Kuidas seadistada tulemüüri D RHEL-is, CentOS-is ja Fedoras
Net-filter , kuna me kõik teame, et see on Linuxi tulemüür. Firewalld on dünaamiline deemon võrgutsoonide toega tulemüüride haldamiseks. Varasemas versioonis RHEL & CentOS 6 oleme pakettide filtreerimise raamistiku deemonina kasutanud iptablesi. Rakenduses RHEL / CentOS 7/8 asendatakse liides Fedora ja openSUSE - rong> iptables tulemüüriga.
Soovitatav on hakata iptable'i asemel kasutama tulemüüri , kuna see võib tulevikus katkeda. Kuid iptables on endiselt toetatud ja neid saab installida käsuga yum. Me ei saa tulemüüri ja iptable i mõlemaid samas süsteemis hoida, mis võib põhjustada konflikti.
Rakenduses iptables konfigureeriti varem kui INPUT, OUTPUT & FORWARD CHAINS , kuid siin tulemüüris kasutab kontseptsioon tsoone. Vaikimisi on tulemüüris saadaval erinevad tsoonid, mida käsitletakse selles artiklis.
Põhitsoon, mis on nagu avalik tsoon ja eratsoon. Nende tsoonidega toimimiseks peame lisama liidese määratud tsoonitoega ja seejärel saame teenused lisada tulemüüri.
Vaikimisi on saadaval palju teenuseid, tulemüüri üks parimaid omadusi on see, et sellega kaasnevad eelnevalt määratletud teenused ja võime neid teenuseid lisada näiteks oma teenuste lisamiseks, lihtsalt neid kopeerides.
Firewalld töötab suurepäraselt ka IPv4, IPv6 ja Etherneti sildadega. Meil võib olla tulemüüris eraldi tööaeg ja püsiv konfiguratsioon.
Alustame tsoonidega töötamist ja oma teenuste loomist ning tulemüüri palju põnevamat kasutamist.
Operating System : CentOS Linux release 7.0.1406 (Core) IP Address : 192.168.0.55 Host-name : server1.tecmintlocal.com
1. samm: tulemüüri installimine CentOS-i
1. Firewalldi pakett on vaikimisi installitud RHEL/CentOS 7/8, Fedora ja openSUSE. Kui ei, saate selle installida järgmise käsu yum abil.
# yum install firewalld -y
2. Pärast tulemüüri paketi installimist on aeg kontrollida, kas iptables-teenus töötab või mitte, kui see töötab, peate iptables-i teenuse peatama ja maskeerima (mitte enam kasutama) järgmiste käskudega.
# systemctl status iptables # systemctl stop iptables # systemctl mask iptables
2. samm: tulemüüri komponentide arutamine
3. Enne tulemüüri seadistuste poole pöördumist tahaksin arutada kõiki tsoone. Vaikimisi on mõned tsoonid saadaval. Peame määrama liidese tsoonile. Tsoon määratleb, et usaldusväärne või keelatud tsoon on ühenduse loomiseks liidese tasemel. Tsoon võib sisaldada teenuseid ja sadamaid.
Siin kirjeldame kõiki tulemüüris saadaolevaid tsoone.
- Drop Zone : kõik sissetulevad paketid visatakse ära, kui kasutame seda langetustsooni. See on sama, mida kasutame iptables -j drop lisamiseks. Kui kasutame loobumisreeglit, tähendab see, et vastust ei ole, on saadaval ainult väljuvad võrguühendused.
- Blokeeri tsoon : blokeerimistsoon keelab sissetulevad võrguühendused tagasi lükata, kui icmp-host on keelatud. Lubatud on ainult loodud ühendused serveris.
- Avalik tsoon : valitud ühenduste aktsepteerimiseks saame määratleda reeglid avalikus tsoonis. See võimaldab konkreetsel pordil meie serveris avaneda, teised ühendused katkestatakse.
- väline tsoon : see tsoon toimib maskeeritud ruuteri suvanditena, kui teised ühendused katkestatakse ja neid ei aktsepteerita, lubatud on ainult määratud ühendus.
- DMZ-tsoon : kui peame lubama avalikkusele juurdepääsu mõnele teenusele, saate selle määratleda DMZ-tsoonis. Ka sellel on omadus, et aktsepteeritakse ainult valitud sissetulevaid ühendusi.
