Centos 7 tűzfal nyitott port 80. Rendszerposta beállítása

Megállapított operációs rendszer A tűzfalat arra használják, hogy megakadályozzák a számítógépes hálózatok közötti jogosulatlan forgalmat. A kézikönyv vagy automatikusan létrehozza a tűzfal számára, amelyek felelősek a hozzáférés ellenőrzéséért. A Linux kernelben kifejlesztett operációs rendszerben a Centos 7 beépített tűzfal van, és tűzfal vezérli. Az alapértelmezett tűzfalat érinti, és ma beszélünk róla.

Amint azt már említettük, a Centos 7 szabványos tűzfalat tűzfal segédprogramhoz rendeli. Ezért van a tűzfal beállítása az eszköz példáján. Beállíthatja a szűrési szabályokat ugyanazokkal az iptables-szel, de kissé eltérő. Javasoljuk, hogy ismerkedjen meg az említett segédprogram konfigurációjával a következő linkre kattintva, és elkezdjük a tűzfald szétszerelését.

A tűzfal alapfogalmai

Számos zóna zóna van a forgalom kezelésére a hálózatok bizalma alapján. Mindegyikük saját politikáikat kapják, amelynek összessége és a tűzfal konfigurációja. Minden zóna egy vagy több hálózati interfészhez van rendelve, amely lehetővé teszi a szűrés beállítását is. Az alkalmazott szabályok közvetlenül az alkalmazott interfésztől függenek. Például, ha nyilvánosan elérhető Wi-Fi-hez kapcsolódik hálózati képernyő növeli az ellenőrzés szintjét, és a otthoni hálózat Nyílik további hozzáférést a lánc résztvevői számára. A megtekintett farvolban vannak ilyen zónák:

a megbízható megbízhatóság az összes hálózati eszköz maximális bizalmi szintje;
otthon - LAN csoport. Van egy bizalom a környéken, de a bejövő kapcsolatok csak bizonyos gépek esetében állnak rendelkezésre;
munkahelyi zóna. A legtöbb eszközben bizalom van, és további szolgáltatások aktiválódnak;
dMZ - zóna elszigetelt számítógépekhez. Az ilyen eszközöket a hálózat többi részéből leválasztják, és csak egy bizonyos bejövő forgalmat adnak át;
belső - belső hálózati zóna. A bizalom minden gépre vonatkozik, további szolgáltatások nyithatók meg;
külső - fordított az előző zónára. A külső hálózatokban a NAT maszkolás aktív, bezárja a belső hálózatot, de blokkolja a hozzáférés lehetőségét;
nyilvános - a nyilvános hálózatok zónája bizalmatlansággal minden eszközzel és a bejövő forgalom egyéni vételével;
bLOCK - Az összes bejövő kérés hibaüzenet esetén visszaáll iCMP-host-tilos vagy iCMP6-ADM tilos;
a csepp a minimális bizalom szintje. A bejövő kapcsolatok értesítések nélkül kerülnek kiürítésre.

A politikák maguk ideiglenesek és állandóak. Ha paraméterek szerkesztése esetén a tűzfal hatás azonnali indítás nélkül változik. Ha átmeneti szabályokat alkalmaztak, a tűzfal újraindítása után visszaállnak. Az állandó szabályt úgy hívják, hogy legyenek - folyamatosan mentésre kerül a -Permanent argumentum alkalmazása során.

A tűzfal tűzfal engedélyezése

Először tűzfalat kell futtatnia, vagy győződjön meg róla, hogy aktív állapotban van. Csak működő démon (a háttérben működő program) alkalmazza a tűzfal szabályait. Az aktiválás szó szerint néhány kattintással történik:

Futtassa a klasszikusot "Terminál" Bármilyen kényelmes módszer, például a menüben "Alkalmazások".

Adja meg a Sudo Systemctl Start Firewalld.Service parancsot, és kattintson a gombra. BELÉP.

A segédprogram vezérlését a Superuser nevében végezzük, így meg kell erősítenie a hitelességet a jelszó megadásával.

Annak érdekében, hogy a szolgáltatás működjön, adja meg a tűzfal-cmd -pate-t.

A megnyíló grafikus ablakban írja újra a hitelességet.

Megjelenik egy új vonal. Érték "Futás" javasolja, hogy a tűzfal működik.

Ha egyszer átmenetileg vagy véglegesen letiltja a tűzfalat, azt javasoljuk, hogy a következő link segítségével használja a másik cikkben bemutatott utasításokat.

Az alapértelmezett szabályok és megfizethető zónák megtekintése

Még a rendszeres tűzfal is rendelkezik saját határozott szabályokkal és hozzáférhető zónákkal. A politikus szerkesztés megkezdése előtt azt javasoljuk, hogy megismerje magát az aktuális konfigurációval. Ez egyszerű parancsokkal történik:

Az alapértelmezett zóna meghatározza a tűzfal-cmd -get-alapértelmezett-zóna parancsot.

Az aktiválás után látni fogja Új karakterláncahol megjelenik a szükséges paraméter. Például a zóna az alábbi képernyőképen van figyelembe véve "Nyilvános".

Azonban több zóna lehet aktív azonnal, emellett külön felülethez kötődik. Ismerje meg ezt az információt tűzfal-cmd -get-Active-Active-zónákon keresztül.

A tűzfal-cmd -list-all parancs megjeleníti az alapértelmezett zónához beállított szabályokat. Figyeljen az alábbi képernyőképre. Látod az aktív zónát "Nyilvános" Odaítélt szabály "Alapértelmezett" - Alapértelmezett működés, interfész "ENP0S3" és hozzáadott két szolgáltatást.

Ha meg kell tanulnia az összes rendelkezésre álló tűzfal zónát, lépjen be tűzfal-cmd -get-zónákba.

Az adott zóna paramétereit a tűzfal-cmd -zone \u003d név - listán határoztuk meg, ahol név. - Név zóna.

A szükséges paraméterek meghatározása után a változásra és hozzáadásra léphet. Elemezzük részletesen több legnépszerűbb konfigurációt.

Az interfész zónák beállítása

Amint ismeri a fenti információkat, az alapértelmezett zónát az egyes felületek esetében definiáljuk. Ez lesz benne, amíg a beállítások módosítják a felhasználót, vagy programoznak. Lehetőség van manuálisan átadni az interfészt a zónára az ülésenként, és a SUDO tűzfal-cmd -zone \u003d otthoni parancscsatornás-interface \u003d eth0 aktiválásával történik. Eredmény "SIKER" Azt jelzi, hogy az átadás sikeres volt. Emlékezzünk vissza arról, hogy az ilyen beállítások azonnal visszaállnak a tűzfal újraindítása után.

A paraméterek ilyen változásával szem előtt kell tartani, hogy a szolgáltatások üzemeltetése visszaállítható. Néhányan bizonyos zónákban nem támogatják a működést, mondjuk, hogy az SSH bár elérhető "ITTHON"De a felhasználó vagy a speciális szolgáltatás megtagadja a munkát. Győződjön meg arról, hogy az interfész sikeresen kötötte az új ága, megadásával Firewall-CMD --get-Active-Zones.

Ha vissza szeretné állítani a korábban készített beállításokat, egyszerűen futtassa a tűzfal újraindítását: sudo systemctl újraindítás tűzfald.service.

Néha nem mindig kényelmes az interfész zóna megváltoztatása csak egy munkamenetben. Ebben az esetben módosítania kell a konfigurációs fájlt, hogy minden beállítás állandóan zománcozott legyen. Ehhez azt javasoljuk, hogy használja a szövegszerkesztőt. nano.amely a Sudo Yum telepítése Nano hivatalos tárolójából telepítve van. Ezután továbbra is ilyen intézkedések:

Nyissa meg a konfigurációs fájlt a szerkesztővel a sudo nano / etc / sysconfig / hálózati szkriptek / ifcfg-eth0 bevitelével, ahol eth0. - A szükséges felület neve.

A hitelesség megerősítése számla További intézkedések teljesítése.

Helyezze el a paramétert Zóna És változtassa meg értékét a kívánt, például nyilvános vagy otthoni.

Tartsa a kulcsokat Ctrl + O.A módosítások mentése.

Ne módosítsa a fájl nevét, de egyszerűen kattintson a Tovább gombra BELÉP.

Kilép szöveg szerkesztő keresztül Ctrl + X..

Most az interfész zóna lesz az, amelyet megadott, amíg a konfigurációs fájl következő szerkesztése addig. Frissített paraméterek esetén futtassa a sudo systemctl újraindítását.

Az alapértelmezett zóna beállítása

A fentiekben már bemutattuk egy olyan csapatot, amely lehetővé teszi az alapértelmezett zóna megtanulását. Azt is módosíthatja, hogy a paramétert a választott. Ehhez a konzolban elegendő regisztrálni a sudo tűzfal-cmd -set-default-zónát \u003d nevet, ahol név. - A szükséges zóna neve.

