Noderīgi FirewallD noteikumi, lai konfigurētu un pārvaldītu ugunsmūri Linux


Firewalld nodrošina veidu, kā konfigurēt dinamiskos ugunsmūra noteikumus Linux sistēmā, kurus var uzreiz pielietot bez ugunsmūra restartēšanas, kā arī atbalsta D-BUS un zonas koncepcijas, kas atvieglo konfigurēšanu.

Firewalld aizstāja veco Fedora ugunsmūra (Fedora 18 un turpmāk) mehānismu, RHEL/CentOS 7 un citi jaunākie izplatījumi paļaujas uz šo jauno mehānismu. Viens no lielākajiem jaunās ugunsmūra sistēmas ieviešanas motīviem ir tas, ka pēc katras izmaiņas ir nepieciešams restartēt veco ugunsmūri, tādējādi pārtraucot visus aktīvos savienojumus. Kā jau minēts iepriekš, jaunākais ugunsmūris atbalsta dinamiskās zonas, kas ir noderīgi dažādu komandu un noteikumu kopu konfigurēšanai jūsu birojam vai mājas tīklam, izmantojot komandrindu vai izmantojot GUI metodi.

Sākumā ugunsmūra koncepciju izskatās ļoti grūti konfigurēt, taču pakalpojumi un zonas to atvieglo, turot abus kopā, kā aprakstīts šajā rakstā.

Mūsu agrākajā rakstā, kur mēs esam redzējuši, kā spēlēt ar ugunsmūri un tā zonām, tagad šeit, šajā rakstā, mēs redzēsim dažus noderīgus ugunsmūra noteikumus, lai konfigurētu pašreizējās Linux sistēmas, izmantojot komandrindas ceļu.

  1. Ugunsmūra konfigurācija RHEL/CentOS 7

Visi šajā rakstā aplūkotie piemēri ir praktiski pārbaudīti uz CentOS 7 izplatīšanas, kā arī darbojas ar RHEL un Fedora izplatīšanu.

Pirms ugunsmūra noteikumu ieviešanas vispirms pārbaudiet, vai ugunsmūra pakalpojums ir iespējots un darbojas.

# systemctl status firewalld

Iepriekš redzamais attēls parāda, ka firewalld ir aktīvs un darbojas. Ir pienācis laiks pārbaudīt visas aktīvās zonas un aktīvos pakalpojumus.

# firewall-cmd --get-active-zones
# firewall-cmd --get-services

Ja jums ir incase, komandrinda jums nav zināma, jūs varat arī pārvaldīt firewalld no GUI, tāpēc sistēmā ir jābūt instalētai GUI pakotnei, ja ne to instalējat, izmantojot šo komandu.

# yum install firewalld firewall-config

Kā minēts iepriekš, šis raksts ir īpaši rakstīts komandrindas cienītājiem, un visi piemēri, kurus aplūkosim, ir balstīti tikai uz komandrindu, bez GUI veida..Piedod ...

Pirms dodaties tālāk, vispirms pārliecinieties, vai publiskajā zonā konfigurēsit Linux ugunsmūri, un uzskaitiet visus aktīvos pakalpojumus, ostas un bagātīgos publiskās zonas noteikumus, izmantojot šādu komandu.

# firewall-cmd --zone=public --list-all

Iepriekš redzamajā attēlā vēl nav pievienoti aktīvi noteikumi. Pārskatīsim, kā kārtulas pievienot, noņemt un modificēt atlikušajā šī raksta daļā.

1. Ostu pievienošana un noņemšana ugunsmūrī

Lai atvērtu jebkuru publiskās zonas portu, izmantojiet šo komandu. Piemēram, šāda komanda atvērs 80. portu publiskajai zonai.

# firewall-cmd --permanent --zone=public --add-port=80/tcp

Līdzīgi, lai noņemtu pievienoto portu, vienkārši izmantojiet opciju ‘–remove’ ar komandu firewalld, kā parādīts zemāk.

# firewall-cmd --zone=public --remove-port=80/tcp

Pēc noteiktu portu pievienošanas vai noņemšanas, izmantojot opciju ‘–list-ports’, pārliecinieties, vai ports ir pievienots vai noņemts.

# firewall-cmd --zone=public --list-ports

2. Pakalpojumu Firewalld pievienošana un noņemšana

Pēc noklusējuma firewalld nāk ar iepriekš definētiem pakalpojumiem. Ja vēlaties pievienot noteiktu pakalpojumu sarakstu, jums jāizveido jauns xml fails ar visiem failā iekļautajiem pakalpojumiem, vai arī jūs varat arī definēt vai noņemt katru pakalpojumu manuāli, izpildot sekojošo: komandas.

Piemēram, šīs komandas palīdzēs jums pievienot vai noņemt noteiktus pakalpojumus, kā mēs to darījām FTP gadījumā šajā piemērā.

# firewall-cmd --zone=public --add-service=ftp
# firewall-cmd --zone=public --remove-service=ftp
# firewall-cmd --zone=public --list-services

3. Bloķēt ienākošās un izejošās paketes (panikas režīms)

Ja vēlaties bloķēt ienākošos vai izejošos savienojumus, šādu pieprasījumu bloķēšanai jāizmanto panikas ieslēgšanas režīms. Piemēram, šis noteikums atcels jebkuru esošo izveidoto savienojumu sistēmā.

# firewall-cmd --panic-on

Pēc panikas režīma iespējošanas mēģiniet pingēt jebkuru domēnu (teiksim google.com) un pārbaudiet, vai panikas režīms ir IESLĒGTS, izmantojot opciju ‘–query-panic’, kā norādīts zemāk.

# ping google.com -c 1
# firewall-cmd --query-panic

Vai iepriekš redzamajā attēlā redzat, ka panikas vaicājumā rakstīts “Nezināms resursdators google.com”. Tagad mēģiniet atspējot panikas režīmu un pēc tam vēlreiz ping un pārbaudiet.

# firewall-cmd --query-panic
# firewall-cmd --panic-off
# ping google.com -c 1

Tagad šoreiz tiks saņemts ping pieprasījums no google.com ..