Wyszukiwanie w witrynie

Przydatne reguły „FirewallD” do konfiguracji i zarządzania zaporą sieciową w systemie Linux

Firewalld umożliwia konfigurowanie dynamicznych reguł zapory sieciowej w systemie Linux, które można zastosować natychmiast, bez konieczności ponownego uruchamiania zapory, a także obsługuje koncepcje D-BUS i stref, co ułatwia konfigurację.

Firewalld zastąpił mechanizm starej zapory ogniowej Fedory (Fedora 18 i nowsze), RHEL/CentOS 7 i inne najnowsze dystrybucje opierają się na ten nowy mechanizm. Jednym z głównych motywów wprowadzenia nowego systemu firewall jest to, że stary firewall wymaga ponownego uruchomienia po każdej zmianie, co powoduje zerwanie wszystkich aktywnych połączeń. Jak powiedziano powyżej, najnowsza zapora sieciowa obsługuje strefy dynamiczne, co jest przydatne przy konfigurowaniu różnych zestawów stref i reguł dla sieci biurowej lub domowej za pomocą wiersza poleceń lub metody GUI.

Początkowo koncepcja zapory ogniowej wydaje się bardzo trudna do skonfigurowania, ale usługi i strefy ułatwiają to, łącząc oba elementy, jak opisano w tym artykule.

W naszym wcześniejszym artykule, w którym widzieliśmy, jak bawić się zaporą ogniową i jej strefami, teraz w tym artykule zobaczymy kilka przydatnych reguł zapory ogniowej do konfigurowania obecnych systemów Linux przy użyciu wiersza poleceń.

  1. Konfiguracja zapory ogniowej w RHEL/CentOS 7

Wszystkie przykłady omówione w tym artykule zostały praktycznie przetestowane na dystrybucji CentOS 7, a także działają na dystrybucjach RHEL i Fedora.

Przed wdrożeniem reguł zapory należy najpierw sprawdzić, czy usługa zapory jest włączona i działa.

systemctl status firewalld

Powyższy obrazek pokazuje, że zapora ogniowa jest aktywna i działa. Teraz czas sprawdzić wszystkie aktywne strefy i aktywne usługi.

firewall-cmd --get-active-zones
firewall-cmd --get-services

Jeśli nie znasz wiersza poleceń, możesz także zarządzać zaporą ogniową z GUI, w tym celu musisz mieć zainstalowany pakiet GUI w systemie, jeśli nie, zainstaluj go za pomocą następującego polecenia.

yum install firewalld firewall-config

Jak powiedziano powyżej, ten artykuł jest napisany specjalnie dla miłośników wiersza poleceń, a wszystkie przykłady, które omówimy, opierają się wyłącznie na wierszu poleceń, bez interfejsu GUI… przepraszam…..

Zanim przejdziesz dalej, najpierw upewnij się, w której strefie publicznej zamierzasz skonfigurować zaporę systemu Linux i wyświetl listę wszystkich aktywnych usług, portów i bogatych reguł dla strefy publicznej za pomocą następującego polecenia.

firewall-cmd --zone=public --list-all

Na powyższym obrazku nie dodano jeszcze żadnych aktywnych reguł, zobaczmy, jak dodawać, usuwać i modyfikować reguły w dalszej części tego artykułu….

1. Dodawanie i usuwanie portów w zaporze Firewalld

Aby otworzyć dowolny port dla strefy publicznej, użyj następującego polecenia. Na przykład następujące polecenie otworzy port 80 dla strefy publicznej.

firewall-cmd --permanent --zone=public --add-port=80/tcp

Podobnie, aby usunąć dodany port, po prostu użyj opcji „–remove” z poleceniem firewalld, jak pokazano poniżej.

firewall-cmd --zone=public --remove-port=80/tcp

Po dodaniu lub usunięciu określonych portów upewnij się, że port został dodany lub usunięty, korzystając z opcji „–list-ports”.

firewall-cmd --zone=public --list-ports

2. Dodawanie i usuwanie usług w zaporze Firewalld

Domyślnie zapora sieciowa zawiera predefiniowane usługi. Jeśli chcesz dodać listę konkretnych usług, musisz utworzyć nowy plik xml ze wszystkimi usługami zawartymi w pliku. Możesz także ręcznie zdefiniować lub usunąć każdą usługę, uruchamiając następujące czynności polecenia.

Na przykład poniższe polecenia pomogą Ci dodać lub usunąć określone usługi, tak jak zrobiliśmy to w przypadku FTP w tym przykładzie.

firewall-cmd --zone=public --add-service=ftp
firewall-cmd --zone=public --remove-service=ftp
firewall-cmd --zone=public --list-services

3. Blokuj pakiety przychodzące i wychodzące (tryb paniki)

Jeśli chcesz zablokować połączenia przychodzące lub wychodzące, musisz użyć trybu „paniki”, aby zablokować takie żądania. Na przykład poniższa reguła usunie wszelkie istniejące połączenia w systemie.

firewall-cmd --panic-on

Po włączeniu trybu paniki spróbuj pingować dowolną domenę (powiedzmy google.com) i sprawdź, czy tryb paniki jest WŁĄCZONY, używając polecenia „–query-panic >” opcja wymieniona poniżej.

ping google.com -c 1
firewall-cmd --query-panic

Czy widzisz na powyższym obrazku, że zapytanie paniki brzmi „Nieznany host google.com”. Teraz spróbuj wyłączyć tryb paniki, a następnie jeszcze raz pinguj i sprawdź.

firewall-cmd --query-panic
firewall-cmd --panic-off
ping google.com -c 1

Teraz tym razem pojawi się żądanie ping z google.com..