A csapat sikere kimondja a feliratot "SIKER" Külön sorban. Ezután az aktuális interfészek a megadott zónába kerülnek, ha a másik nincs megadva a konfigurációs fájlokban.

A programok és segédprogramok szabályainak létrehozása

A cikk elején beszéltünk az egyes zónák cselekvéséről. Az ilyen ágazatokban működő szolgáltatások, segédprogramok és programok meghatározása lehetővé teszi az egyes felhasználói kérelmek mindegyikének egyedi paramétereinek alkalmazását. Kezdjük, azt javasoljuk, hogy megismerje magát a jelenleg elérhető szolgáltatások teljes listájával: tűzfal-cmd -get-services.

Az eredmény közvetlenül a konzolba kerül. Minden szerver egy helyet oszt meg, és könnyen megtalálhatja az érdekelt eszközt. Ha hiányzik a szükséges szolgáltatás, akkor meg kell telepíteni. A telepítési szabályokról olvasható a hivatalos szoftver dokumentációjában.

A fenti parancs csak a szolgáltatások nevét mutatja be. Az egyes fájlokat az egyes fájlon keresztül az útvonal / usr / lib / tűzfal / szolgáltatásokon keresztül kapják meg. Ezeket a dokumentumokat az XML formátumú, az utat, például, hogy SSH néz ki: /usr/lib/firewalld/services/ssh.xml, és a dokumentum tartalma a következő:

Ssh.
A Secure Shell (SSH) egy protokoll, amely a távoli gépeken történő parancsok be- és végrehajtására szolgáló protokoll. Biztonságos titkosított kommunikációt biztosít. Ha megtervezi a gép REMOTENET-t az SSH-n keresztül tűzfalagoló felületen keresztül, engedélyezze ezt az opciót. Ehhez az opcióhoz telepített OpenSSH-Server csomagra van szüksége, hogy hasznos legyen.

A szerviztámogatás manuálisan aktiválódik egy adott zónában. BAN BEN "Terminál" Be kell állítania a sudo tűzfal-cmd -zone \u003d nyilvános --dd-service \u003d http parancsot, ahol --Zone \u003d nyilvános - az aktiválás zóna, és --Add-Service \u003d http - Szolgáltatás neve. Ne feledje, hogy az ilyen változás csak egy munkameneten belül érvényes.

Állandó adagolás történik sudo tűzfal-cmd -zone \u003d nyilvános-public -permanent --DD-Service \u003d http, és az eredmény "SIKER" Megadja a művelet sikeres befejezését.

Kilátás teljes lista Egy adott zónára vonatkozó állandó szabályok, amelyek listát jeleníthetnek meg a konzol külön sorában: sudo tűzfal-cmd -zone \u003d nyilvános -permanent -list-services.

Határozat probléma a szolgáltatáshoz való hozzáférés hiánya

A szabványos tűzfalszabályok a legnépszerűbbek és biztonságos szolgáltatások, mint megengedett, de néhány szabvány vagy harmadik féltől származó alkalmazások Blokkolja. Ebben az esetben a felhasználó manuálisan módosítania kell a beállításokat, hogy megoldja a problémát a hozzáféréssel. Ezt két különböző módszerrel teheti meg.

Portes kikötő

Mint tudják, minden hálózati szolgáltatás egy adott portot használ. A tűzfal könnyen kimutatható, és a blokkok elvégezhetők. Annak érdekében, hogy elkerülje az ilyen műveleteket a tűzfalból, meg kell nyitnia a sudo tűzfal-cmd -zone \u003d nyilvános - Portd-Port \u003d 0000 / TCP, ahol --Zone \u003d nyilvános - zóna a kikötőhöz, --Add-port \u003d 0000 / TCP - a portszám és a protokoll. A tűzfal-cmd -list-portok megjelenítik a nyitott portok listáját.

Ha a tartományban szereplő portokat kell megnyitni, használja a sudo tűzfal-cmd -zone \u003d nyilvános - Pord-port \u003d 0000-9999 / UDP sor, ahol --Add-port \u003d 0000-9999 / UDP - A kikötők és protokolluk tartománya.

A fenti parancsok csak lehetővé teszik a hasonló paraméterek használatának tesztelését. Ha sikeresen átadta, ugyanazokat a portokat kell hozzáadnia az állandó beállításokhoz, és ez történik a sudo tűzfal-cmd -zone \u003d public -permermanent --add-port \u003d 0000 / tcp vagy sudo tűzfal-cmd Zone \u003d Public -perMermanent --Add-port \u003d 0000-9999 / UDP. A nyílt állandó portok listáját az alábbiak szerint tekintik meg: sudo tűzfal-cmd -zone \u003d nyilvános -permanent -list-portok.

A szolgáltatás meghatározása

Amint láthatja, a portok hozzáadása nem okoz semmilyen nehézséget, de az eljárás bonyolultabbá válik, amikor az alkalmazásokat használják nagyszámú. Az összes használt port nyomon követése nehézkes lesz, tekintettel arra, hogy a szolgáltatás meghatározása korább lesz:

Csak ki kell választani a legmegfelelőbb megoldás a szolgáltatás probléma a szolgáltatás elérését és végrehajtja a kapott utasításokat. Amint láthatja, minden műveletet könnyen végeznek, és nincs nehézség.

Egyéni zónák létrehozása

Már tudod, hogy kezdetben nagyszámú különböző zónát határoztak meg meghatározott szabályokkal a tűzfalban. Azonban a helyzetek akkor fordulnak elő, ha a rendszergazda meg kell hoznia egy felhasználói zónát, például például, "PURNALWEB" A telepített webszerverhez vagy "Privatedns" - A DNS-kiszolgálóhoz. Ezen két példa alapján elemezzük az ágak hozzáadását:

Ebből a cikkből megtanulta, hogyan hozhat létre egyéni zónákat és szolgáltatásokat ad hozzá nekik. Már elmondtuk nekik, hogy alapértelmezettként és a fenti interfészek hozzárendelése, csak a helyes neveket adhatja meg. Ne felejtse el újraindítani a tűzfalat, miután állandó változás történt.

Amint láthatja, a Firewalld Firewall egy meglehetősen térfogatú eszköz, amely lehetővé teszi a tűzfal legrugalmasabb konfigurációját. Csak azért marad, hogy megbizonyosodjon arról, hogy a segédprogram elindul a rendszerrel, és a megadott szabályok azonnal megkezdik munkájukat. Tegye azt a sudo systemctl Engedélyezze a Firewalld parancsot.

Zónák

A Demon Firewalld az úgynevezett zónák felhasználásával irányítja a szabályokat.

A zónák valójában a szabályok olyan szabályok vannak, amelyek az e vagy a hálózat bizalmának szintjén ellenőrzik a forgalmat. A zónák hálózati interfészekhez vannak rendelve, és szabályozzák a tűzfal viselkedését.

Számítógépek, amelyek gyakran kapcsolódik a különböző hálózatok (például laptop) tudja használni zónák megváltoztatni a szabályrendszer a közegtől függően. Például, amikor a nyilvánossághoz csatlakozik wiFi hálózatok A tűzfal szigorúbb szabályokat alkalmazhat, és az otthoni hálózatban gyengíti a korlátozásokat.

A következő zónák léteznek a tűzfalban:

drop: a legalacsonyabb hálózati bizalom. Valamennyi bejövő forgalma válasz nélkül lemerül, csak a kimenő vegyületek támogatottak.
blokk: Ez a zóna hasonló az előzőhöz, de a bejövő kérések visszaállnak az ICMP-host-tiltott vagy az ICMP6-ADM tilos.
nyilvános: Ez a zóna olyan nyilvános hálózatot képvisel, amely nem megbízható, de támogatja a bejövő vegyületeket egyedileg.
külső: külső hálózati zóna. Támogatja a NAT maszkolását, hogy a belső hálózat zárt maradjon, de a hozzáférés elérésének képességével.
belső: A külső zóna hátoldala, belső hálózatok. A zónában lévő számítógépek megbízhatóak. Kiegészítő szolgáltatások állnak rendelkezésre.
dMZ: A DMZ-ben található számítógépekhez (elszigetelt számítógépek, amelyek nem férnek hozzá a hálózat többi részéhez); Csak néhány bejövő kapcsolatot támogat.
munka: Munkaügyi hálózati terület. A legtöbb gép a hálózaton megbízható. Kiegészítő szolgáltatások állnak rendelkezésre.
home: Otthoni hálózati terület. A környék megbízható, de csak a felhasználó által meghatározott bejövő kapcsolatok támogatottak.
megbízható: A hálózaton lévő összes gép megbízható lehet.

Szabályok mentése

A tűzfalszabályok állandóak és ideiglenesek. Ha a készlet megjelenik vagy módosítja a szabályt, a tűzfal jelenlegi viselkedése azonnal változik. Az újraindítás után azonban minden változás elvész, ha nincsenek mentve.

A legtöbb tűzfal-cmd parancs használhatja a -Permanent zászlót, amely megmenti a szabályt, majd folyamatosan fogja használni.

