Kuidas piirata juurdepääsu võrgule tulemüüri abil


Linuxi kasutajana saate lubada või piirata võrgule juurdepääsu mõnele teenusele või IP-aadressile, kasutades tulemüüri tulemüüri, mis on omane CentOS/RHEL 8-le ja enamusele RHEL-põhistele jaotustele, näiteks Fedora.

Tulemüüri tulemüür kasutab tulemüüri reeglite konfigureerimiseks tulemüüri cmd käsurea utiliiti.

Enne konfigureerimiste lubamist lubame kõigepealt tulemüüri teenuse, kasutades utiliiti systemctl, nagu näidatud:

$ sudo systemctl enable firewalld

Kui see on lubatud, saate nüüd tulemüüri teenust käivitada, käivitades:

$ sudo systemctl start firewalld

Tulemüüri oleku saate kontrollida käsku käivitades:

$ sudo systemctl status firewalld

Allpool olev väljund kinnitab, et tulemüüriteenus töötab ja töötab.

Reeglite konfigureerimine tulemüüri abil

Nüüd, kui tulemüür töötab, võime kohe minna mõne konfiguratsiooni tegemisele. Firewalld võimaldab teil serverile juurdepääsu võimaldamiseks lisada ja blokeerida porte, musta nimekirja ja ka IP-aadresse lubatud loendisse. Kui olete konfiguratsioonidega tehtud, veenduge, et uute reeglite jõustumiseks laadige tulemüür uuesti.

Pordi lisamiseks kasutage HTTPS-i jaoks porti 443, kasutage allpool toodud süntaksit. Pange tähele, et pärast pordinumbrit peate määrama, kas port on TCP- või UDP-port:

$ sudo firewall-cmd --add-port=22/tcp --permanent

Samamoodi määrake UDP-pordi lisamiseks suvand UDP, nagu näidatud:

$ sudo firewall-cmd --add-port=53/udp --permanent

Lipp --permanent tagab reeglite püsimise ka pärast taaskäivitamist.

TCP-pordi blokeerimiseks, näiteks porti 22, käivitage käsk.

$ sudo firewall-cmd --remove-port=22/tcp --permanent

Samamoodi toimub UDP-pordi blokeerimine sama süntaksiga:

$ sudo firewall-cmd --remove-port=53/udp --permanent

Võrguteenused on määratletud failis/etc/services. Teenuse nagu https lubamiseks käivitage käsk:

$ sudo firewall-cmd --add-service=https

Teenuse, näiteks FTP, blokeerimiseks toimige järgmiselt.

$ sudo firewall-cmd --remove-service=https

Ühe IP-aadressi lubamiseks üle tulemüüri käivitage käsk:

$ sudo firewall-cmd --permanent --add-source=192.168.2.50

Samuti saate lubada IP-de vahemiku või kogu alamvõrgu, kasutades CIDR (Classless Inter-Domain Routing) märget. Näiteks kogu alamvõrgu lubamiseks alamvõrgus 255.255.255.0 käivitage.

$ sudo firewall-cmd --permanent --add-source=192.168.2.0/24

Kui soovite tulemüürist eemaldada lubatud loendis oleva IP, kasutage lippu --remove-source , nagu näidatud:

$ sudo firewall-cmd --permanent --remove-source=192.168.2.50

Käivitage kogu alamvõrgu jaoks:

$ sudo firewall-cmd --permanent --remove-source=192.168.2.50/24

Siiani oleme näinud, kuidas saate sadamaid ja teenuseid lisada ja eemaldada, samuti lisada lubatud loendisse lisatud IP-sid ja lisada need loendisse. IP-aadressi blokeerimiseks kasutatakse selleks rikkalikke reegleid.

Näiteks IP 192.168.2.50 blokeerimiseks käivitage käsk:

$ sudo firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='192.168.2.50' reject"

Kogu alamvõrgu blokeerimiseks käivitage:

$ sudo firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='192.168.2.0/24' reject"

Kui olete tulemüüri reeglites muudatusi teinud, peate muudatuste viivitamatuks rakendamiseks käivitama alloleva käsu:

$ sudo firewall-cmd --reload

Tulemüüri kõigi reeglite vaatamiseks täitke käsk:

$ sudo firewall-cmd --list-all

See lõpetab selle juhendi selle kohta, kuidas lubada või piirata võrgujuurdepääsu CentOS/RHEL 8 rakenduse FirewallD abil. Loodetavasti leidsite sellest juhendist abi.