- Töötsoon: selles tsoonis saame määratleda ainult sisevõrgud, st eravõrkude liiklus on lubatud.
- Kodutsoon : seda tsooni kasutatakse spetsiaalselt kodupiirkondades. Seda tsooni saame kasutada teiste võrgus olevate arvutite usaldamiseks, et mitte kahjustada teie arvutit nagu iga tsooni. Ka see lubab ainult valitud sissetulevaid ühendusi.
- Sisemine tsoon : see sarnaneb valitud lubatud ühendustega töötsooniga.
- Usaldusväärne tsoon : kui määrame usaldusväärse tsooni, aktsepteeritakse kogu liiklust.
Nüüd on teil tsoonide kohta parem ettekujutus, uurime nüüd saadaolevaid tsoone, vaiketsoone ja loetlege kõik tsoonid järgmiste käskude abil.
# firewall-cmd --get-zones
# firewall-cmd --get-default-zone
# firewall-cmd --list-all-zones
Märkus. Ülaltoodud käsu väljund ei mahu ühele lehele, kuna see loetleb kõik tsoonid, nagu plokk, dmz, drop, väline, kodu, sisemine, avalik, usaldusväärne ja töö. Kui tsoonidel on rikkalik reegel, loendatakse ka lubatud teenused või pordid koos vastava tsooniinformatsiooniga.
3. samm: tulemüüri vaiketsooni määramine
4. Kui soovite vaiketsooniks määrata sisemise, välise, tilga-, töö- või mõne muu tsooni, võite vaiketsooni seadmiseks kasutada järgmist käsku. Siin kasutame vaikimisi sisemist tsooni.
# firewall-cmd --set-default-zone=internal
5. Pärast tsooni seadistamist kontrollige vaiketsooni, kasutades järgmist käsku.
# firewall-cmd --get-default-zone
6. Siin on meie liides enp0s3 . Kui peame kontrollima oma tsooni, milles liides on piiratud, saame kasutada allpool olevat käsku.
# firewall-cmd --get-zone-of-interface=enp0s3
7. Teine tulemüüri huvitav omadus on ‘icmptype’, mis on üks tulemüüri toetatud icmp-tüüpidest. Toetatud icmp-tüüpide loendi saamiseks võime kasutada järgmist käsku.
# firewall-cmd --get-icmptypes
4. samm: oma teenuste loomine tulemüüris
8. Teenused on sadamate ja suvanditega reeglite kogum, mida Firewalld kasutab. Lubatud teenused laaditakse automaatselt, kui teenus Firewalld töötab ja töötab.
Vaikimisi on saadaval palju teenuseid. Kõigi saadaolevate teenuste loendi saamiseks kasutage järgmist käsku.
# firewall-cmd --get-services
9. Kõigi vaikimisi saadaolevate teenuste loendi saamiseks minge järgmisesse kataloogi, siit leiate teenuste loendi.
# cd /usr/lib/firewalld/services/
10. Oma teenuse loomiseks peate selle määratlema järgmises asukohas. Näiteks siin tahan lisada teenuse RTMP-porti 1935, teha kõigepealt koopia kõigist teenustest.
# cd /etc/firewalld/services/ # cp /usr/lib/firewalld/services/ssh.xml /etc/firewalld/services/
Ja siis navigeerige meie teenusefaili kopeerimise asukohta ja nimetage järgmine fail failiks ssh.xml ümber nimeks rtmp.xml, nagu on näidatud alloleval pildil.
# cd /etc/firewalld/services/
11. Järgmine faili avamine ja muutmine on Pealkiri, kirjeldus, protokoll ja pordi number , mida peame kasutama RTMP-teenuse jaoks, nagu on näidatud alloleval pildil.
12. Nende muudatuste aktiveerimiseks taaskäivitage tulemüüriteenus või laadige seaded uuesti.
# firewall-cmd --reload
13. Teenuse lisamise kinnitamiseks käivitage allolev käsk saadaolevate teenuste loendi saamiseks.
# firewall-cmd --get-services
5. samm: teenuste määramine tulemüüri tsoonidele
14. Siin näeme, kuidas tulemüüri hallata käsuga tulemüür-cmd. Tulemüüri ja kõigi aktiivsete tsoonide praeguse oleku tundmiseks tippige järgmine käsk.