A tűzfal tűzfal engedélyezése

Először be kell kapcsolnia a démont. A SystemD egységfájlja Firewalld.Service. A démon elindításához írja be.

sudo Systemctl Start Firewalld.Service

Győződjön meg róla, hogy a szolgáltatás fut:

tűzfal-cmd -pate
Futás

Most a tűzfal fut és működik az alapértelmezett konfiguráció szerint.

Jelenleg a szolgáltatás engedélyezve van, de nem indul el automatikusan a kiszolgálóval együtt. Ahhoz, hogy véletlenül ne blokkolja magát a saját szerveren, először hozzon létre egy szabálykészletet, majd állítsa be az autorunot.

Alapértelmezett tűzfalszabályok

Az alapértelmezett szabályok megtekintése

Ha meg szeretné tudni, hogy melyik zónát használja alapértelmezés szerint, írja be:

tűzfal-cmd -get-alapértelmezett zóna
Nyilvános

Abban a pillanatban, Firewalld nem kapott semmilyen utasítást, ami más területek, továbbá semmilyen felület nem kötődik más zónákat, így most a nyilvános zóna alapértelmezett terület, valamint a csak az aktív zónában.

Az aktív zónák listájának megszerzése:

Nyilvános
Interfészek: eth0 eth1

Két hálózati interfész kötődik a nyilvános zónához: eth0 és eth1. A zónához csatolt interfészek a zóna szabályai szerint dolgoznak.

Ha meg szeretné tudni, hogy melyik szabály használja az alapértelmezett zónát, írja be:

tűzfal-cmd -list-all
Nyilvános (alapértelmezett, aktív)
Interfészek: eth0 eth1
Források:
Szolgáltatások: DHCPV6-kliens ssh
Portok:
Masquerade: Nem.
Előrejelzők:
ICMP-blokkok:
Rich szabályok:

Tehát most tudod, hogy:

a nyilvánosság az alapértelmezett zóna és az egyetlen aktív zóna.
Az eth0 és az eth1 interfészek kötődnek hozzá.
Támogatja a DHCP forgalmat (IP-címek hozzárendelése) és az SSH (távoli adminisztráció).

Egyéb tűzfal zónák

Most meg kell ismerned magad más zónákkal.

Az összes rendelkezésre álló terület felsorolásához írja be:

tűzfal-cmd -get-zónák

Ahhoz, hogy egy adott zóna paramétereit megkapja, adja hozzá a zászlót -Zone \u003d parancsot.

tűzfal-cmd -zone \u003d home --list-all
ITTHON.
Interfészek:
Források:
Szolgáltatások: DHCPV6-kliens IPP-kliens MDNS Samba-kliens ssh
Portok:
Masquerade: Nem.
Előrejelzők:
ICMP-blokkok:
Rich szabályok:

Az összes rendelkezésre álló terület definíciójának megjelenítéséhez adja hozzá a lista-all-zónák opciót. A kényelmesebb megtekintés érdekében a kimenet átkerülhet a személyhívóra:

tűzfal-cmd -list-all-zónák | Kevésbé

Az interfész zónák beállítása

Kezdetben az összes hálózati interfész az alapértelmezett zónához van kötve.

Az interfész zóna munkamenetenkénti módosítása

Ahhoz, hogy egy felületet egy másik munkamenetre fordítson egy másik munkamenetre, használja a -Zone \u003d és -Change-Interface \u003d opciók \u003d.

Például az ETH0 lefordítása az otthoni zónába, be kell lépnie:

sudo tűzfal-cmd -zone \u003d home --change-interface \u003d eth0
Siker.

jegyzet: Ha az interfészt egy másik zónába fordítja, akkor szem előtt kell tartani, hogy befolyásolhatja egyes szolgáltatások működését. Például az otthoni zóna támogatja az SSH-t, így a kapcsolatok ezt a szolgáltatást nem fogják visszaállítani. De néhány zóna minden csatlakozást dob, beleértve az SSH-t, majd véletlenül blokkolhatja a saját szerverhez való hozzáférést.

Annak érdekében, hogy az interfész az új zónához kapcsolódik, írja be:

tűzfal-cmd -get-aktív zónák
ITTHON.
Interfészek: eth0.
Nyilvános
Interfészek: eth1

A tűzfal újraindítása után az interfész ismét az alapértelmezett zónához kapcsolódik.

sudo systemctl újraindítása tűzfald.service
Tűzfal-cmd -get-aktív zónák
Nyilvános
Interfészek: eth0 eth1

Az interfész területének folyamatosan módosítása

Ha az interfészbeállításokban nincs más zóna, a tűzfal újraindítása után az interfész ismét az alapértelmezett zónához kapcsolódik. A CentOS, ilyen konfigurációk vannak tárolva az / etc / sysconfig / network-scripts könyvtár, a ifcfg-Interface fájlokat.

Az interfész zóna meghatározásához nyissa meg az interfész konfigurációs fájlját, például:

Változó zóna hozzáadása a fájl végéhez, és adja meg a másik zónát értékként, például otthon:

. . .
DNS1 \u003d 2001: 4860: 4860 :: 8844
DNS2 \u003d 2001: 4860: 4860 :: 8888
DNS3 \u003d 8.8.8.8.
Zóna \u003d otthon.

Mentse és zárja be a fájlt.

A beállítások frissítéséhez indítsa újra a hálózati szolgáltatást és a tűzfalat:

sudo systemctl indítsa újra a hálózatot.Service
Sudo systemctl újraindítása tűzfald.service

Az újraindítás után az eth0 interfész az otthoni zónához kapcsolódik.

tűzfal-cmd -get-aktív zónák
ITTHON.
Interfészek: eth0.
Nyilvános
Interfészek: eth1

Az alapértelmezett zóna beállítása

Egy másik alapértelmezett zónát is választhat.

Ehhez használja a -set-default-zónát \u003d. Ezt követően minden interfész egy másik zónához kapcsolódik:

sudo tűzfal-cmd -set-alapértelmezett zóna \u003d otthon
ITTHON.
Interfészek: eth0 eth1

Az alkalmazásokra vonatkozó szabályok létrehozása

Szolgáltatás hozzáadása a zónához

A legegyszerűbb módja annak, hogy hozzáadjon egy szolgáltatást vagy portot a tűzfal használatának zónájához. Nézze meg a rendelkezésre álló szolgáltatásokat:

tűzfal-cmd -get-szolgáltatások
RH-Satellite-6 Amanda-kliens bacula bacula-kliens DHCP DHCPv6 DHCPv6-kliens DNS ftp magas rendelkezésre http https imaps IPP IPP-kliens IPSec Kerberos kpasswd LDAP ldaps libvirt libvirt-TLS mdns mountd ms-wbt mysql NFS NTP openvpnt pmcd pmproxy pmwebapi PMWebapis POP3S POSTGRESQL PROXY-DHCP RADIUS RPC-BIND SAMBA SAMBA CLIENT SMTP SSH Telnet TFTP TFTP-Client Seader-Client VNC-kiszolgáló WBEM-HTTPS

jegyzet: Az egyes specifikus szolgáltatásokról további információk találhatók a Files.XML-ben a / usr / lib / tűzfal / szolgáltatás könyvtárban. Például az SSH szolgáltatási információt a /usr/lib/firewalld/services/ssh.xml-ben tárolja, és így néz ki:

Ssh.

A szolgáltatás támogatásának engedélyezése egy adott zónában használja a -add-service \u003d opciót. Megadhatja a célzónát a -Zone \u003d opcióval. Alapértelmezés szerint ezek a változások egy munkamenetre fognak működni. A módosítások mentéséhez és folyamatban lévő használatához adja hozzá a -Permanent zászlót.

Például egy webszerver elindításához a HTTP forgalom fenntartásához először engedélyeznie kell ezt a forgalmat a nyilvános területen egy munkamenetre:

sudo tűzfal-cmd -zone \u003d nyilvános --Add-Service \u003d http

Ha a szolgáltatásnak hozzá kell adnia az alapértelmezett zónához, akkor a -Zone \u003d a zászló elhagyható.

Győződjön meg róla, hogy a művelet sikeres:

tűzfal-cmd -zone \u003d nyilvános --lista-szolgáltatások
DHCPV6-ügyfél http ssh

Tesztelje a szolgáltatás és a tűzfal munkáját. Ha minden rendben működik, megváltoztathatja az állandó szabályozást, és hozzáadhat egy szabályt, hogy támogassa ezt a szolgáltatást.

sudo tűzfal-cmd -zone \u003d public -permanent --dd-service \u003d http

Az állandó szabályok listájának megtekintéséhez írja be:

sUDO tűzfal-cmd -zone \u003d nyilvános -Permanent -List-services
DHCPV6-ügyfél http ssh

Most a nyilvános zóna támogatja a HTTP-t és a 80-as portot folyamatosan. Ha a webszerver szolgálhat SSL / TLS forgalmat, hozzáadhatja a HTTPS szolgáltatást is (egy munkamenethez vagy állandó szabályokhoz):

sudo tűzfal-cmd -zone \u003d nyilvános --dd-service \u003d https
Sudo tűzfal-cmd -zone \u003d nyilvános-bővítés --add-service \u003d https

Mi van, ha a szükséges szolgáltatás nem érhető el?

