Centos 7 tűzfal nyitott port. A programok és segédprogramok szabályainak létrehozása

Az operációs rendszerbe telepített tűzfal a számítógépes hálózatok közötti jogosulatlan forgalom megakadályozására szolgál. A kézikönyv vagy automatikusan létrehozza a tűzfal számára, amelyek felelősek a hozzáférés ellenőrzéséért. A Linux kernelben kifejlesztett operációs rendszerben a Centos 7 beépített tűzfal van, és tűzfal vezérli. Az alapértelmezett tűzfalat érinti, és ma beszélünk róla.

Amint azt már említettük, a Centos 7 szabványos tűzfalat tűzfal segédprogramhoz rendeli. Ezért van a tűzfal beállítása az eszköz példáján. Beállíthatja a szűrési szabályokat ugyanazokkal az iptables-szel, de kissé eltérő. Javasoljuk, hogy ismerkedjen meg az említett segédprogram konfigurációjával a következő linkre kattintva, és elkezdjük a tűzfald szétszerelését.

A tűzfal alapfogalmai

Számos zóna zóna van a forgalom kezelésére a hálózatok bizalma alapján. Mindegyikük saját politikáikat kapják, amelynek összessége és a tűzfal konfigurációja. Minden zóna egy vagy több hálózati interfészhez van rendelve, amely lehetővé teszi a szűrés beállítását is. Az alkalmazott szabályok közvetlenül az alkalmazott interfésztől függenek. Például, ha nyilvánosan elérhető Wi-Fi-hez kapcsolódik hálózati képernyő Ez növeli az ellenőrzés szintjét, és az otthoni hálózat további hozzáférést biztosít a lánc résztvevői számára. A megtekintett farvolban vannak ilyen zónák:

• a megbízható megbízhatóság az összes hálózati eszköz maximális bizalmi szintje;
• otthon - Csoport helyi hálózat. Van egy bizalom a környéken, de a bejövő kapcsolatok csak bizonyos gépek esetében állnak rendelkezésre;
• munkahelyi zóna. A legtöbb eszközben bizalom van, és további szolgáltatások aktiválódnak;
• dMZ - zóna elszigetelt számítógépekhez. Az ilyen eszközöket a hálózat többi részéből leválasztják, és csak egy bizonyos bejövő forgalmat adnak át;
• belső - belső hálózati zóna. A bizalom minden gépre vonatkozik, további szolgáltatások nyithatók meg;
• külső - fordított az előző zónára. A külső hálózatokban a NAT maszkolás aktív, bezárja a belső hálózatot, de blokkolja a hozzáférés lehetőségét;
• nyilvános - a nyilvános hálózatok zónája bizalmatlansággal minden eszközzel és a bejövő forgalom egyéni vételével;
• bLOCK - Az összes bejövő kérés hibaüzenet esetén visszaáll iCMP-host-tilos vagy iCMP6-ADM tilos;
• a csepp a minimális bizalom szintje. A bejövő kapcsolatok értesítések nélkül kerülnek kiürítésre.

A politikák maguk ideiglenesek és állandóak. Ha paraméterek szerkesztése esetén a tűzfal hatás azonnali indítás nélkül változik. Ha átmeneti szabályokat alkalmaztak, a tűzfal újraindítása után visszaállnak. Az állandó szabályt úgy hívják, hogy legyenek - folyamatosan mentésre kerül a -Permanent argumentum alkalmazása során.

A tűzfal tűzfal engedélyezése

Először tűzfalat kell futtatnia, vagy győződjön meg róla, hogy aktív állapotban van. Csak működő démon (a háttérben működő program) alkalmazza a tűzfal szabályait. Az aktiválás szó szerint néhány kattintással történik:

1. Futtassa a klasszikusot "Terminál" Bármilyen kényelmes módszer, például a menüben "Alkalmazások".



2. Adja meg a Sudo Systemctl Start Firewalld.Service parancsot, és kattintson a gombra. BELÉP.



3. A segédprogram vezérlését a Superuser nevében végezzük, így meg kell erősítenie a hitelességet a jelszó megadásával.



4. Annak érdekében, hogy a szolgáltatás működjön, adja meg a tűzfal-cmd -pate-t.



5. A megnyíló grafikus ablakban írja újra a hitelességet.



6. Megjelenik egy új vonal. Érték "Futás" javasolja, hogy a tűzfal működik.

Ha egyszer átmenetileg vagy véglegesen letiltja a tűzfalat, azt javasoljuk, hogy a következő link segítségével használja a másik cikkben bemutatott utasításokat.

Az alapértelmezett szabályok és megfizethető zónák megtekintése

Még a rendszeres tűzfal is rendelkezik saját határozott szabályokkal és hozzáférhető zónákkal. A politikus szerkesztés megkezdése előtt azt javasoljuk, hogy megismerje magát az aktuális konfigurációval. Ez egyszerű parancsokkal történik:

1. Az alapértelmezett zóna meghatározza a tűzfal-cmd -get-alapértelmezett-zóna parancsot.



2. Az aktiválás után látni fogja Új karakterláncahol megjelenik a szükséges paraméter. Például a zóna az alábbi képernyőképen van figyelembe véve "Nyilvános".



3. Azonban több zóna lehet aktív azonnal, emellett külön felülethez kötődik. Ismerje meg ezt az információt tűzfal-cmd -get-Active-Active-zónákon keresztül.



4. A tűzfal-cmd -list-all parancs megjeleníti az alapértelmezett zónához beállított szabályokat. Figyeljen az alábbi képernyőképre. Látod az aktív zónát "Nyilvános" Odaítélt szabály "Alapértelmezett" - Alapértelmezett működés, interfész "ENP0S3" és hozzáadott két szolgáltatást.



5. Ha meg kell tanulnia az összes rendelkezésre álló tűzfal zónát, lépjen be tűzfal-cmd -get-zónákba.



6. Az adott zóna paramétereit a tűzfal-cmd -zone \u003d név - listán határoztuk meg, ahol név. - Név zóna.

Meghatározás után szükséges paraméterek Folytathatja a módosítást és a hozzáadást. Elemezzük részletesen több legnépszerűbb konfigurációt.

Az interfész zónák beállítása

Amint ismeri a fenti információkat, az alapértelmezett zónát az egyes felületek esetében definiáljuk. Ez lesz benne, amíg a beállítások módosítják a felhasználót, vagy programoznak. Lehetőség van manuálisan átadni az interfészt a zónára az ülésenként, és a SUDO tűzfal-cmd -zone \u003d otthoni parancscsatornás-interface \u003d eth0 aktiválásával történik. Eredmény "SIKER" Azt jelzi, hogy az átadás sikeres volt. Emlékezzünk vissza arról, hogy az ilyen beállítások azonnal visszaállnak a tűzfal újraindítása után.

A paraméterek ilyen változásával szem előtt kell tartani, hogy a szolgáltatások üzemeltetése visszaállítható. Néhányan bizonyos zónákban nem támogatják a működést, mondjuk, hogy az SSH bár elérhető "ITTHON"De a felhasználó vagy a speciális szolgáltatás megtagadja a munkát. Győződjön meg arról, hogy az interfész sikeresen kötötte az új ága, megadásával Firewall-CMD --get-Active-Zones.

Ha vissza szeretné állítani a korábban készített beállításokat, egyszerűen futtassa a tűzfal újraindítását: sudo systemctl újraindítás tűzfald.service.