# firewall-cmd --state # firewall-cmd --get-active-zones
15. Liidese enp0s3 avaliku tsooni saamiseks on see vaikeliides, mis on failis /etc/firewalld/firewalld.conf määratletud kui DefaultZone = avalik .
Kõigi saadaolevate teenuste loendamiseks selles vaikeliidese tsoonis.
# firewall-cmd --get-service
6. samm: lisage teenused tulemüüri tsoonidele
16. Ülaltoodud näidetes oleme näinud, kuidas luua oma teenuseid rtmp-teenuse loomisega, siin näeme, kuidas lisada ka tsooni rtmp-teenus.
# firewall-cmd --add-service=rtmp
17. Lisatud tsooni eemaldamiseks tippige.
# firewall-cmd --zone=public --remove-service=rtmp
Ülaltoodud samm oli ainult ajutine periood. Selle püsivaks muutmiseks peame käivitama alloleva käsu suvandiga –püsiv .
# firewall-cmd --add-service=rtmp --permanent # firewall-cmd --reload
18. Määratlege võrguallikate vahemiku reeglid ja avage ükskõik milline port. Näiteks kui soovite avada võrguala, öelge ’192.168.0.0/24’ ja port ’1935’ ja kasutage järgmisi käske.
# firewall-cmd --permanent --add-source=192.168.0.0/24 # firewall-cmd --permanent --add-port=1935/tcp
Pärast teenuste või portide lisamist või eemaldamist laadige tulemüüri teenus uuesti.
# firewall-cmd --reload # firewall-cmd --list-all
7. samm: rikkalike reeglite lisamine võrgupiirkonnale
19. Kui ma tahan lubada selliseid teenuseid nagu http, https, vnc-server, PostgreSQL, kasutate järgmisi reegleid. Esiteks lisage reegel ja muutke see püsivaks, laadige reeglid uuesti sisse ja kontrollige olekut.
# firewall-cmd --add-rich-rule 'rule family="ipv4" source address="192.168.0.0/24" service name="http" accept' # firewall-cmd --add-rich-rule 'rule family="ipv4" source address="192.168.0.0/24" service name="http" accept' --permanent # firewall-cmd --add-rich-rule 'rule family="ipv4" source address="192.168.0.0/24" service name="https" accept' # firewall-cmd --add-rich-rule 'rule family="ipv4" source address="192.168.0.0/24" service name="https" accept' --permanent # firewall-cmd --add-rich-rule 'rule family="ipv4" source address="192.168.0.0/24" service name="vnc-server" accept' # firewall-cmd --add-rich-rule 'rule family="ipv4" source address="192.168.0.0/24" service name="vnc-server" accept' --permanent # firewall-cmd --add-rich-rule 'rule family="ipv4" source address="192.168.0.0/24" service name="postgresql" accept' # firewall-cmd --add-rich-rule 'rule family="ipv4" source address="192.168.0.0/24" service name="postgresql" accept' --permanent
Nüüd saab võrguvahemik 192.168.0.0/24 kasutada ülaltoodud teenust minu serverist. Valikut –püsiv saab kasutada igas reeglis, kuid me peame reegli määratlema ja kontrollima kliendi juurdepääsu pärast seda, kui peame selle püsivaks muutma.
20. Pärast ülaltoodud reeglite lisamist ärge unustage tulemüüri reegleid uuesti laadida ja reeglid loetleda, kasutades järgmist:
# firewall-cmd --reload # firewall-cmd --list-all
Lisateavet tulemüüri kohta.
# man firewalld
See on kõik, oleme näinud, kuidas võrgufiltrit RHEL/CentOS ja Fedora tulemüüri abil seadistada.
Net-filter on iga Linuxi jaotuse tulemüüri raamistik. Kõigis RHEL ja CentOS väljaannetes kasutasime iptablesi, kuid uuemates versioonides on nad kasutusele võtnud tulemüüri. Tulemüüri mõistmine ja kasutamine on lihtsam. Loodetavasti on teile meeldinud kirjutamine.