A tűzfal tűzfal alapértelmezés szerint sok leggyakoribb szolgáltatásokat tartalmaz. Néhány alkalmazás azonban olyan szolgáltatásokat igényel, amelyek nem támogatott tűzfalban. Ebben az esetben kétféleképpen tehetsz.

1. módszer: portbeállítás

A legegyszerűbb módja annak, hogy megnyitja az alkalmazási portot a szükséges tűzfal zónában a legegyszerűbb. Csak meg kell adnia a portot vagy a porttartományt és a protokollt.

Például egy olyan alkalmazást, amely 5000-et és TCP protokollt használ a nyilvános területhez. Az Alkalmazás támogatása az alsó munkamenethez használja a -dd-port \u003d paramétert \u003d és adja meg a TCP vagy az UDP protokollt.

sudo tűzfal-cmd -zone \u003d nyilvános --Add-port \u003d 5000 / tcp

Győződjön meg róla, hogy a művelet sikeresen átadott:

tűzfal-cmd -list-portok
5000 / TCP.

Megadhatja a portok soros tartományát is, elválasztva a kötőjel első és utolsó portját. Például, ha az alkalmazás 4990-4999 UDP portokat használ, hogy hozzáadja őket a nyilvános zónához, meg kell adnia:

sudo tűzfal-cmd -zone \u003d nyilvános --dd-port \u003d 4990-4999 / UDP

A tesztelés után hozzáadhatja ezeket a szabályokat a tűzfal állandó beállításaiban.

sUDO tűzfal-cmd -zone \u003d nyilvános-bővítés --add-port \u003d 5000 / tcp
Sudo tűzfal-cmd -zone \u003d public -permanent --add-port \u003d 4990-4999 / UDP
Sudo tűzfal-cmd -zone \u003d nyilvános -Permanent --list-portok
Siker.
Siker.
4990-4999 / UDP 5000 / TCP

2. módszer: A szolgáltatás meghatározása

Adjon hozzá portokat a zónához egyszerűen, de ha sok ilyen alkalmazása van, akkor nehéz lesz nyomon követni, amelyre egy vagy egy másik port van. Az ilyen helyzet elkerülése érdekében a portok helyett meghatározhatja a szolgáltatásokat.

Szolgáltatások egyszerűen portkészletek egy adott névvel és leírással. A szolgáltatások segítségével könnyebb ellenőrizni a beállításokat, de maguk is nehezebbek, mint a kikötők.

Először meg kell másolnia a meglévő parancsfájlt a / usr / lib / tűzfal / szolgáltatás könyvtárból az / etc / tűzfal / szolgáltatás könyvtárban (itt a tűzfal nem szabványos beállításokat keres).

Például másolhatja az SSH szolgáltatás definícióját, és felhasználhatja a feltételes példa szolgáltatás meghatározásához. A szkript neve meg kell egyeznie a szolgáltatás nevével és kiterjesztése .xml.

sudo cp /usr/lib/firewalld/services/service.xml /etc/firewalld/services/example.xml

Javítsa ki a másolt fájlt.

sudo nano /etc/firewalld/services/example.xml.

A fájl az SSH meghatározása:

A legtöbb szolgáltatás definíció metaadat. Módosítsa a szolgáltatás rövid nevét a címkékben . Ez egy ügyfélszolgálat neve. Szintén hozzá kell adnia a szolgáltatás leírását is. Az egyetlen változás, amely befolyásolja a szolgáltatás szolgáltatását, a portszám és a protokoll módosítása.

Visszatérjünk a példaszolgáltatásra; Tegyük fel, hogy nyitott TCP Port 7777 és UDP 8888-as portot igényel. A definíció így fog kinézni:

Példa szolgáltatás
Ez csak egy példa. Valószínűleg kell használni a valós rendszeren.

Mentse és zárja be a fájlt.

Indítsa újra a tűzfalat:

sudo tűzfal-cmd -reload

Most megjelenik a szolgáltatás a rendelkezésre álló szolgáltatások listájában:

tűzfal-cmd -get-szolgáltatások
RH-Satellite-6 Amanda-kliens bacula bacula-kliens DHCP DHCPv6 DHCPv6-kliens DNS például ftp magas rendelkezésre http https imaps IPP IPP-kliens IPSec Kerberos kpasswd LDAP ldaps libvirt libvirt-TLS mdns mountd ms-wbt mysql NFS NTP OpenVPN pmcd pmproxy PMWEBAPI PMWEBAPIS POP3S POSTGRESQL PROXY-DHCP RADIUS RPC-BIND SAMBA SAMBA-CLIENT SMTP SSH TELNET TFTP TFTP-CLIENT átvitel-kliens VNC-Server WBEM-HTTPS

Zónák létrehozása

A tűzfal számos előre meghatározott zónát kínál, amelyek a legtöbb esetben elegendőek. De bizonyos helyzetekben szükség van egy egyedi zónára.

Például egy webszerver számára létrehozhat egy nyilvános webes zónát, és a DNS szolgáltatás - a privatedns zónát.

Zóna létrehozása, hozzá kell adnia a tűzfal állandó beállításaihoz.

Próbálja meg létrehozni a PURNALWEB és a PRIVATEDNS területeket:

sudo tűzfal-cmd -Permanent -new-zóna \u003d publicweb
Sudo tűzfal-cmd -Permanent -new-zóna \u003d privatedns

Győződjön meg róla, hogy a zónák léteznek:

sudo tűzfal-cmd -Permanent -get-zónák

Az aktuális munkamenetben az új zónák nem állnak rendelkezésre:

tűzfal-cmd -get-zónák
Blokk DMZ DROCK külső otthoni belső nyilvános megbízható munka

Új zónák eléréséhez újra kell indítania a tűzfalat:

sudo tűzfal-cmd -reload
Tűzfal-cmd -get-zónák
BLOCK DMZ DROCK Külső Home Belső Privatedns Nyilvános PublicWeb Megbízható munka

Most hozzárendelheti a szükséges szolgáltatásokat és portokat az új zónákhoz. Például a PublicWeb zónában hozzáadhat SSH, HTTP és HTTPS-t.

sudo tűzfal-cmd -zone \u003d PublicWeb --Add-Service \u003d ssh
Sudo tűzfal-cmd -zone \u003d PublicWeb --Add-Service \u003d http
Sudo tűzfal-cmd -zone \u003d PublicWeb --Add-Service \u003d HTTPS
Tűzfal-cmd -zone \u003d PublicWeb-List-All
PURNALWEB.
Interfészek:
Források:
Szolgáltatások: http https ssh
Portok:
Masquerade: Nem.
Előrejelzők:
ICMP-blokkok:
Rich szabályok:

Hozzáadhat DNS-t a PrivatedNS zónában:

sudo tűzfal-cmd -zone \u003d privatedns --add-service \u003d DNS
Tűzfal-cmd -zone \u003d privatedns --list-all
Privatedns.
Interfészek:
Források:
Szolgáltatások: DNS.
Portok:
Masquerade: Nem.
Előrejelzők:
ICMP-blokkok:
Rich szabályok:

Ezután a hálózati interfészeket új zónákba kötheti:

sudo tűzfal-cmd -zone \u003d PublicWeb --change-Interface \u003d eth0
Sudo tűzfal-cmd -zone \u003d privatedns --change-interface \u003d eth1

Most tesztelheti a beállítást. Ha minden rendben működik, hozzáadhatja ezeket a szabályokat az állandó beállításokhoz.

sudo tűzfal-cmd -zone \u003d PublicWeb -Permanent --add-service \u003d ssh
Sudo tűzfal-cmd -zone \u003d PublicWeb -Permanent --add-service \u003d http
Sudo tűzfal-cmd -zone \u003d PublicWeb -Permanent --DD-Service \u003d HTTPS
Sudo tűzfal-cmd -zone \u003d privatedns --permanent --add-service \u003d DNS

Ezt követően konfigurálhatja a hálózati interfészeket, hogy automatikusan csatlakozzon a megfelelő zónához.

Például az eth0-t a PURNALWEB-hez kötjük:

sudo nano / etc / sysconfig / hálózati szkriptek / ifcfg-eth0
. . .
IPv6_AutoConf \u003d Nem.
DNS1 \u003d 2001: 4860: 4860 :: 8844
DNS2 \u003d 2001: 4860: 4860 :: 8888
DNS3 \u003d 8.8.8.8.
Zóna \u003d PURNALWEB.

És az eth1 interfész a privatottákhoz kapcsolódik:

sudo nano / etc / sysconfig / hálózati szkriptek / ifcfg-eth1
. . .
NetMask \u003d 255.255.0.0.
Defraze \u003d "nem"
Nm_controlled \u003d "igen"
Zóna \u003d privatedns.