Néha nem mindig kényelmes az interfész zóna megváltoztatása csak egy munkamenetben. Ebben az esetben módosítania kell a konfigurációs fájlt, hogy minden beállítás állandóan zománcozott legyen. Ehhez azt javasoljuk, hogy használja a szövegszerkesztőt. nano.amely a Sudo Yum telepítése Nano hivatalos tárolójából telepítve van. Ezután továbbra is ilyen intézkedések:

1. Nyissa meg a konfigurációs fájlt a szerkesztővel a sudo nano / etc / sysconfig / hálózati szkriptek / ifcfg-eth0 bevitelével, ahol eth0. - A szükséges felület neve.



2. A hitelesség megerősítése számla További intézkedések teljesítése.



3. Helyezze el a paramétert Zóna És változtassa meg értékét a kívánt, például nyilvános vagy otthoni.



4. Tartsa a kulcsokat Ctrl + O.A módosítások mentése.



5. Ne módosítsa a fájl nevét, de egyszerűen kattintson a Tovább gombra BELÉP.



6. Lépjen ki a szövegszerkesztőből Ctrl + X..

Most az interfész zóna lesz az, amelyet megadott, amíg a konfigurációs fájl következő szerkesztése addig. Frissített paraméterek esetén futtassa a sudo systemctl újraindítási hálózatot.Service és sudo systemctl újraindítás tűzfald.service.

Az alapértelmezett zóna beállítása

A fentiekben már bemutattuk egy olyan csapatot, amely lehetővé teszi az alapértelmezett zóna megtanulását. Azt is módosíthatja, hogy a paramétert a választott. Ehhez a konzolban elegendő regisztrálni a sudo tűzfal-cmd -set-default-zónát \u003d nevet, ahol név. - A szükséges zóna neve.

A csapat sikere kimondja a feliratot "SIKER" Külön sorban. Ezután az aktuális interfészek a megadott zónába kerülnek, ha a másik nincs megadva a konfigurációs fájlokban.

A programok és segédprogramok szabályainak létrehozása

A cikk elején beszéltünk az egyes zónák cselekvéséről. Az ilyen ágazatokban működő szolgáltatások, segédprogramok és programok meghatározása lehetővé teszi az egyes felhasználói kérelmek mindegyikének egyedi paramétereinek alkalmazását. Kezdjük, azt javasoljuk, hogy megismerje magát a jelenleg elérhető szolgáltatások teljes listájával: tűzfal-cmd -get-services.

Az eredmény közvetlenül a konzolba kerül. Minden szerver egy helyet oszt meg, és könnyen megtalálhatja az érdekelt eszközt. Ha hiányzik a szükséges szolgáltatás, akkor meg kell telepíteni. A telepítési szabályokról olvasható a hivatalos szoftver dokumentációjában.

A fenti parancs csak a szolgáltatások nevét mutatja be. Az egyes fájlokat az egyes fájlon keresztül az útvonal / usr / lib / tűzfal / szolgáltatásokon keresztül kapják meg. Ezeket a dokumentumokat az XML formátumú, az utat, például, hogy SSH néz ki: /usr/lib/firewalld/services/ssh.xml, és a dokumentum tartalma a következő:

Ssh.
A Secure Shell (SSH) egy protokoll, amely a távoli gépeken történő parancsok be- és végrehajtására szolgáló protokoll. Biztonságos titkosított kommunikációt biztosít. Ha megtervezi a gép REMOTENET-t az SSH-n keresztül tűzfalagoló felületen keresztül, engedélyezze ezt az opciót. Ehhez az opcióhoz telepített OpenSSH-Server csomagra van szüksége, hogy hasznos legyen.

A szerviztámogatás manuálisan aktiválódik egy adott zónában. BAN BEN "Terminál" Be kell állítania a sudo tűzfal-cmd -zone \u003d nyilvános --dd-service \u003d http parancsot, ahol --Zone \u003d nyilvános - az aktiválás zóna, és --Add-Service \u003d http - Szolgáltatás neve. Ne feledje, hogy az ilyen változás csak egy munkameneten belül érvényes.

Állandó adagolás történik sudo tűzfal-cmd -zone \u003d nyilvános-public -permanent --DD-Service \u003d http, és az eredmény "SIKER" Megadja a művelet sikeres befejezését.

Kilátás teljes lista Állandó szabályok egy adott zóna, a lista kiírását külön sorban a konzol: sudo Firewall-CMD --Zone \u003d Public --permanent --list-Services.

Határozat probléma a szolgáltatáshoz való hozzáférés hiánya

A szabványos tűzfalszabályokat a legnépszerűbb és biztonságosabb szolgáltatások jelzik, mint megengedett, de néhány szabványos vagy harmadik féltől származó alkalmazások blokkolják. Ebben az esetben a felhasználó manuálisan módosítania kell a beállításokat, hogy megoldja a problémát a hozzáféréssel. Ezt két különböző módszerrel teheti meg.

Portes kikötő

Mint tudják, minden hálózati szolgáltatás egy adott portot használ. A tűzfal könnyen kimutatható, és a blokkok elvégezhetők. Annak érdekében, hogy elkerülje az ilyen műveleteket a tűzfalból, meg kell nyitnia a sudo tűzfal-cmd -zone \u003d nyilvános - Portd-Port \u003d 0000 / TCP, ahol --Zone \u003d nyilvános - zóna a kikötőhöz, --Add-port \u003d 0000 / TCP - a portszám és a protokoll. A tűzfal-cmd -list-portok megjelenítik a nyitott portok listáját.

Ha a tartományban szereplő portokat kell megnyitni, használja a sudo tűzfal-cmd -zone \u003d nyilvános - Pord-port \u003d 0000-9999 / UDP sor, ahol --Add-port \u003d 0000-9999 / UDP - A kikötők és protokolluk tartománya.

A fenti parancsok csak lehetővé teszik a hasonló paraméterek használatának tesztelését. Ha sikeresen átadta, ugyanazokat a portokat kell hozzáadnia az állandó beállításokhoz, és ez történik a sudo tűzfal-cmd -zone \u003d public -permermanent --add-port \u003d 0000 / tcp vagy sudo tűzfal-cmd Zone \u003d Public -perMermanent --Add-port \u003d 0000-9999 / UDP. A nyílt állandó portok listáját az alábbiak szerint tekintik meg: sudo tűzfal-cmd -zone \u003d nyilvános -permanent -list-portok.

A szolgáltatás meghatározása

Amint láthatja, a portok hozzáadása nem okoz nehézséget, de az eljárás bonyolult, ha az alkalmazások nagy összeget használnak. Az összes használt port nyomon követése nehézkes lesz, tekintettel arra, hogy a szolgáltatás meghatározása korább lesz:

Csak a szolgáltatásprobléma legmegfelelőbb megoldását kell választania a szolgáltatáshoz való hozzáféréssel és végrehajtani a megadott utasításokat. Amint láthatja, minden műveletet könnyen végeznek, és nincs nehézség.

