Vyhledávání na webu

Užitečná pravidla 'FirewallD' pro konfiguraci a správu brány firewall v systému Linux

Firewalld poskytuje způsob, jak nakonfigurovat dynamická pravidla brány firewall v Linuxu, která lze použít okamžitě, bez nutnosti restartování brány firewall, a také podporuje koncepty D-BUS a zón, což usnadňuje konfiguraci.

Firewalld nahradil starý mechanismus firewallu Fedory (Fedora 18 a novější), RHEL/CentOS 7 a další nejnovější distribuce, na které se spoléhají tento nový mechanismus. Jedním z největších motivů zavedení nového systému firewallu je, že starý firewall potřebuje po každé změně restart, čímž dojde k přerušení všech aktivních spojení. Jak bylo řečeno výše, nejnovější firewall podporuje dynamické zóny, což je užitečné při konfiguraci různých sad zón a pravidel pro vaši kancelářskou nebo domácí síť pomocí příkazového řádku nebo pomocí metody GUI.

Zpočátku se zdá, že konfigurace firewallu je velmi obtížná, ale služby a zóny to usnadňují tím, že jsou obě pohromadě, jak je popsáno v tomto článku.

V našem dřívějším článku, kde jsme viděli, jak si hrát s firewallem a jeho zónami, nyní zde, v tomto článku, uvidíme některá užitečná pravidla firewallu pro konfiguraci vašich současných systémů Linux pomocí příkazového řádku.

  1. Konfigurace firewallu v RHEL/CentOS 7

Všechny příklady uvedené v tomto článku jsou prakticky testovány na distribuci CentOS 7 a fungují také na distribucích RHEL a Fedora.

Před implementací pravidel brány firewall nejprve zkontrolujte, zda je povolena a spuštěna služba brány firewall.

systemctl status firewalld

Výše uvedený obrázek ukazuje, že firewalld je aktivní a běží. Nyní je čas zkontrolovat všechny aktivní zóny a aktivní služby.

firewall-cmd --get-active-zones
firewall-cmd --get-services

Pokud zapouzdřit, neznáte příkazový řádek, můžete firewalld spravovat také z GUI, k tomu musíte mít v systému nainstalovaný balíček GUI, pokud jej nenainstalujete pomocí následujícího příkazu.

yum install firewalld firewall-config

Jak již bylo řečeno výše, tento článek je speciálně napsán pro milovníky příkazového řádku a všechny příklady, které si probereme, jsou založeny pouze na příkazovém řádku, bez GUI.. omlouvám se…..

Než se přesunete dále, nejprve se ujistěte, že jste potvrdili, ve které veřejné zóně chcete nakonfigurovat linuxový firewall, a pomocí následujícího příkazu vypište všechny aktivní služby, porty a rozšířená pravidla pro veřejnou zónu.

firewall-cmd --zone=public --list-all

Na obrázku výše ještě nejsou přidána žádná aktivní pravidla, pojďme se podívat, jak pravidla přidávat, odstraňovat a upravovat ve zbývající části tohoto článku….

1. Přidání a odebrání portů v bráně Firewalld

Chcete-li otevřít libovolný port pro veřejnou zónu, použijte následující příkaz. Například následující příkaz otevře port 80 pro veřejnou zónu.

firewall-cmd --permanent --zone=public --add-port=80/tcp

Podobně, chcete-li odebrat přidaný port, stačí použít možnost „–remove“ s příkazem firewalld, jak je znázorněno níže.

firewall-cmd --zone=public --remove-port=80/tcp

Po přidání nebo odebrání konkrétních portů zkontrolujte, zda je port přidán nebo odebrán pomocí možnosti „–list-ports“.

firewall-cmd --zone=public --list-ports

2. Přidávání a odebírání služeb v bráně firewall

Ve výchozím nastavení je firewalld dodáván s předdefinovanými službami, pokud chcete přidat seznam konkrétních služeb, musíte vytvořit nový xml soubor se všemi službami zahrnutými v souboru, nebo můžete také definovat nebo odebrat každou službu ručně spuštěním následujícího příkazy.

Například následující příkazy vám pomohou přidat nebo odebrat konkrétní služby, jako jsme to udělali pro FTP zde v tomto příkladu.

firewall-cmd --zone=public --add-service=ftp
firewall-cmd --zone=public --remove-service=ftp
firewall-cmd --zone=public --list-services

3. Blokujte příchozí a odchozí pakety (Panic Mode)

Pokud si přejete zablokovat jakákoli příchozí nebo odchozí připojení, musíte k blokování takových požadavků použít režim „panic-on“. Například následující pravidlo zruší jakékoli existující navázané připojení v systému.

firewall-cmd --panic-on

Po aktivaci panického režimu zkuste pingnout jakoukoli doménu (řekněme google.com) a pomocí „–query-panic zkontrolujte, zda je panický režim ZAPNUTÝ >', jak je uvedeno níže.

ping google.com -c 1
firewall-cmd --query-panic

Vidíte na obrázku výše, že panický dotaz říká „Neznámý hostitel google.com“. Nyní zkuste vypnout režim paniky a pak ještě jednou ping a zkontrolujte.

firewall-cmd --query-panic
firewall-cmd --panic-off
ping google.com -c 1

Tentokrát se objeví požadavek ping z google.com..