Indítsa újra a hálózati szolgáltatásokat és a tűzfalat:

sudo systemctl újraindítás hálózat
Sudo systemctl újraindítása tűzfald

Ellenőrizze a zónákat:

tűzfal-cmd -get-aktív zónák
Privatedns.
Interfészek: eth1
PURNALWEB.
Interfészek: eth0.

Győződjön meg róla, hogy a következő szolgáltatások igényei zónákban dolgoznak:

tűzfal-cmd -zone \u003d PublicWeb-List-Services
http http ssh.
Tűzfal-cmd -zone \u003d privatedns -list-services
DNS.

Az egyéni zónák teljesen felkészültek a munkára. Lehet, hogy bármelyiküket az alapértelmezett zóna. Például:

sudo tűzfal-cmd -set-default-zóna \u003d publicweb

A tűzfal automatikus elindítása

Most, hogy ellenőrizte az összes beállítást, és gondoskodott arról, hogy az összes szabály megfelelően működik-e, testreszabhatja a tűzfal autorunot.

Ehhez írja be:

sudo systemctl lehetővé teszi a tűzfald engedélyezése

Most a tűzfal a kiszolgálóval együtt fut.

Következtetés

A Firewald Firewall nagyon rugalmas eszköz. A zónák lehetővé teszik, hogy gyorsan megváltoztassa a tűzfalpolitikát.

Most már tudja, hogyan működik Firewalld, ismeri az alapvető fogalmak tűzfal, tudja, hogyan kell létrehozni egyéni zónák és szélesebb körű szolgáltatásokat.

Címkék:

A Centoos 7-el kezdve a szűrési forgalom szabályainak konfigurálásához egy új eszköz megjelent tűzfal.. Javasoljuk, hogy ajánlott az iptables szabályok kezelésére. A CENTOS 8-ban a szabványos iptables szűrőcsomag helyett a NfTables Framework-t használják, és a tűzfalszabályok tűzfalszabályozásának beállítása során valójában az NfTables-et konfigurálja. Ebben a cikkben megnézzük a Firewalld tűzfal telepítését, alapfogalmát és konfigurációját a Centos 8-as szerveren (Centos 7-ben, mind hasonlóan).

Tűzfal. - Egy tűzfal, amely védi a kiszolgálót a nem kívánt forgalomból a dinamikus szabályok kezelésével (újraindítás nélkül) és az állandó tűzfalszabályok végrehajtásával. Az interfészként működik és nftables. A Firewalld szinte minden Linux eloszlásban használható.

Alapvető fogalmak tűzfal, zónák és szabályok

A telepítés és konfigurálás előtt tűzfal.Megismerjük a zónák fogalmát, amelyeket a bizalom szintjének meghatározására használnak különböző kapcsolatok. Különböző zónák esetében tűzfal. Különböző szűrési szabályokat alkalmazhat, adja meg az aktív tűzfal opciókat előre meghatározott szolgáltatások, protokollok és kikötők, portirányítások és gazdag szabályok formájában.

Tűzfal. Szűrők a zónákra vonatkozó szabályoktól függően a zónákon belül. Ha egy IP.- A Sender Sender Sender megfelel a zóna szabályainak, a csomagot ezen a zónán keresztül fogják elküldeni. Ha a cím nem egyezik meg a kiszolgálón konfigurált zónával, akkor a csomagot az alapértelmezett zóna feldolgozza. Telepítéskor tűzfal.az alapértelmezett zónát hívják nyilvános.

A Firewalld zónákat tartalmaz, ahol az engedélyek már különböző szolgáltatásokra vannak konfigurálva. Ezeket a beállításokat használhatja, vagy saját zónákat hozhat létre. A Firewalld telepítésekor létrehozott alapértelmezett zónák listája (a / usr / lib / tűzfal / zónában / zónában / zónában / könyvtárban):

csepp.	minimális bizalmi szint. Minden bejövő csatlakozás válasz nélkül blokkolható, csak kimenő vegyületek megengedettek;
blokk	a zóna hasonló az előzőhöz, de amikor a beérkező kéréseket elutasítja az üzenetet ICMP-Host-tilos IPv4 vagy ICMP6-ADM-tiltott IPv6;
nyilvános	nyilvános, nem megbízható hálózatok képviseli. A kiválasztott bejövő vegyületeket egyedileg megoldhatja;
külső	külső hálózatok, amikor a tűzfalat átjáróként használják. Úgy van konfigurálva, hogy maszkoljunk Nat, így a belső hálózat továbbra is magán, de megfizethető;
belső	az antonim zóna külső. A gazdagép elegendő szintű bizalommal rendelkezik, számos további szolgáltatás áll rendelkezésre;
dMZ.	a DMZ-ben található számítógépekhez (szigetelt számítógépek a hálózat többi részéhez való hozzáférés nélkül). Csak bizonyos bejövő vegyületek megengedettek;
munka	zóna a munkagépekhez (a hálózat legtöbb számítógépe megbízható);
iTTHON	otthoni hálózati terület. A legtöbb számítógépen bízhat, de csak bizonyos bejövő vegyületeket támogatnak;
megbízható.	trust minden gépen online. A legtöbb nyitott elérhető opcióktudatos felhasználást igényel.

BAN BEN tűzfal. Két szabálykészletet használnak - állandó és ideiglenes. A kiszolgáló újraindítása előtt ideiglenes szabályok dolgoznak. Alapértelmezés szerint a szabályok hozzáadásával tűzfal.A szabályok ideiglenesnek tekintendők ( futásidő.). Rendszerint egy folyamatos alapon. A zászlót kell használnia - Állandó.. Az ilyen szabályokat a kiszolgáló újraindítása után alkalmazzák.

Tűzfal telepítése és befogadása a CENTOS-ban

A Centos 7/8 Firewalld alapértelmezés szerint telepítve van az operációs rendszerben. Ha törölte, és telepíteni szeretné a Firewalld, használhatja a szabványkezelő / DNF:

# Yum Telepítse a Firewalld -y -y - a Centos 7-et
# DNF Telepítse a Firewalld -y - a Centos 8-at

Démon tűzfal. Automatikusan indult el a szerver indításával, hozzá kell adnia:

# Systemctl Engedélyezze a tűzfald engedélyezését

És futtassa:

# Systemctl Start Firewalld

Ellenőrizze a szolgáltatás állapotát:

# Systemctl status tűzfal

● Tűzfald.Service - Firewalld - Dinamikus tűzfal démon betöltve: betöltött (/usr/lib/systemd/system/firewald.service; engedélyezett, szállító előre beállított: engedélyezve) aktív: Aktív (futás) Mon 2019-10-14 óta 14:54 : 40 +06; 22-es évvel ezelőtt Dokumentumok: Man: Firewalld (1) Main PID: 13646 (tűzfald) cgroup: /system.slice/firewalld.service └─13646 / usr / bin / python2 -es / usr / sbin / tűzfal --nofork --nopid Október 14 14:54:40 Server.vpn.ru SystemD: induló tűzfal - dinamikus tűzfal démon ... Október 14 14:54:40 Server.vpn.ru SystemD: Start tűzfal - Dinamikus tűzfal démon.

Akár a csapat:

# Tűzfal-cmd -sstate

A tűzfal-cmd parancs a tűzfal első szövege nftables / iptables.

# Tűzfal-cmd -sstate

A tűzfalszabályokkal való munka

Alapértelmezett szabályok:

A tűzfalszabályok konfigurálása előtt ellenőriznie kell, hogy melyik zónát használja alapértelmezés szerint:

# Tűzfal-cmd -get-indulási zóna

Mivel a tűzfal csak telepítve van, és még nem állítottunk létre, van egy alapértelmezett zóna nyilvános.

Ellenőrizze az aktív zónát. Ő is egyedül van - nyilvános:

# Tűzfal-cmd -get-aktív zónák

Nyilvános interfészek: eth0

Amint látja, az eth0 hálózati felületet a zóna vezérli nyilvános.

Az aktív zóna szabályainak megtekintéséhez írja be:

# Tűzfal-cmd -list-all

Nyilvános (aktív) TARGET: Alapértelmezett ICMP-blokk-inverzió: Nincs interfész: ETH0 Források: Szolgáltatások: DHCPV6-kliens SSH portok: Protokollok: Masquerade: Nincs előre-portok: Forrás-portok: ICMP-blokkok: gazdag szabályok:

A listából nyilvánvaló, hogy a DHCP-klienshez és az SSH-hoz kapcsolódó rendszeres műveletek hozzáadódnak e zónához.

Elérhető zónák

Az összes zónának listájának megtekintéséhez meg kell végrehajtania a parancsot:

# Tűzfal-cmd -get-zónák

Van egy ilyen lista:

Blokk DMZ DROCK külső otthoni belső nyilvános megbízható munka

Az adott zóna szabályainak ellenőrzéséhez hozzá kell adnia egy zászlót.