Egyéni zónák létrehozása

Már tudod, hogy kezdetben nagyszámú különböző zónát határoztak meg meghatározott szabályokkal a tűzfalban. Azonban a helyzetek akkor fordulnak elő, ha a rendszergazda meg kell hoznia egy felhasználói zónát, például például, "PURNALWEB" A telepített webszerverhez vagy "Privatedns" - A DNS-kiszolgálóhoz. Ezen két példa alapján elemezzük az ágak hozzáadását:

Ebből a cikkből megtanulta, hogyan kell létrehozni egyéni zónák És adjon hozzá szolgáltatást nekik. Már elmondtuk nekik, hogy alapértelmezettként és a fenti interfészek hozzárendelése, csak a helyes neveket adhatja meg. Ne felejtse el újraindítani a tűzfalat, miután állandó változás történt.

Amint láthatja, a Firewalld Firewall egy meglehetősen térfogatú eszköz, amely lehetővé teszi a tűzfal legrugalmasabb konfigurációját. Csak azért marad, hogy megbizonyosodjon arról, hogy a segédprogram elindul a rendszerrel, és a megadott szabályok azonnal megkezdik munkájukat. Tegye azt a sudo systemctl Engedélyezze a Firewalld parancsot.

A kiszolgáló védelme a külső fenyegetésekből, elsősorban a tűzfal, amely szűri a bejövő és kimenő emberkereskedelmet. Iptables beállítása - privát esetén tűzfal CentOS akarok csinálni ebben a cikkben, valamint mesélni a telepítés és lekapcsolása. A vezetésem nem lesz kimerítő, csak azokat a szempontokat vizsgálom, amelyeket a legfontosabbnak tartok, és én magam is használom a munkádat.

Ez a cikk része a cikk egységes ciklusának a szerverről.

Bevezetés

Az iptables jelenleg de facto szabvány a kortárs Linux-eloszlásokban. Nem is tudok felidézni, hogy mikor mást használnak tűzfalként. Tehát minden Linux adminisztrátort munkájában kell tapasztalnia a tűzfal konfigurációjával.

A tűzfalnak különböző hevederek vannak, amelyeket a "kényelmes" beállításokhoz használnak. Az Ubuntuban van uFW.A CENTOS-ban - tűzfal., másokkal nem ismeri. Személy szerint nem látok kényelmet az eszközök használatával. Régebben a Linux tűzfalat a régi módon dallamoltam, ahogyan a munka kezdetén megtanultam. Úgy tűnik számomra ez a legegyszerűbb és legkényelmesebb módja van veled. A lényege eljön, hogy a szkript a tűzfal szabályaival jön létre. Ez a parancsfájl könnyen szerkeszthető az Ön igényeinek és átadása a szerverről a kiszolgálóra.

A tűzfal letiltása.

Firewald lekapcsolás Kérdésem már foglalkoztam a szoftver témájában. Az első dolog kikapcsolja a Firewalld-t, amely a 7-es 7-ben jelen van a 7-ben a telepítés után:

# Systemctl stop tűzfal

Most eltávolítjuk az indításról, hogy ne kapcsolja be újra az újraindítás után:

# Systemctl letiltja a tűzfalat

Ezután a szerveren a hálózati képernyő beállításai teljesen nyitva vannak. Látom az iptables szabályokat a parancs szerint:

Iptables telepítése

Valójában a kiszolgáló tűzfala már áll, és működik, egyszerűen nincs szabálya, minden nyitva van. További ellenőrzési segédprogramokat kell létrehoznunk, amelyek nélkül lehetetlen konfigurálni az iptables. Például lehetetlen újraindítani a tűzfalat:

# Systemctl újraindítás iptables.Service Nem sikerült kiadni a módszert Hívás: Iptables.Service Nem sikerült betölteni: Nincs ilyen fájl vagy könyvtár.

Vagy add hozzá az autorunhoz, nem fog működni:

# Systemctl engedélyezése iptables.Service Nem sikerült kiadni a módszert Hívás: Nincs ilyen fájl vagy könyvtár

Annak érdekében, hogy ne legyen ilyen hibák, telepítse a szükséges csomagot a segédprogramokkal:

# Yum -y telepítse az iptables-services

Most megadhatja az iptables automatikus számításhoz és futtatáshoz:

# Systemctl engedélyezése iptables.Service # Systemctl indítása iptables.service

Tűzfal beállítása

A tűzfal szabályainak kezeléséhez használom a szkriptet. Létrehozni:

# Mcedit /etc/iptables.sh.

Ezután kitöltjük a szükséges szabályokkal. Én szétszerelem a forgatókönyv összes jelentős részét, és teljesen megadom a cikk végén szövegfájl formájában. A szabályok készülnek kép formájában, hogy megtiltsák a másolás és a betét. Ez hibákat eredményezhet a szabályok munkájához, amellyel a cikk elkészítése során találkoztam.

Figyelembe vesszük azt a helyzetet, amikor a kiszolgáló a helyi hálózat internetes átjárója.

Először állítsa be a parancsfájlban használt összes változót. Nem szükséges, de ajánlott, mert kényelmes a kiszolgálónak a kiszolgálóra történő beállításait. Elég lesz ahhoz, hogy egyszerűen hozza át a változókat.

Új szabályok alkalmazása előtt megtisztítjuk az összes láncot:

Minden olyan forgalmat blokkolunk, amely nem felel meg a szabályoknak:

Hagyja, hogy a Lockalhost és a LAN-ek forgalma:

Hadd csináljam a pinget:

Ha nincs szüksége rá, ne adjon hozzá az ICMP számára.

Nyissa meg az internethez való hozzáférést a kiszolgálóhoz:

Ha szeretné megnyitni az összes bejövő szerver kapcsolatot, további szabályt ad hozzá:

Most adjon hozzá védelmet a leggyakoribb hálózati támadásoktól. Először is, meg fogjuk dobni az összes csomagot, amely nincs státusza:

Zéró csomagok blokkolása:

Közel a Syn-árvíz támadásoktól:

Ha nem adja meg a helyi hálózathoz való hozzáférés korlátozását, akkor minden hozzáférést biztosít az internethez:

Ezután tiltja az Ineta-tól a helyi hálózathoz való hozzáférést:

Annak érdekében, hogy helyi hálózatunk az internet használatához kapcsolja be a NAT-t:

Annak érdekében, hogy a szabályok alkalmazása után ne veszítse el a kiszolgálóhoz való hozzáférést, engedélyezze az SSH-kapcsolatot:

És a végén írja be az újraindítás utáni szabályokat:

A legegyszerűbb konfigurációt alkotjuk, amely blokkolja az összes bejövő kapcsolatot, kivéve az SSH-t, és lehetővé teszi a helyi hálózathoz való hozzáférést az internethez. Az út mentén védettek néhány hálózati támadástól.

Mentse el a szkriptet, végrehajthatóvá és elindítva:

# Chmod 0740 /etc/iptables.sh # /etc/Iptables.sh

Megvizsgáljuk a szabályokat, és ellenőrizzük, hogy az összes szabály a helyszínen:

# iptables -l -v -n

Hívom a figyelmet - csak akkor alkalmazzam a szabályokat, ha hozzáférhet a szerverkonzolhoz. Ha hiba történt a beállításokban, elveszítheti a hozzáférést. Győződjön meg róla, hogy abnormális helyzetben letilthatja a tűzfalat és állítsa be a beállításokat.

Nyitó kikötők

Most bővítjük konfigurációs és nyitott portjainkat egyes szolgáltatásokhoz. Tegyük fel, hogy van egy webszerverünk, és hozzáférést kell nyitnia az internetről. A webforgalom szabályait adjuk meg:

Engedélyt adtunk a 80-as és 443rd portok bejövő vegyületeihez, amelyek a webszervert a munkájában használják.

