Kasulikud FirewallD reeglid tulemüüri konfigureerimiseks ja haldamiseks Linuxis


Firewalld annab võimaluse konfigureerida Linuxis dünaamilisi tulemüüri reegleid, mida saab koheselt rakendada ilma tulemüüri taaskäivitamata, ning see toetab ka D-BUS ja tsooni kontseptsioone, mis muudab seadistamise lihtsaks.

Firewalld asendas vana Fedora tulemüüri (Fedora 18 ja edasi) mehhanismi, RHEL/CentOS 7 ja muud viimased jaotused toetuvad sellele uuele mehhanismile. Uue tulemüürisüsteemi kasutuselevõtu üks suurimaid motiive on see, et vana tulemüür vajab pärast iga muudatuse tegemist taaskäivitamist, rikkudes nii kõik aktiivsed ühendused. Nagu eespool öeldud, toetab uusim tulemüür dünaamilisi tsoone, mis on kasulik teie kontoris või koduvõrgus erinevate tsoonide ja reeglite konfigureerimiseks käsurea kaudu või GUI-meetodi abil.

Esialgu näib tulemüüri kontseptsiooni konfigureerimine väga keeruline, kuid teenused ja tsoonid muudavad selle lihtsamaks, hoides mõlemat koos, nagu käesolevas artiklis käsitletakse.

Meie varasemas artiklis, kus oleme näinud, kuidas tulemüüriga ja selle tsoonidega mängida, näeme nüüd siin, selles artiklis, mõningaid kasulikke tulemüüri reegleid oma praeguste Linuxi süsteemide konfigureerimiseks käsurea viisil.

  1. tulemüüri konfigureerimine RHEL/CentOS 7-s

Kõiki selles artiklis käsitletud näiteid testitakse praktiliselt CentOS 7 levitamisel ning need töötavad ka RHEL ja Fedora jaotustel.

Enne tulemüüri reeglite rakendamist kontrollige kõigepealt, kas tulemüüri teenus on lubatud ja töötab.

# systemctl status firewalld

Ülaltoodud pilt näitab, et tulemüür on aktiivne ja töötab. Nüüd on aeg kontrollida kõiki aktiivseid tsoone ja aktiivseid teenuseid.

# firewall-cmd --get-active-zones
# firewall-cmd --get-services

Incase'i korral pole te käsurealt tuttav, saate tulemüüri hallata ka GUI-st, selleks peate süsteemi installima GUI-paketi, kui te ei installinud seda järgmise käsuga.

# yum install firewalld firewall-config

Nagu eelpool öeldud, on see artikkel spetsiaalselt kirjutatud käsureaarmastajatele ja kõik näited, mida käsitleme, põhinevad ainult käsureal, ilma GUI-viisita ... vabandust ...

Enne kaugemale liikumist veenduge esmalt, millises avalikus tsoonis kavatsete Linuxi tulemüüri konfigureerida, ja lisage järgmise käsu abil kõik aktiivsed teenused, sadamad ja avaliku sektori rikkalikud reeglid.

# firewall-cmd --zone=public --list-all

Ülaloleval pildil pole veel ühtegi aktiivset reeglit lisatud. Vaatame, kuidas reegleid lisada, eemaldada ja muuta selle artikli ülejäänud osas ...

1. Tulemüüris sadamate lisamine ja eemaldamine

Avaliku tsooni mis tahes pordi avamiseks kasutage järgmist käsku. Näiteks avab järgmine käsk pordi 80 avaliku tsooni jaoks.

# firewall-cmd --permanent --zone=public --add-port=80/tcp

Samamoodi kasutage lisatud pordi eemaldamiseks lihtsalt käsku „–remove“ koos tulemüüriga, nagu allpool näidatud.

# firewall-cmd --zone=public --remove-port=80/tcp

Pärast konkreetsete pordide lisamist või eemaldamist veenduge, et pord on lisatud või eemaldatud, kasutades valikut ‘–list-ports’.

# firewall-cmd --zone=public --list-ports

2. Teenuste lisamine ja eemaldamine tulemüüris

Vaikimisi on tulemüüriga kaasas eelnevalt määratletud teenused. Kui soovite lisada konkreetsete teenuste loendi, peate looma uue xml-faili koos kõigi failis sisalduvate teenustega või muidu saate ka iga teenuse käsitsi määratleda või eemaldada, käivitades järgmise käsud.

Näiteks aitavad järgmised käsud konkreetseid teenuseid lisada või eemaldada, nagu me siin näites FTP jaoks tegime.

# firewall-cmd --zone=public --add-service=ftp
# firewall-cmd --zone=public --remove-service=ftp
# firewall-cmd --zone=public --list-services

3. Blokeeri sissetulevad ja väljaminevad paketid (paanikarežiim)

Kui soovite blokeerida kõik sissetulevad või väljuvad ühendused, peate selliste taotluste blokeerimiseks kasutama režiimi „paanika”. Näiteks loobub järgmine reegel süsteemis olemasolevast loodud ühendusest.

# firewall-cmd --panic-on

Pärast paanikarežiimi lubamist proovige pingutada mis tahes domeeni (nt google.com) ja kontrollige, kas paanikarežiim on SEES, kasutades allpool loetletud valikut ‘–query-panic’.

# ping google.com -c 1
# firewall-cmd --query-panic

Kas näete ülaltoodud pildil, ütleb paanikapäring „Tundmatu host google.com”. Nüüd proovige paanikarežiim keelata ning seejärel veel kord pingutada ja kontrollida.

# firewall-cmd --query-panic
# firewall-cmd --panic-off
# ping google.com -c 1

Nüüd seekord tuleb ping-päring aadressilt google.com.