# Tűzfal-cmd -zone \u003d home --list-all

Otthoni cél: Alapértelmezett ICMP-blokk-inverzió: Nincs interfész: Források: Szolgáltatások: DHCPV6-kliens MDNS SAMBA-kliens SSH Portok: Protokollok: Masquerade: Nincs előre-port: forrás-portok: ICMP-blokkok: gazdag szabályok: gazdag szabályok:

Az összes zóna szabályai megtekinthetik a csapatot:

# Tűzfal-cmd -list-all-zónák

A felsorolás meglehetősen nagy lesz, mivel a zónák sokat lehetnek.

Az alapértelmezett zóna megváltoztatása.

Alapértelmezés szerint minden hálózati interfész található a zónában. nyilvánosDe átvihető bármelyik zónára, a csapatra:

# Tűzfal-cmd -zone \u003d Otthon -Change-Interface \u003d eth0

A paraméter után -Zone \u003d. Adja meg a kívánt zónát.

Az alapértelmezett zóna megváltoztatásához a parancsot kell alkalmaznia:

# Tűzfal-cmd -set-default-zóna \u003d otthon

Szabályok hozzáadása az alkalmazásokhoz

Az alkalmazás portjának megnyitásához a kivételeket hozzáadhatja. A rendelkezésre álló szolgáltatások listájának megjelenítése:

A kimenet nagy számú szolgáltatást tartalmaz. részletes információk A szolgáltatás a xML fájl. Ezek a fájlok a könyvtárban találhatók USR / LIB / tűzfal / szolgáltatások.

Például:

# CD / usr / lib / tűzfal / szolgáltatások

Mail (smtp) Ez az opció lehetővé teszi a bejövő SMTP-levelezést. Ha meg kell, hogy távoli gépek közvetlenül a nyomtatóhoz kell kézbesíteni a leveleket, engedélyezze ezt az opciót. Nem kell ezt engedélyezni, ha a POP3 vagy az IMAP által az ISP "S szerveréből gyűjti, vagy ha egy olyan eszközt használ, mint például a Fetchmail. Ne feledje, hogy a helytelenül konfigurált SMTP-kiszolgáló lehetővé teszi a távoli gépek számára a kiszolgáló használatát Levélszemét.

Az XML fájl leírja a szolgáltatást, a protokollot és a portszámot, amely tűzfalban nyílik meg.

A szabályok hozzáadásakor használhatja a paramétert -Add-szolgáltatás.Egy adott szolgáltatáshoz való hozzáférés megnyitása:

# Tűzfal-cmd -zone \u003d nyilvános --dd-szolgáltatás \u003d http

# Tűzfal-cmd -zone \u003d nyilvános --dd-service \u003d https

A szabályok hozzáadása után ellenőrizheti, hogy a szolgáltatásokat hozzáadja-e a megadott zónához:

# Tűzfal-cmd -zone \u003d nyilvános --lista-szolgáltatások

Dhcpv6-ügyfél http https ssh

Ha ezeket a szabályokat állandóvá szeretné tenni, ha hozzá kell adnia egy paramétert -Állandó..

Szolgáltatás eltávolítása a zónából:

# Tűzfal-cmd -permanent -zone \u003d nyilvános --Remove-Service \u003d http

DHCPV6-ügyfél HTTPS SSH teszt

Ha szeretné hozzáadni a szolgáltatást kivételekhez, létrehozhat egy fájlt. xML Egyedül és töltse ki. Adatokat másolhat bármely szolgáltatásból, módosíthatja a nevet, a leírást és a portszámot.

Másolja a fájlt smtp.xml. A felhasználói szolgáltatásokkal való munkavégzéshez:

# cp /usr/lib/firewalld/services/smtp.xml / etc / tűzfal / szolgáltatás

Módosítsa a szolgáltatás leírását a fájlban.

Az XML-fájlt maga is át kell nevezni a szolgáltatás neve. Ezt követően újra kell indítania a Firewalld-t, és ellenőriznie kell, hogy a szolgáltatásunk szerepel:

Hívtam a szolgáltatást teszt És a listán szereplő listában:

Syslog-tls telnet teszt tftp

Most hozzáadhatja a létrehozott szolgáltatást bármely zónához:

# Tűzfal-cmd -zone \u003d nyilvános --Add-Service \u003d teszt -permanent

# Tűzfal-cmd -zone \u003d nyilvános -permanent -list-services

DHCPV6-ügyfél http https ssh teszt

Ha megtalálja a listában szükséges szolgáltatást, akkor megnyithatja a kívánt portot a Firewalld csapatnál:

# Tűzfal-cmd -zone \u003d nyilvános -aDD-port \u003d 77 / tcp - nyitott 77 port tCP.
# Tűzfal-cmd -zone \u003d nyilvános -aDD-port \u003d 77 / UDP - nyitott 77 port uDP.
# Tűzfal-cmd -zone \u003d nyilvános -add-port \u003d 77-88 / UDP - Open Port tartomány 77-88 uDP.
# Tűzfal-cmd -zone \u003d nyilvános-lista-portok - ellenőrizze az engedélyezett portok listáját

Blokkolja / engedélyezze az ICMP válaszokat:

# Tűzfal-cmd -zone \u003d nyilvános --dd-icmp-block \u003d echo-válasz
# Tűzfal-cmd -zone \u003d nyilvános --Remove-icmp-block \u003d echo-válasz

A hozzáadott port törlése:

# Tűzfal-cmd -zone \u003d Public-Remove-port \u003d 77 / UDP - Törlés ideiglenes szabály 77 uDP.

# Tűzfal-cmd -perMermanent -Zone \u003d nyilvános -Remove-port \u003d 77 / UDP - Állandó szabály törlése

Saját zónák hozzáadása

Létrehozhatja saját zónáját (hívom mi):

# Tűzfal-cmd -Permanent -new-zóna \u003d a miénk

Új zóna létrehozása után, ahogy a szolgáltatás létrehozása után újraindításra van szüksége tűzfal.:

# Tűzfal-cmd -reload

# Tűzfal-cmd -get-zónák

Blokk DMZ DROCK Külső otthoni belső nyilvános megbízható munkánk

Zóna mi Elérhető. Szolgáltatásokat adhat hozzá, vagy megnyithat bizonyos portokat.

Firewald: Lock IP-címek, kizárás létrehozása

Hozzáadhat megbízható cím IP-címeket a tűzfal eltávolításához vagy a nem kívánt blokkhoz.

Különleges kivétel hozzáadásához IP-cím (például 8.8.8.8) a kiszolgálón keresztül tűzfal.Használja a parancsot:

# Tűzfal-cmd -zone \u003d nyilvános --dd-rich-szabály \u003d "szabály család \u003d" IPv4 "forráscím \u003d" 8.8.8.8 "Elfogad"

Ellenőrizze a zónát, és győződjön meg róla, hogy IP. A REGISZTRÁCIÓKRE VONATKOZÓ KIVÁLASZTÁSOKRA VONATKOZÓ SZABÁLYOZÁS:

Nyilvános (aktív) cél: Alapértelmezett ICMP-blokk-inverzió: NO interfész: eth0 Források: szolgáltatások: DHCPv6-ügyfél http https ssh tesztportok: protokollok: Masquerade: Nincs előre-portok: forrás-portok: ICMP-blokkok: gazdag szabályok: gazdag szabályok: Szabály család \u003d "IPv4" forráscím \u003d "8.8.8.8" Elfogad

Blokkolni IP., cserélni kell elfogad a elutasít.:

# Tűzfal-cmd -zone \u003d nyilvános --dd-rich-szabály \u003d "szabály család \u003d" IPv4 "forráscím \u003d" 8.8.4.4 "Elutasítás"

# Tűzfal-cmd -zone \u003d nyilvános --lista-minden

Meghatározhatja az adott szolgáltatást egy adott IP-címre vonatkozó kérésekhez:

# Tűzfal-cmd -Permanent --DD-RICR-ROUND "szabály család \u003d" IPv4 "forráscím \u003d" 10/10 / 1.0 / 24 "Service name \u003d"

Ha sürgősen blokkolja a szerverre vonatkozó összes kérelmet, használja a pánikparancsot:

# Tűzfal-cmd -panic-on

Tiltsa le a pánik módot egy parancs segítségével:

# Tűzfal-cmd -panic-off

Vagy újraindítja a kiszolgálót.