Ha telepítette levélkiszolgálóMeg kell oldania a bejövő kapcsolatokat az összes használt porthoz:

A DNS-kiszolgáló helyes működéséhez meg kell nyitnia az 53 UDP portot

Kikötői kikötő

Tekintsük azt a helyzetet, amikor a külső felületet a helyi hálózaton lévő számítógépre kell végrehajtani. Tegyük fel, hogy RDP-hozzáférést kell kapnia a számítógéphez 10.1.3.50 számítógéphez. TCP-port készítése 3389:

Ha nem akarja ragyogni az ismert porton kívül, akkor átirányíthatja a nem szabványos portról a végső számítógép RDP portjára:

Ha a port kívül a helyi hálózat belsejében van, akkor meg kell felelnie a szabálynak, amely blokkolja a külső hálózathoz való hozzáférést a belső. A példa szerint ez a szabály: $ IPT -A előre -i $ WAN -O $ LAN1 -J elutasítása

Vagy a szabály előtt, hozzon létre állásfoglalási szabályt a külső hozzáféréshez a belső szolgáltatáshoz, például így:

$ IPT -A előre -I $ WAN -D 10.1.3.50 -P TCP -M TCP --DPORT 3389 -J Elfogadva

A naplók bekapcsolása

A konfiguráció során hasznos engedélyezni a naplókat a blokkolt csomagok monitorozásához, és megtudhatja, hogy miért nincs hozzáférés a szükséges szolgáltatásokhoz, amelyeket úgy tűnik, hogy már felfedeztük. Elküldöm az összes blokkolt csomagot külön láncokba (Block_in, Block_out, Block_FW), amely megfelel a forgalomiránynak és a címkézéséneknek a naplók minden irányába. Kényelmesebb a repülési elemzés. A következő szabályokat a parancsfájl legegyszerűbbé adjuk a beállítások mentése előtt:

Minden zárolt csomag, amelyet a / var / log / üzenetfájlban követhet.

Miután befejezte a beállítást, jegyezze fel ezeket a húrokat a naplózás kikapcsolásával. Győződjön meg róla, hogy a naplók nagyon gyorsan növekszik. Nem látok gyakorlati jelentést az ilyen információk személyesen tartása során.

Az iptables letiltása

Ha hirtelen eldönti, hogy a tűzfal már nincs szüksége, akkor a következőképpen kikapcsolhatja:

# Systemctl stop iptables.vice

Ez a csapat megállítja a tűzfalat. És a következő eltávolítja az indítást:

# Systemctl letiltja az iptables.service-t

A hálózati képernyő leválasztásával minden csatlakozást megengedtünk.

Következtetés

Amint azt ígértem, elkészítem a kész forgatókönyvet a legfontosabb szabályokkal, amelyeket áttekintettünk

Szeretném újra figyelni, hogy az iptables beállításkor rendkívül figyelmesnek kell lennie. Ne indítsa el ezt az esetet, ha nincs hozzáférése a kiszolgáló konzolhoz. Még a cikk írása közben is elvesztettem a kiszolgálóhoz való hozzáférést a szabályok nevetséges hibája miatt. Ez a hiba történt a kettős kötőjel másolásának és elvesztésének köszönhetően - az egyetlen váltotta fel.

online tanfolyam "Adminisztrátor Linux" az Otusban. A kurzus nem kezdőknek, a felvételre, hogy alapvető ismeretekre van szüksége a hálózatokon és telepítés Linux virtuális A képzés 5 hónapig tart, miután a tanfolyam sikeres diplomásai képesek lesznek átadni az interjúkat a partnerekről. Mi ad neked ezt a kurzust:

• Linux architektúra ismerete.
• A modern módszerek és adatelemzés és adatfeldolgozó eszközök elsajátítása.
• A szükséges feladatok konfigurációjának kiválasztása, a folyamatok kezelése és a rendszer biztonságának biztosítása.
• A rendszergazda fő működési eszközeinek birtoklása.
• A telepítés, a Linux alapján épített hálózatok beállításainak és karbantartásainak megértése.
• A felmerülő problémák gyors megoldásának képessége és stabil és megszakítás nélküli rendszerműködés biztosítása.

Ellenőrizze magát a bevezető teszten, és nézze meg többet a szoftverprogramból.

Zónák

A Demon Firewalld az úgynevezett zónák felhasználásával irányítja a szabályokat.

A zónák valójában a szabályok olyan szabályok vannak, amelyek az e vagy a hálózat bizalmának szintjén ellenőrzik a forgalmat. A zónák hálózati interfészekhez vannak rendelve, és szabályozzák a tűzfal viselkedését.

A különböző hálózatokhoz (például a laptopokhoz) gyakran csatlakoztatott számítógépek a zónákat használhatják a szabályozások beállításainak megváltoztatásához a közegtől függően. Például, amikor a nyilvánossághoz csatlakozik wiFi hálózatok A tűzfal szigorúbb szabályokat alkalmazhat, és az otthoni hálózatban gyengíti a korlátozásokat.

A következő zónák léteznek a tűzfalban:

• drop: a legalacsonyabb hálózati bizalom. Valamennyi bejövő forgalma válasz nélkül lemerül, csak a kimenő vegyületek támogatottak.
• blokk: Ez a zóna hasonló az előzőhöz, de a bejövő kérések visszaállnak az ICMP-host-tiltott vagy az ICMP6-ADM tilos.
• nyilvános: Ez a zóna olyan nyilvános hálózatot képvisel, amely nem megbízható, de támogatja a bejövő vegyületeket egyedileg.
• külső: külső hálózati zóna. Támogatja a NAT maszkolását, hogy a belső hálózat zárt maradjon, de a hozzáférés elérésének képességével.
• belső: A külső zóna hátoldala, belső hálózatok. A zónában lévő számítógépek megbízhatóak. Kiegészítő szolgáltatások állnak rendelkezésre.
• dMZ: A DMZ-ben található számítógépekhez (elszigetelt számítógépek, amelyek nem férnek hozzá a hálózat többi részéhez); Csak néhány bejövő kapcsolatot támogat.
• munka: Munkaügyi hálózati terület. A legtöbb gép a hálózaton megbízható. Kiegészítő szolgáltatások állnak rendelkezésre.
• home: Otthoni hálózati terület. A környék megbízható, de csak a felhasználó által meghatározott bejövő kapcsolatok támogatottak.
• megbízható: A hálózaton lévő összes gép megbízható lehet.

Szabályok mentése

A tűzfalszabályok állandóak és ideiglenesek. Ha a készlet megjelenik vagy módosítja a szabályt, a tűzfal jelenlegi viselkedése azonnal változik. Az újraindítás után azonban minden változás elvész, ha nincsenek mentve.

A legtöbb tűzfal-cmd parancs használhatja a -Permanent zászlót, amely megmenti a szabályt, majd folyamatosan fogja használni.

A tűzfal tűzfal engedélyezése

Először be kell kapcsolnia a démont. A SystemD egységfájlja Firewalld.Service. A démon elindításához írja be.

sudo Systemctl Start Firewalld.Service

Győződjön meg róla, hogy a szolgáltatás fut:

tűzfal-cmd -pate
Futás

Most a tűzfal fut és működik az alapértelmezett konfiguráció szerint.

