -c 1
Tällä kertaa google.com lähettää ping-pyynnön.