A tűzfal konfigurációját a helyi szolgáltatásokhoz blokkolhatja root jogok Nem sikerült megváltoztatni az Ön által létrehozott tűzfalszabályokat:

# Tűzfal-cmd-lockdown-on

LOCK mód letiltása:

# Tűzfal-cmd-lockdown-off

Port átirányítás tűzfalban

Hozzon létre egy szabály átirányítási szabályt a tűzfalban. A 443 port átirányítása 9090-nél:

# Tűzfal-cmd -zone \u003d nyilvános --dd-forward-port \u003d port \u003d 443: proto \u003d tcp: toport \u003d 9090

A port átirányítási szabály törléséhez:

# Tűzfal-cmd -zone \u003d nyilvános --Remove-forward-port \u003d port \u003d 443: proto \u003d tcp: toport \u003d 9090

F iRewalld a tűzfal ellenőrzési eszköz alapértelmezés szerint elérhető CentOS 7 szerverrel. Alapvetően ez egy héj körül IPTables, és jön egy tűzfal-konfiguráció és a szerszám konfiguráció grafikus eszköz parancs sor Tűzfal-cmd. Az iptables szolgáltatás használatával minden változás megköveteli a régi szabályok eltávolítását, és új szabályokat hoz létre a `` / etc / sysconfig / iptables-, és amikor a Firewalld csak különbséget alkalmaz.

Tűzfal zónák

A Firewalld az iptables szabályai és láncai helyett szolgáltatásokat és zónákat használ. Alapértelmezés szerint a következő zónák állnak rendelkezésre:

csepp. - Az összes bejövő hálózati csomagot megválaszolatlan, csak kimenő hálózati kapcsolatok állnak rendelkezésre.
blokk- Elutasítja az összes bejövő hálózati csomagot ICMP-host tiltott üzenetküldéssel, csak kimenő hálózati kapcsolatok állnak rendelkezésre.
nyilvános - Csak kiválasztott bejövő vegyületeket fogadnak el nyilvános helyeken
külső - A maszkolóval rendelkező külső hálózatok esetében csak kiválasztott bejövő kapcsolatok fogadhatók el.
dMZ. - A demilitarizált DMZ zóna nyilvánosan elérhető a belső hálózathoz való korlátozott hozzáféréssel, csak kiválasztott bejövő kapcsolatok fogadhatók el.
munka
iTTHON - Az otthoni zónában található számítógépek esetében csak a kiválasztott bejövő kapcsolatok fogadhatók el.
belső - A belső hálózat számítógépei esetében csak kiválasztott bejövő kapcsolatok fogadhatók el.
megbízható. - Minden hálózati kapcsolat elfogadásra kerül.

Az összes rendelkezésre álló terület felsorolása:

# Tűzfal-cmd -get-zónák munka csepp belső külső megbízható otthoni dmz nyilvános blokk

Az alapértelmezett zónalista megtekintéséhez:

# Tűzfal-cmd -get-indulási zóna nyilvános

Az alapértelmezett zónának módosítása:

Szolgáltatások Firewalld.

A Firewalld szolgáltatások fájlok xML konfigurációk, A Firewalld szolgáltatási bejegyzésével kapcsolatban. Az összes rendelkezésre álló szolgáltatás listájának megszerzése:

# Tűzfal-cmd --get-Services Amanda-Client Amanda-K5-Client Bacula Bacula-Client cefalosporin cefalosporin-közép DHCP DHCPv6- DHCPv6--Client DNS Docker-nyilvántartó Dropbox-Lansync FreeIpa-LDAP FreeIpa-ldaps FreeIpa replikáció FTP magas rendelkezésre állással http https IMAP IMAPS IPP IPP-kliens IPPSC iSCSI-TARGET KADMIN Kerberos Kpasswd LDAP LDAPS Libvirt Libvirt-Tls MDNS Mosh Mountd MS-WBT MYSQL NFS NTP OpenVPN PMCD PMPROXY PMWEBAPI PMWEBAPIS POP3 POP3S POSTGRESQL PRIP3S POP3S-DHCP PRTP POXY-DHCP PUT PulseAudio PuppetMaster RADC-BIND RSYNCD Samba Samba-kliens SANE SMTP SMTPS SNMP SNMPTRAP SMID SSH SYSLOG SYSLOG-TLS TELNET TFTP TFTP-CLIENT TIN TORNET TFTP TFTP-kliens Tinc Tor-Socks átviteli-kliens VDSM VNC-kiszolgáló WBEM-HTTPS XMPP-BOSH XMPP-CLIRE XMPP-LOCAL XMPP-szerver

Konfigurációs fájlok A katalógusokban tárolt XML USR / LIB / tűzfal / szolgáltatások / és / etc / tűzfal / szolgáltatások /.

A tűzfal konfigurálása tűzfalkal

Például, így konfigurálhatja a tűzfalat a tűzfal használatával, ha webszerveren dolgozik, az SSH a Port 7022 és a Mail Server rendszeren.

Először beállítottuk a DMZ alapértelmezett zónáját.

# Tűzfal-cmd -set-default-zóna \u003d DMZ # tűzfal-cmd -get-alapértelmezett

A HTTP és a HTTPS állandó szolgáltatási szabályainak hozzáadása a DMZ zónában futtassa a következő parancsot:

# Tűzfal-cmd --Zone \u003d DMZ --DD-service \u003d http --permanent # Firewall-CMD --Zone \u003d DMZ --add-service \u003d https --permanent

Nyílt port 25 (SMTP) és a 465 (SMTP) port:

Tűzfal-CMD --Zone \u003d DMZ --DD-Service \u003d SMTP --permanent tűzfal-cmd --Zone \u003d DMZ --DD-Service \u003d SMTPS --perment

Nyílt, IMAP, IMAPS, POP3 és POP3S portok:

Tűzfal-cmd -zone \u003d DMZ --ADD-SERVICE \u003d IMAP -PERMANENT FIREWALL-CMD -ZONE \u003d DMZ --DD-SERVICE \u003d IMAPS --PERMANENT FIREWALL-CMD -ZONE \u003d DMZ --ADD-SERVICE \u003d POP3 --PERMANENT FIREWALL-CMD --ZONE \u003d DMZ --ADD-SERVICE \u003d POP3S --PERMANENT

Mivel az SSH port 7022-re változik, töröljük az SSH szolgáltatást (22-es port), és nyissa meg a 7022 portot

Tűzfal-cmd -remove-service \u003d ssh-permanent tűzfal-cmd --add-port \u003d 7022 / tcp -permanent

A változások végrehajtásához újra kell indítanunk a tűzfalat:

Tűzfal-cmd -reload

És végül felsorolhatja a szabályokat.

A CENTOS 7, ellentétben a Centos 6-ról, az adatbázisban egy új tűzfal - tűzfal. Kikapcsolható, és jó öreg Iptables-szel helyettesítheti, de ha nincs közvetlen előfeltételei erre, akkor a legjobb, ha hozzászokik valami új, és nem pihenni a régi. Ez nem jelenti azt, hogy a Windows 10 jobb, mint a Windows 7, és a Windows XP jobb, mint a Windows 7;) Jó példa Ezen a témában - Selinux. Ha először szinte mindannyian (és is), kikapcsolta, és még egy kicsit szidta, most már majdnem senki sem tanácsolja azt, csak akkor, ha bizalom van, hogy szükséges. Éppen ellenkezőleg sokan megszokták (vagy használják) a Semanage használatához. Nem fogunk, és azonnal kikapcsoljuk a tűzfalat, és megpróbáljuk, hogyan ízlik.

A tűzfal nem alapvetően különböző tűzfal. Ez egy másik felépítmény a NetFilter felett, így ha tapasztalata van az iptables, akkor szenved egy kicsit nyugodtan indul egy új eszközzel.

Futás és leállítás tűzfald

Ellenőrizze, hogy elindította-e a Firewalld:

# Systemctl status tűzfal

Kiterjesztik az információkat. Röviden, igen (működik), vagy nem ez:

# Tűzfal-cmd -sstate
Futás

Ok, működik.

Tűzfal megáll:

# Systemctl stop tűzfal

Fordított motoros állomás:

# Systemctl letiltja a tűzfalat

Indítsa el a tűzfalat:

# Systemctl Start Firewalld

A buszpályaudvar bekapcsolása:

# Systemctl Engedélyezze a tűzfald engedélyezését

Tűzfal zónák

A zóna fogalmát széles körben használják a tűzfalban. Az összes megengedett zónák listája alapértelmezés szerint:

# Tűzfal-cmd -get-zónák
Blokk DMZ DROCK külső otthoni belső nyilvános megbízható munka

Zónák kinevezése (feltételesen, természetesen):

drop - Minden bejövő csomagot eldobják (csepp) válasz nélkül. Csak kimenő vegyületek megengedettek.
a blokk - bejövő kapcsolatok eltérnek (elutasítva) az ICMP-host-tiltott (vagy ICMP6-ADM tilos) válaszával. Csak kezdeményezett csatlakozási rendszer megengedett.
nyilvános - alapértelmezett. Nyilvánvaló, hogy ez a zóna a közhasznú munkavégzésre irányul. Nem bízunk ebben a hálózatban, és csak bizonyos bejövő vegyületeket hagyunk.
külső - zóna az útválasztó külső felületén (úgynevezett Masquerading). Csak az általunk meghatározott bejövő kapcsolatok megengedettek.
dMZ - DMZ zóna, csak bizonyos bejövő kapcsolatok megengedettek.
a munka egy működő hálózati zóna. Még mindig nem bízunk senkinek, de már nem annyira, mint korábban :) csak bizonyos bejövő vegyületek megengedettek.
otthon - otthoni zóna. Bízunk benne a környezetben, de csak bizonyos bejövő vegyületek megengedettek
belső - belső zóna. Bízunk benne a környezetben, de csak bizonyos bejövő vegyületek megengedettek
megbízható - minden megengedett.