Jelenleg a szolgáltatás engedélyezve van, de nem indul el automatikusan a kiszolgálóval együtt. Ahhoz, hogy véletlenül ne blokkolja magát a saját szerveren, először hozzon létre egy szabálykészletet, majd állítsa be az autorunot.

Alapértelmezett tűzfalszabályok

Az alapértelmezett szabályok megtekintése

Ha meg szeretné tudni, hogy melyik zónát használja alapértelmezés szerint, írja be:

tűzfal-cmd -get-alapértelmezett zóna
Nyilvános

Jelenleg a Firewalld nem kapott utasításokat más zónákkal kapcsolatban, ráadásul egyetlen interfész sem kapcsolódik más zónákhoz, így a nyilvános zóna az alapértelmezett terület, valamint az egyetlen aktív zóna.

Az aktív zónák listájának megszerzése:

Nyilvános
Interfészek: eth0 eth1

Két hálózati interfész kötődik a nyilvános zónához: eth0 és eth1. A zónához csatolt interfészek a zóna szabályai szerint dolgoznak.

Ha meg szeretné tudni, hogy melyik szabály használja az alapértelmezett zónát, írja be:

tűzfal-cmd -list-all
Nyilvános (alapértelmezett, aktív)
Interfészek: eth0 eth1
Források:
Szolgáltatások: DHCPV6-kliens ssh
Portok:
Masquerade: Nem.
Előrejelzők:
ICMP-blokkok:
Rich szabályok:

Tehát most tudod, hogy:

• a nyilvánosság az alapértelmezett zóna és az egyetlen aktív zóna.
• Az eth0 és az eth1 interfészek kötődnek hozzá.
• Támogatja a DHCP forgalmat (IP-címek hozzárendelése) és az SSH (távoli adminisztráció).

Egyéb tűzfal zónák

Most meg kell ismerned magad más zónákkal.

Az összes rendelkezésre álló terület felsorolásához írja be:

tűzfal-cmd -get-zónák

Ahhoz, hogy egy adott zóna paramétereit megkapja, adja hozzá a zászlót -Zone \u003d parancsot.

tűzfal-cmd -zone \u003d home --list-all
ITTHON
Interfészek:
Források:
Szolgáltatások: DHCPV6-kliens IPP-kliens MDNS Samba-kliens ssh
Portok:
Masquerade: Nem.
Előrejelzők:
ICMP-blokkok:
Rich szabályok:

Az összes rendelkezésre álló terület definíciójának megjelenítéséhez adja hozzá a lista-all-zónák opciót. A kényelmesebb megtekintés érdekében a kimenet átkerülhet a személyhívóra:

tűzfal-cmd -list-all-zónák | Kevésbé

Az interfész zónák beállítása

Kezdetben az összes hálózati interfész az alapértelmezett zónához van kötve.

Az interfész zóna munkamenetenkénti módosítása

Ahhoz, hogy egy felületet egy másik munkamenetre fordítson egy másik munkamenetre, használja a -Zone \u003d és -Change-Interface \u003d opciók \u003d.

Például az ETH0 lefordítása az otthoni zónába, be kell lépnie:

sudo tűzfal-cmd -zone \u003d home --change-interface \u003d eth0
Siker.

jegyzetAmikor fordítására a felület egy másik zónába, meg kell jegyezni, hogy ez hatással lehet a működését egyes szolgáltatások. Például az otthoni zóna támogatja az SSH-t, így a kapcsolatok ezt a szolgáltatást nem fogják visszaállítani. De néhány zóna minden csatlakozást dob, beleértve az SSH-t, majd véletlenül blokkolhatja a saját szerverhez való hozzáférést.

Annak érdekében, hogy az interfész az új zónához kapcsolódik, írja be:

tűzfal-cmd -get-aktív zónák
ITTHON
Interfészek: eth0.
Nyilvános
Interfészek: eth1

A tűzfal újraindítása után az interfész ismét az alapértelmezett zónához kapcsolódik.

sudo systemctl újraindítása tűzfald.service
Tűzfal-cmd -get-aktív zónák
Nyilvános
Interfészek: eth0 eth1

Az interfész területének folyamatosan módosítása

Ha az interfészbeállításokban nincs más zóna, a tűzfal újraindítása után az interfész ismét az alapértelmezett zónához kapcsolódik. A CentOS, ilyen konfigurációk vannak tárolva az / etc / sysconfig / network-scripts könyvtár, a ifcfg-Interface fájlokat.

Az interfész zóna meghatározásához nyissa meg az interfész konfigurációs fájlját, például:

Változó zóna hozzáadása a fájl végéhez, és adja meg a másik zónát értékként, például otthon:

. . .
DNS1 \u003d 2001: 4860: 4860 :: 8844
DNS2 \u003d 2001: 4860: 4860 :: 8888
DNS3 \u003d 8.8.8.8.
Zóna \u003d otthon.

Mentse és zárja be a fájlt.

A beállítások frissítéséhez indítsa újra a hálózati szolgáltatást és a tűzfalat:

sudo systemctl indítsa újra a hálózatot.Service
Sudo systemctl újraindítása tűzfald.service

Az újraindítás után az eth0 interfész az otthoni zónához kapcsolódik.

tűzfal-cmd -get-aktív zónák
ITTHON
Interfészek: eth0.
Nyilvános
Interfészek: eth1

Az alapértelmezett zóna beállítása

Egy másik alapértelmezett zónát is választhat.

Ehhez használja a -set-default-zónát \u003d. Ezt követően minden interfész egy másik zónához kapcsolódik:

sudo tűzfal-cmd -set-alapértelmezett zóna \u003d otthon
ITTHON
Interfészek: eth0 eth1

Az alkalmazásokra vonatkozó szabályok létrehozása

Szolgáltatás hozzáadása a zónához

A legegyszerűbb módja annak, hogy hozzáadjon egy szolgáltatást vagy portot a tűzfal használatának zónájához. Nézze meg a rendelkezésre álló szolgáltatásokat:

tűzfal-cmd -get-szolgáltatások
RH-Satellite-6 Amanda-kliens bacula bacula-kliens DHCP DHCPv6 DHCPv6-kliens DNS ftp magas rendelkezésre http https imaps IPP IPP-kliens IPSec Kerberos kpasswd LDAP ldaps libvirt libvirt-TLS mdns mountd ms-wbt mysql NFS NTP openvpnt pmcd pmproxy pmwebapi PMWebapis POP3S POSTGRESQL PROXY-DHCP RADIUS RPC-BIND SAMBA SAMBA CLIENT SMTP SSH Telnet TFTP TFTP-Client Seader-Client VNC-kiszolgáló WBEM-HTTPS

jegyzet: További információk az egyes konkrét szolgáltatás megtalálható files.xml az / usr / lib / firewalld / szolgáltatás könyvtárban. Például az SSH szolgáltatási információt a /usr/lib/firewalld/services/ssh.xml-ben tárolja, és így néz ki:

Ssh.

A szolgáltatás támogatásának engedélyezése egy adott zónában használja a -add-service \u003d opciót. Megadhatja a célzónát a -Zone \u003d opcióval. Alapértelmezés szerint ezek a változások egy munkamenetre fognak működni. A módosítások mentéséhez és folyamatban lévő használatához adja hozzá a -Permanent zászlót.

