Kuinka rajoittaa verkon käyttöä palomuurin avullaD

Linux-käyttäjänä voit joko sallia tai rajoittaa verkkoyhteyden joihinkin palveluihin tai IP-osoitteisiin käyttämällä palomuuripalomuuria, joka on kotoisin CentOS/RHEL 8: sta ja useimmista RHEL-pohjaisista jakeluista, kuten Fedora.

Palomuurin palomuuri määrittää palomuurisäännöt palomuuri-cmd-komentorivi-apuohjelmalla.

Ennen kuin voimme suorittaa määrityksiä, sallitaan ensin palomuuri-palvelu systemctl-apuohjelmalla kuvan osoittamalla tavalla:

$ sudo systemctl enable firewalld

Kun se on otettu käyttöön, voit nyt käynnistää palomuuripalvelun suorittamalla:

$ sudo systemctl start firewalld

Voit tarkistaa palomuurin tilan suorittamalla komennon:

$ sudo systemctl status firewalld

Alla oleva lähtö vahvistaa, että palomuuri-palvelu on käynnissä.

Sääntöjen määrittäminen palomuurilla

Nyt kun palomuuri on käynnissä, voimme siirtyä suoraan tekemään joitain määrityksiä. Palomuurin avulla voit lisätä ja estää portteja, mustaa luetteloa sekä sallittujen IP-osoitteita, jotta palvelimelle voidaan päästä. Kun olet määrittänyt kokoonpanot, varmista aina, että lataat palomuurin uudelleen, jotta uudet säännöt tulevat voimaan.

Jos haluat lisätä portin, sano HTTPS: n portti 443, käytä alla olevaa syntaksia. Huomaa, että sinun on määritettävä, onko portti TCP- vai UDP-portti portin numeron jälkeen:

$ sudo firewall-cmd --add-port=22/tcp --permanent

Vastaavasti, jos haluat lisätä UDP-portin, määritä UDP-vaihtoehto kuvan osoittamalla tavalla:

$ sudo firewall-cmd --add-port=53/udp --permanent

--permanent -lippu varmistaa, että säännöt pysyvät voimassa myös uudelleenkäynnistyksen jälkeen.

Voit estää TCP-portin, kuten portin 22, suorittamalla komennon.

$ sudo firewall-cmd --remove-port=22/tcp --permanent

Vastaavasti UDP-portin estäminen noudattaa samaa syntaksia:

$ sudo firewall-cmd --remove-port=53/udp --permanent

Verkkopalvelut määritellään tiedostossa/etc/services. Salli palvelu, kuten https, suorittamalla komento:

$ sudo firewall-cmd --add-service=https

Estä palvelu, esimerkiksi FTP, suorittamalla:

$ sudo firewall-cmd --remove-service=https

Jos haluat sallia yhden IP-osoitteen palomuurissa, suorita komento:

$ sudo firewall-cmd --permanent --add-source=192.168.2.50

Voit myös sallia IP-alueen tai kokonaisen aliverkon käyttämällä CIDR (Classless Inter-Domain Routing) -merkintää. Jos esimerkiksi sallit kokonaisen aliverkon 255.255.255.0-aliverkossa, suorita.

$ sudo firewall-cmd --permanent --add-source=192.168.2.0/24

Jos haluat poistaa sallittujen luettelossa olevan IP-osoitteen palomuurista, käytä --remove-source -lippua kuvan osoittamalla tavalla:

$ sudo firewall-cmd --permanent --remove-source=192.168.2.50

Suorita koko aliverkon kohdalla:

$ sudo firewall-cmd --permanent --remove-source=192.168.2.50/24

Toistaiseksi olemme nähneet, kuinka voit lisätä ja poistaa portteja ja palveluita sekä sallittujen luetteloon lisättyjen IP-osoitteiden lisäämistä sallittujen luetteloon ja poistamista. IP-osoitteen estämiseksi käytetään tähän tarkoitukseen "rich-sääntöjä".

Esimerkiksi estääksesi IP 192.168.2.50, suorita komento:

$ sudo firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='192.168.2.50' reject"

Estä koko aliverkko suorittamalla:

$ sudo firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='192.168.2.0/24' reject"

Jos olet tehnyt muutoksia palomuurisääntöihin, sinun on suoritettava alla oleva komento, jotta muutokset otetaan käyttöön välittömästi:

$ sudo firewall-cmd --reload

Jos haluat kurkistaa palomuurin kaikkia sääntöjä, suorita komento:

$ sudo firewall-cmd --list-all

Tämä päättää tämän oppaan siitä, kuinka sallitaan tai rajoitetaan verkon käyttöä FirOSallD: n avulla CentOS/RHEL 8: lla. Toivomme, että pidit tästä opasta hyödyllisenä.