Az összes aktív zónák listája:

# Tűzfal-cmd -get-aktív zónák
Nyilvános
Interfészek: ENP1S0.

Igen, a nyilvános terület, amelyhez az ENP1SO hálózati interfész csatlakozik. A nyilvános zónában továbbad egy új portot, amelyen az sshd fog lógni.

A hálózati felület (például az ENP1S0) nevét ismeri, megtudhatja, melyik zóna tartozik:

# Tűzfal-cmd -get-zóna-interface \u003d enp1s0
Nyilvános

És megtudhatja, hogy melyik interfész tartozik az adott zónához:

# Tűzfal-cmd -zone \u003d nyilvános --lista-interfészek
Enp1s0.

Példa: Az SSH engedélyezése nem szabványos porton

Hagyjuk hozzáférést biztosítani az SSH kiszolgálóhoz a 2234 / TCP porton, és nem pedig 22 / TCP-vel, alapértelmezettként. Az út mentén kissé érintse meg a Selinuxot.

Először nézzük meg, hogy mi történik a szerverünkön általánosan megengedett:

# Tűzfal-cmd -Permanent -list-all
Nyilvános (alapértelmezett)
Interfészek:
Források:
Szolgáltatások: SSH DHCPV6-kliens
Masquerade: Nem.
Előrejelzők:
ICMP-blokkok:
Rich szabályok:

Nem használom az IPv6-ot, míg IPv6, így azonnal eltávolítom az ACC-t. A tűzfalból származó szabály:

# Tűzfal-cmd -permanent --zone \u003d nyilvános --Remove-Service \u003d DHCPV6-kliens

Engedélyezetten (így az újraindítás után nem veszített) kapcsolat a 2234 / TCP porthoz (Hang SSHD):

# Tűzfal-cmd -permanent -zone \u003d nyilvános --dd-port \u003d 2234 / tcp

Indítsa újra a szabályokat:

# Tűzfal-cmd -reload

Jelölje be:

# Tűzfal-cmd -zone \u003d nyilvános --lista-portok
2234 / TCP.

OK, a port nyitva van. SSHD konfiguráció szerkesztése:

# Nano / etc / ssh / sshd_config
...
2234-es port.
...

# Systemctl újraindítása sshd.service

De selinux, amit remélem, nem tiltja le, nem teszi lehetővé a csatlakozó SSH a nem szabványos port (port 2234 / TCP az SSHD - nem szabványos). Ezt a lépést kihagyhatja, és ellenőrizheti, hogy a Selinux védelem hogyan működik, és azonnal beállíthatja mindent:

# Yum Semanage biztosítja
# Yum telepíthető házirendjeutils-python
# Semanage Port -a -t ssh_port_t -p TCP 2234

Most minden rendben van. Ellenőrizze az SSH-kapcsolatot az új porton. Ha minden rendben van, szoros hozzáférést biztosít a 22-es porthoz:

# Tűzfal-cmd -permanent -zone \u003d nyilvános --Remove-service \u003d ssh
# Tűzfal-cmd -reload

Megnézzük, mi történt:

# Tűzfal-cmd -list-all
Nyilvános (alapértelmezett, aktív)
Interfészek:
Források:
Szolgáltatások:
Portok: 2234 / TCP
Masquerade: Nem.
Előrejelzők:
ICMP-blokkok:
Rich szabályok:

Ez minden.

Különböző hasznos csapatok:

Minden kimenő és bejövő csomag üzemmód engedélyezése:

# Tűzfal-cmd -panic-on

Kapcsolja ki az összes kimenő és bejövő csomag zár módját:

# Tűzfal-cmd -panic-off

Ha meg szeretné tudni, hogy minden kimenő és bejövő csomag engedélyezve van-e:

# Tűzfal-cmd -Query-pánik

Újratöltse a tűzfalszabályokat az aktuális kapcsolatok elvesztése nélkül:

# Tűzfal-cmd -reload

A tűzfalszabályok újratöltése és az aktuális kapcsolatok visszaállítása (csak problémák esetén ajánlott):

# Tűzfal-cmd -Complete-reload

Adja hozzá a zóna hálózati felületét:

# Tűzfal-cmd -zone \u003d nyilvános --dd-interface \u003d em1

Add hozzá a zóna hálózati felülethez (mentés a tűzfal újraindítása után):

# Tűzfal-cmd -zone \u003d public -permanent --add-interface \u003d em1

Megadhatja az IFCFG-ENP1S0 konfigurációs konfigurációt, amelyen az interfész tartozik. Ehhez add hozzá a zónát \u003d munkát a / etc / sysconfig / hálózati szkriptek / ifcfg-ep1s0 fájlba. Ha a zóna paraméter nincs megadva, az alapértelmezett zóna hozzárendelve (DEFAULTZONE paraméter az /etc/firewalld/firewalld.conf fájlban.

A port tartomány engedélyezése:

# Tűzfal-cmd -zone \u003d nyilvános --dd-port \u003d 5059-5061 / UDP

Masquerade, ő Nat, Ő ...):

Ellenőrizd az állapotot:

# Tűzfal-cmd -zone \u003d külső -Query-Masquerade

Engedélyezze:

# Tűzfal-cmd -zone \u003d külső --dd-masquerade

Itt meg kell jegyezni, hogy például a Masquerade és a Public Zone számára engedélyezheti.

Átirányítsa a portot egy másik portra egy másik állomásra:

# Tűzfal-cmd -zone \u003d külső --dd-forward-port \u003d port \u003d 22: proto \u003d tcp: toaddr \u003d 192.168.1.23

Átirányítsa a portot egy másik portra egy másik állomásra a célport (22 és 192.168.1.23:2055 között):

# Tűzfal-cmd -zone \u003d külső /
--DD-előre-port \u003d port \u003d 22: proto \u003d tcp: toport \u003d 2055: toaddr \u003d 192.168.1.23

Ebben a célból, mert A példák végtelenül sokat lehetnek. Csak azt adom hozzá, hogy személyesen nem állítottam el véleményemet a tűzfal innovációjáról, mert Hosszú ideig használják a szintaxishoz, és ha a különböző OS Linux megtalálható az állatkertben, akkor először problémák merülhetnek fel a szokással. De miután elsajátította Firewalld, akkor bontsa ki a horizontot - leggyakrabban, ez megéri a fáradságot.

A tűzfal előnyei.

A fő előny - egy kicsit absztrakt lesz az iptables láncokból. A kikötő átirányításának bevonásához nem kell a homlokát, vagy előre el kell gondolnia. Az "API-t az iptablesből adja meg a gyártóból" valami ilyesmi. Ha bekapcsolta a NAT-ot, akkor nem számít, hol van kifejezetten (a jelenlegi szabályok sorrendjében) egy szabályt közzéteszik. Egyszerűen meg kell adnia - kapcsolja be a NAT-et0-re. És nonszensz nélkül;) kényelmes lehet, ha megszervezni kell webes felület Tűzfal vezérlés.

Lehetőség van az állapot ellenőrzésére (például a NAT be van kapcsolva, vagy sem!). És használja a parancsfájljában, például az alkalmazás logikájában. Nem tudom, hogyan kell létrehozni egy állapotkérést (be / ki) az iptables-ben. Természetesen valamit az iptables -l -t NAT nemzetségben lehet. | Grep "...", de egyetértesz, ez egy kicsit nem ugyanaz a dolog, ami "tűzfal-cmd -zone \u003d külső -query-masquerade" fut. Vannak például több száz VM a Centos-val, amelyben kissé eltérő nevek lehetnek a WAN interfészek vagy valami más. És így van egy univerzális cmdlet, amely a különböző gépek várható eredményt ad.

A tűzfald hátrányai.

A fő hátránya, véleményem, hogy ha ismerkedés, a dömping a „tiszta” iptables, ami Debian és Ubuntu és a CentOS, és általában mindenhol. Még az úton is, a mikrotika szintaxis és láncok úgy néz ki, mint az iptables típus. Ez természetesen amatőr. És a szakember még mindig dolgozni, ha vannak konkrét feltételek, akkor működik azzal, ami az. De ... Retrográd és kétségbeesetten ellenállni (nincs kifejezett előnyökkel) olyan új elemek, amelyeket minden nagy játékos magában foglal. Redhat előnyös, ha egyre több új szakember a Fiami a tűzfalban.

És ha váltott Firewalld, akkor a nettó szintaxis iptables csak fájni - lesz egy kása, vagy csak megtörni a munkát a tűzfalat, ha elkezd megváltozni / kiegészíti a szabályokat nem a szokásos Firewalld szintaxis.