Például, hogy elkezd egy webszerver, hogy fenntartsák a HTTP forgalmat, először engedélyeznie kell a támogatást ez a forgalom a nyilvános terület egy ülés:

sudo tűzfal-cmd -zone \u003d nyilvános --Add-Service \u003d http

Ha a szolgáltatásnak hozzá kell adnia az alapértelmezett zónához, akkor a -Zone \u003d a zászló elhagyható.

Győződjön meg róla, hogy a művelet sikeres:

tűzfal-cmd -zone \u003d nyilvános --lista-szolgáltatások
DHCPV6-ügyfél http ssh

Tesztelje a szolgáltatás és a tűzfal munkáját. Ha minden rendben működik, megváltoztathatja az állandó szabályozást, és hozzáadhat egy szabályt, hogy támogassa ezt a szolgáltatást.

sudo tűzfal-cmd -zone \u003d public -permanent --dd-service \u003d http

Az állandó szabályok listájának megtekintéséhez írja be:

sUDO tűzfal-cmd -zone \u003d nyilvános -Permanent -List-services
DHCPV6-ügyfél http ssh

Most a nyilvános zóna támogatja a HTTP-t és a 80-as portot folyamatosan. Ha a webszerver szolgálhat SSL / TLS forgalmat, hozzáadhatja a HTTPS szolgáltatást is (egy munkamenethez vagy állandó szabályokhoz):

sudo tűzfal-cmd -zone \u003d nyilvános --dd-service \u003d https
Sudo tűzfal-cmd -zone \u003d nyilvános-bővítés --add-service \u003d https

Mi van, ha a szükséges szolgáltatás nem érhető el?

A tűzfal tűzfal alapértelmezés szerint sok leggyakoribb szolgáltatásokat tartalmaz. Néhány alkalmazás azonban olyan szolgáltatásokat igényel, amelyek nem támogatott tűzfalban. Ebben az esetben kétféleképpen tehetsz.

1. módszer: portbeállítás

A legegyszerűbb módja annak, hogy megnyitja az alkalmazási portot a szükséges tűzfal zónában a legegyszerűbb. Csak meg kell adnia a portot vagy a porttartományt és a protokollt.

Például egy olyan alkalmazást, amely 5000-et és TCP protokollt használ a nyilvános területhez. Az Alkalmazás támogatása az alsó munkamenethez használja a -dd-port \u003d paramétert \u003d és adja meg a TCP vagy az UDP protokollt.

sudo tűzfal-cmd -zone \u003d nyilvános --Add-port \u003d 5000 / tcp

Győződjön meg róla, hogy a művelet sikeresen átadott:

tűzfal-cmd -list-portok
5000 / TCP.

Megadhatja a portok soros tartományát is, elválasztva a kötőjel első és utolsó portját. Például, ha az alkalmazás 4990-4999 UDP portokat használ, hogy hozzáadja őket a nyilvános zónához, meg kell adnia:

sudo tűzfal-cmd -zone \u003d nyilvános --dd-port \u003d 4990-4999 / UDP

A tesztelés után hozzáadhatja ezeket a szabályokat a tűzfal állandó beállításaiban.

sUDO tűzfal-cmd -zone \u003d nyilvános-bővítés --add-port \u003d 5000 / tcp
Sudo tűzfal-cmd -zone \u003d public -permanent --add-port \u003d 4990-4999 / UDP
Sudo tűzfal-cmd -zone \u003d nyilvános -Permanent --list-portok
Siker.
Siker.
4990-4999 / UDP 5000 / TCP

2. módszer: A szolgáltatás meghatározása

Adjon hozzá portokat a zónához egyszerűen, de ha sok ilyen alkalmazása van, akkor nehéz lesz nyomon követni, amelyre egy vagy egy másik port van. Az ilyen helyzet elkerülése érdekében a portok helyett meghatározhatja a szolgáltatásokat.

Szolgáltatások egyszerűen portkészletek egy adott névvel és leírással. A szolgáltatások segítségével könnyebb ellenőrizni a beállításokat, de maguk is nehezebbek, mint a kikötők.

Először meg kell másolnia a meglévő parancsfájlt a / usr / lib / tűzfal / szolgáltatás könyvtárból az / etc / tűzfal / szolgáltatás könyvtárban (itt a tűzfal nem szabványos beállításokat keres).

Például másolhatja az SSH szolgáltatás definícióját, és felhasználhatja a feltételes példa szolgáltatás meghatározásához. A szkript neve meg kell egyeznie a szolgáltatás nevével és kiterjesztése .xml.

sudo cp /usr/lib/firewalld/services/service.xml /etc/firewalld/services/example.xml

Javítsa ki a másolt fájlt.

sudo nano /etc/firewalld/services/example.xml.

A fájl az SSH meghatározása:

Ssh.
A Secure Shell (SSH) egy protokoll, amely a távoli gépeken történő parancsok be- és végrehajtására szolgáló protokoll. Biztonságos titkosított kommunikációt biztosít. Ha megtervezi a gép REMOTENET-t az SSH-n keresztül tűzfalagoló felületen keresztül, engedélyezze ezt az opciót. Ehhez az opcióhoz telepített OpenSSH-Server csomagra van szüksége, hogy hasznos legyen.

A legtöbb szolgáltatás definíció metaadat. Módosítsa a szolgáltatás rövid nevét a címkékben . Ez egy ügyfélszolgálat neve. Szintén hozzá kell adnia a szolgáltatás leírását is. Az egyetlen változás, amely befolyásolja a szolgáltatás szolgáltatását, a portszám és a protokoll módosítása.

Visszatérjünk a példaszolgáltatásra; Tegyük fel, hogy nyitott TCP Port 7777 és UDP 8888-as portot igényel. A definíció így fog kinézni:

Példa szolgáltatás
Ez csak egy példa. Valószínűleg kell használni a valós rendszeren.

Mentse és zárja be a fájlt.

Indítsa újra a tűzfalat:

sudo tűzfal-cmd -reload

Most megjelenik a szolgáltatás a rendelkezésre álló szolgáltatások listájában:

tűzfal-cmd -get-szolgáltatások
RH-Satellite-6 Amanda-kliens bacula bacula-kliens DHCP DHCPv6 DHCPv6-kliens DNS például ftp magas rendelkezésre http https imaps IPP IPP-kliens IPSec Kerberos kpasswd LDAP ldaps libvirt libvirt-TLS mdns mountd ms-wbt mysql NFS NTP OpenVPN pmcd pmproxy PMWEBAPI PMWEBAPIS POP3S POSTGRESQL PROXY-DHCP RADIUS RPC-BIND SAMBA SAMBA-CLIENT SMTP SSH TELNET TFTP TFTP-CLIENT átvitel-kliens VNC-Server WBEM-HTTPS

Zónák létrehozása

A tűzfal számos előre meghatározott zónát kínál, amelyek a legtöbb esetben elegendőek. De bizonyos helyzetekben szükség van egy egyedi zónára.

Például egy webszerver számára létrehozhat egy nyilvános webes zónát, és a DNS szolgáltatás - a privatedns zónát.

Zóna létrehozása, hozzá kell adnia a tűzfal állandó beállításaihoz.

