Kā ierobežot piekļuvi tīklam, izmantojot ugunsmūri

Kā Linux lietotājs varat izvēlēties atļaut vai ierobežot piekļuvi tīklam dažiem pakalpojumiem vai IP adresēm, izmantojot ugunsmūra ugunsmūri, kura dzimtene ir CentOS/RHEL 8, un lielāko daļu RHEL balstīto izplatījumu, piemēram, Fedora.

Ugunsmūra ugunsmūris izmanto ugunsmūra cmd komandrindas utilītu, lai konfigurētu ugunsmūra kārtulas.

Pirms mēs varam veikt jebkādas konfigurācijas, vispirms iespējojiet ugunsmūra pakalpojumu, izmantojot utilītu systemctl, kā parādīts:

$ sudo systemctl enable firewalld

Kad tas ir iespējots, tagad varat sākt ugunsmūra pakalpojumu, izpildot:

$ sudo systemctl start firewalld

Jūs varat pārbaudīt ugunsmūra statusu, palaižot komandu:

$ sudo systemctl status firewalld

Zemāk esošā izeja apstiprina, ka ugunsmūra pakalpojums darbojas un darbojas.

Noteikumu konfigurēšana, izmantojot Firewalld

Tagad, kad mums darbojas ugunsmūris, mēs varam sākt taisīt dažas konfigurācijas. Firewalld ļauj pievienot un bloķēt porti, melno sarakstu, kā arī baltā saraksta IP adreses, lai nodrošinātu piekļuvi serverim. Kad esat pabeidzis konfigurācijas, vienmēr pārliecinieties, ka esat atkārtoti ielādējis ugunsmūri, lai jaunie noteikumi stātos spēkā.

Lai pievienotu portu, teiksim, HTTPS ports 443, izmantojiet zemāk esošo sintaksi. Ņemiet vērā, ka pēc porta numura jānorāda, vai ports ir TCP vai UDP ports:

$ sudo firewall-cmd --add-port=22/tcp --permanent

Līdzīgi, lai pievienotu UDP portu, norādiet opciju UDP, kā parādīts:

$ sudo firewall-cmd --add-port=53/udp --permanent

Karodziņš --permanent nodrošina, ka kārtulas paliek spēkā arī pēc atsāknēšanas.

Lai bloķētu TCP portu, piemēram, 22. portu, palaidiet komandu.

$ sudo firewall-cmd --remove-port=22/tcp --permanent

Līdzīgi, bloķējot UDP portu, notiks tā pati sintakse:

$ sudo firewall-cmd --remove-port=53/udp --permanent

Tīkla pakalpojumi ir definēti failā/etc/services. Lai atļautu tādu pakalpojumu kā https, izpildiet komandu:

$ sudo firewall-cmd --add-service=https

Lai bloķētu pakalpojumu, piemēram, FTP, izpildiet:

$ sudo firewall-cmd --remove-service=https

Lai ugunsmūrī atļautu vienu IP adresi, izpildiet komandu:

$ sudo firewall-cmd --permanent --add-source=192.168.2.50

Varat arī atļaut IP diapazonu vai visu apakštīklu, izmantojot CIDR (Classless Inter-Domain Routing) apzīmējumu. Piemēram, lai atļautu visu apakštīklu 255.255.255.0 apakštīklā, izpildiet.

$ sudo firewall-cmd --permanent --add-source=192.168.2.0/24

Ja vēlaties noņemt baltā saraksta IP no ugunsmūra, izmantojiet karodziņu --remove-source , kā parādīts:

$ sudo firewall-cmd --permanent --remove-source=192.168.2.50

Visam apakštīklam palaidiet:

$ sudo firewall-cmd --permanent --remove-source=192.168.2.50/24

Līdz šim mēs esam redzējuši, kā jūs varat pievienot un noņemt ostas un pakalpojumus, kā arī iekļaut baltajā sarakstā un noņemt baltā saraksta IP. Lai bloķētu IP adresi, šim nolūkam tiek izmantoti bagātinātie noteikumi.

Piemēram, lai bloķētu IP 192.168.2.50, palaidiet komandu:

$ sudo firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='192.168.2.50' reject"

Lai bloķētu visu apakštīklu, palaidiet:

$ sudo firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='192.168.2.0/24' reject"

Ja esat veicis kādas izmaiņas ugunsmūra noteikumos, palaidiet zemāk esošo komandu, lai izmaiņas tiktu nekavējoties piemērotas:

$ sudo firewall-cmd --reload

Lai palūkotos uz visiem ugunsmūra noteikumiem, izpildiet komandu:

$ sudo firewall-cmd --list-all

Ar šo tiek pabeigta šī rokasgrāmata par to, kā atļaut vai ierobežot piekļuvi tīklam, izmantojot FirewallD vietnē CentOS/RHEL 8. Mēs ceram, ka šī rokasgrāmata jums noderēja.