Próbálja meg létrehozni a PURNALWEB és a PRIVATEDNS területeket:

sudo tűzfal-cmd -Permanent -new-zóna \u003d publicweb
Sudo tűzfal-cmd -Permanent -new-zóna \u003d privatedns

Győződjön meg róla, hogy a zónák léteznek:

sudo tűzfal-cmd -Permanent -get-zónák

Az aktuális munkamenetben az új zónák nem állnak rendelkezésre:

tűzfal-cmd -get-zónák
Blokk DMZ DROCK külső otthoni belső nyilvános megbízható munka

Új zónák eléréséhez újra kell indítania a tűzfalat:

sudo tűzfal-cmd -reload
Tűzfal-cmd -get-zónák
BLOCK DMZ DROCK Külső Home Belső Privatedns Nyilvános PublicWeb Megbízható munka

Most hozzárendelheti a szükséges szolgáltatásokat és portokat az új zónákhoz. Például a PublicWeb zónában hozzáadhat SSH, HTTP és HTTPS-t.

sudo tűzfal-cmd -zone \u003d PublicWeb --Add-Service \u003d ssh
Sudo tűzfal-cmd -zone \u003d PublicWeb --Add-Service \u003d http
Sudo tűzfal-cmd -zone \u003d PublicWeb --Add-Service \u003d HTTPS
Tűzfal-cmd -zone \u003d PublicWeb-List-All
PURNALWEB.
Interfészek:
Források:
Szolgáltatások: http https ssh
Portok:
Masquerade: Nem.
Előrejelzők:
ICMP-blokkok:
Rich szabályok:

Hozzáadhat DNS-t a PrivatedNS zónában:

sudo tűzfal-cmd -zone \u003d privatedns --add-service \u003d DNS
Tűzfal-cmd -zone \u003d privatedns --list-all
Privatedns.
Interfészek:
Források:
Szolgáltatások: DNS.
Portok:
Masquerade: Nem.
Előrejelzők:
ICMP-blokkok:
Rich szabályok:

Ezután a hálózati interfészeket új zónákba kötheti:

sudo tűzfal-cmd -zone \u003d PublicWeb --change-Interface \u003d eth0
Sudo tűzfal-cmd -zone \u003d privatedns --change-interface \u003d eth1

Most tesztelheti a beállítást. Ha minden rendben működik, hozzáadhatja ezeket a szabályokat az állandó beállításokhoz.

sudo tűzfal-cmd -zone \u003d PublicWeb -Permanent --add-service \u003d ssh
Sudo tűzfal-cmd -zone \u003d PublicWeb -Permanent --add-service \u003d http
Sudo tűzfal-cmd -zone \u003d PublicWeb -Permanent --DD-Service \u003d HTTPS
Sudo tűzfal-cmd -zone \u003d privatedns --permanent --add-service \u003d DNS

Ezt követően konfigurálhatja a hálózati interfészeket automatikus kapcsolat A megfelelő zónához.

Például az eth0-t a PURNALWEB-hez kötjük:

sudo nano / etc / sysconfig / hálózati szkriptek / ifcfg-eth0
. . .
IPv6_AutoConf \u003d Nem.
DNS1 \u003d 2001: 4860: 4860 :: 8844
DNS2 \u003d 2001: 4860: 4860 :: 8888
DNS3 \u003d 8.8.8.8.
Zóna \u003d PURNALWEB.

És az eth1 interfész a privatottákhoz kapcsolódik:

sudo nano / etc / sysconfig / hálózati szkriptek / ifcfg-eth1
. . .
NetMask \u003d 255.255.0.0.
Defraze \u003d "nem"
Nm_controlled \u003d "igen"
Zóna \u003d privatedns.

Indítsa újra a hálózati szolgáltatásokat és a tűzfalat:

sudo systemctl újraindítás hálózat
Sudo systemctl újraindítása tűzfald

Ellenőrizze a zónákat:

tűzfal-cmd -get-aktív zónák
Privatedns.
Interfészek: eth1
PURNALWEB.
Interfészek: eth0.

Győződjön meg róla, hogy a következő szolgáltatások igényei zónákban dolgoznak:

tűzfal-cmd -zone \u003d PublicWeb-List-Services
http http ssh.
Tűzfal-cmd -zone \u003d privatedns -list-services
DNS.

Az egyéni zónák teljesen felkészültek a munkára. Lehet, hogy bármelyiküket az alapértelmezett zóna. Például:

sudo tűzfal-cmd -set-default-zóna \u003d publicweb

A tűzfal automatikus elindítása

Most, hogy ellenőrizte az összes beállítást, és gondoskodott arról, hogy az összes szabály megfelelően működik-e, testreszabhatja a tűzfal autorunot.

Ehhez írja be:

sudo systemctl lehetővé teszi a tűzfald engedélyezése

Most a tűzfal a kiszolgálóval együtt fut.

Következtetés

A Firewald Firewall nagyon rugalmas eszköz. A zónák lehetővé teszik, hogy gyorsan megváltoztassa a tűzfalpolitikát.

Most már tudod, hogyan működik a tűzfal, ismeri a tűzfal alapfogalmát, tudja, hogyan hozhat létre egyéni zónákat és szolgáltatásokat ad hozzá.

Címkék:

Ma bemutatom Önt az univerzális szerver kezdeti konfigurációjára a népszerű operációs rendszeren. Beszélek arról, hogyan lehet a Centos Server alapvető beállítását közvetlenül a telepítés után, hogy bármilyen minőségben használják a saját belátása szerint. Bemutatott gyakorlati tanácsok Növelje a szerverrel való munkavégzés biztonságát és kényelmét. A cikk releváns lesz a CENTOS-7 és 8 közötti utolsó két kibocsátás szempontjából.

1. Sorolja fel a Friss szerveren végzett beviteli beállítások kezdeti beállításait.
2. Mutasson példákat olyan konfigurációkra, amelyeket egy tipikus beállításban használok.
3. Adjon tippeket a munkatapasztalat alapján a centoszok beállítására.
4. Hozzon létre egy olyan tipikus programokat és segédprogramokat, amelyek segítenek a kiszolgáló kezelésében.

Ez a cikk része a cikk egységes ciklusának a szerverről.

Bevezetés

Az új centosz 8 felszabadulásának kiadása után egy cikkben kemény lett kezdeti beállítás Mindkét szerver, de nem akartam megosztani egy cikket, mivel számos bejövő kapcsolat van a különböző helyekről. Kényelmesebb az általános anyag fenntartása mindkét kibocsátásnál, mint én. Ugyanakkor a két változat különbségei láthatóak, ami pár évig a 8 kilépési centil lesz releváns lesz mind a helyzet függvényében, a másik változat.

A CENTOS 7 adagkezelőt használ yum., és Centos 8-ban - dNF.. Ugyanakkor egy szimbolikus linket hagyott a YUM-vel a DNF-vel, így írhat mind az első nevet, mind a másodikat. Az egységesség érdekében mindenhol fogok használni Yumot, és figyelmeztetlek, csak azért, hogy megértsem, miért csinálom ezt. Tényleg a CENTOS 8 DNF-t használ, ez egy másik, több modern kötegkezelő, amely lehetővé teszi, hogy dolgozzon különböző változatok Ugyanaz a szoftver. Ez különálló tárhelyeket használ, amelyek a Centos 8-ra jelentek meg.

Kezdeti beállítási centosz.

Személy szerint én vagyok a rendszerbeállítás, legyen egy centosz vagy más, telepítés után, elkezdem azzal a ténnyel, hogy teljesen frissítem a rendszert. Ha a telepítési kép friss volt, vagy a telepítés a hálózaton keresztül történik, akkor valószínűleg nem lesz frissítés. Leggyakrabban azok, mivel a telepítési képek nem mindig rendszeresen frissülnek.

Frissítjük a rendszert

# Yum frissítés.

A könnyű adagolás érdekében mindig telepítem az éjféli parancsnokot, vagy csak MC:

# yum telepítése mc

És azonnal bekapcsolom az összes fájl szintaxisának kiemelését, amely nem szerepel kifejezetten a fájlban USR / Share / Mc / Syntax / Szintaxis Szintaxis sh és bash szkriptek. Ez az univerzális szintaxis általában alkalmas olyan konfigurációs fájlokra, amelyek leggyakrabban a szerveren kell működniük. Felülírja a fájlt ismeretlen.Syntax. Ez a mintázat, amelyet a c.conf i.cf fájlokra kell alkalmazni, mivel a szintaxis nem egyértelműen nem kapcsolódik hozzájuk.

# cp /usr/share/mc/syntax/sh.syntax /usr/share/mc/syntax/unknown.syntax

Továbbá a hálózati segédprogramokat fogjuk használni. A rendszer telepítésekor kiválasztott kezdeti csomagok készletétől függően egy vagy egy másik hálózati segédprogram van. Itt van azoknak a listáknak, akik személyesen - ifconfig, netstat, nslookup és néhány más. Ha szüksége van rá, csakúgy, mint én, akkor azt javaslom, hogy külön telepítsem őket, ha még nem. Ha nem különösebben szüksége van rájuk, és nem használja őket, kihagyhatja a telepítést. Ellenőrizze, hogy a rendszerben van-e a rendszerben

# ifconfig

Ha látja a választ:

Bash: Ifconfig: Parancs nEM TALÁLHATÓ.

Tehát a segédprogram nincs telepítve. Az ifconfig helyett a centillekben most hasznos ip. Ez nem csak a központra vonatkozik. Ilyen kép szinte minden népszerű modern Linux eloszlás. Hosszú ideig használják Ifonfig-t, bár utóbbi időben Gyakorlatilag nem használjuk. Mindig tetszett, hogy a különböző eloszlásokban Linux, minden megközelítőleg ugyanaz. Az IFConfig használatával a hálózatot nemcsak a Linuxban, hanem a FreeBSD-ben is beállíthatja. Kényelmes. És ha minden egyes elosztásban ez az eszköz nem kényelmes. Bár most nem nagyon fontos, mivel nem dolgozom a FreeBSD-vel, és az IP-segédprogram minden Linux eloszlásban van. Ha azonban szüksége van az ifconfigre, telepítheti a csomagot net-Tools.amelyben bejön:

# Yum telepítése Net-Tools

Így van az NSLookup parancsok, vagy például a fogadónak telepítenie kell a csomagot bind-utils.. Ha ez nem történik meg, akkor a parancsra:

# nslookup

Következtetés lesz:

Bash: NSLookup: A parancs nem található

Tehát telepítse a kötőeszközöket:

# Yum Telepítse a kötőeszközöket

Letiltja a selinuxot

Kapcsolja ki a Selinuxot. Használata és külön beszélgetés konfigurálása. Most nem fogom ezt megtenni. Így kikapcsolunk:

# Mcedit / etc / sysconfig / selinux

módosítsa az értéket

Selinux \u003d letiltva.

A módosítások megváltoztatásához újraindíthatja:

# Újraindítás

És ha újraindítani szeretné, alkalmazza a Selinux leállást, majd hajtsa végre a parancsot:

# Stenforce 0

Folyamatosan sok kritikát kapok a Selinux letiltásához. Tudom, hogyan működik, testreszabhatom. Ez tényleg nem túl nehéz, és nem nehéz elsajátítani. Ez az én tudatos választásom, bár néha felállítottam. A rendszerrel való munkavégzésem olyan, hogy a Selinux leggyakrabban szükség van számomra, így nem töltök időt, és a centosz alapvető beállításában kikapcsol. A rendszerbiztonság átfogó munka, különösen a webfejlesztés modern világában, ahol a Microservice és a konténerek szabálya. Selinux Nishey eszközök, amelyek nem mindig szükségesek, és nem mindenhol. Ezért ebben a cikkben ő nem hely. Ki igényel, külön-külön közé tartozik a Selinux és a konfigurálás.

Adja meg a hálózati paramétereket

A beszerelés után folytatjuk a centók alapvető beállítását. Most már előállítunk, ha valamilyen oknál fogva nem tette meg a telepítés során, vagy ha meg kell változtatnia őket. Általánosságban elmondható, hogy a CENTOS hálózatában van konfigurálva Hálózati menedzser. és a konzolos segédprogramja nmtui.. Az alapvető Oralovka rendszerben megy. Van egy egyszerű és érthető grafikus felület, így nincs mit mondani. Én jobban használom a hálózatot konfigurációs fájlok Hálózati szkriptek. A 7. verzió százalékában a dobozból származnak, a 8. verzióban eltávolították őket. A hálózat beállításához használhatja őket, a csomagot külön kell telepítenie. hálózati szkriptek..

# Yum telepítése hálózati szkriptek

Most konfigurálhatja a hálózatot. Ehhez nyissa meg a fájlt / etc / sysconfig / hálózati szkriptek / ifcfg-eth0

# Mcedit / etc / sysconfig / hálózati szkriptek / ifcfg-eth0

Ha kapsz hálózati beállítások A DHCP szerint a konfigurációs fájlban lévő minimális beállítások hasonlóak lesznek.

Típus \u003d "Ethernet" BootProto \u003d "DHCP" defroute \u003d "Igen" IPv4_Failure_fatal \u003d "No" Név \u003d "eth0" eszköz \u003d "eth0" onboot \u003d "Igen"

A statikus IP-cím konfigurálásához a beállítások a következők.

Type \u003d "Ethernet" BOOTPROTO \u003d "none" defroute \u003d "yes" ipv4_failure_fatal \u003d "no" name \u003d "eth0" eszközön \u003d "eth0" onboot \u003d "yes" ipaddr \u003d 192.168.167.117 192.168.167.113 DNS1 \u003d prefix \u003d 28 gateway \u003d 192.168.167.113

Az iPaddr mezőben adja meg címét, az előtag hálózati maszkjában, a Gateway Gateway-ben, DNS-cím DNS-kiszolgáló. Mentse el a fájlt, és indítsa újra a hálózatot a beállítások alkalmazásához:

# Systemctl újraindítási hálózat

Tűzfal testreszabása

Repositories hozzáadása

A CENTOS konfigurálásakor gyakran szükség van olyan szoftverre, amely nem a szabványos repex. Telepítéshez további csomagok szükséges. A legnépszerűbb az epel. Régebben RPMForge volt, de már néhány évvel zárva volt. Róla minden elfelejtett. Csatlakoztassa az EPEL tárolót. Vele mindent egyszerű, hozzáadódik a standard tekercsből:

# Yum telepítse az epel-kiadás

A Remi Repository rendkívül hasznos a CENTOS 7 számára, amely lehetővé teszi a PHP nagy változatának létrehozását, ellentétben a szabványos tárolóban szereplőekkel. Hadd emlékeztessem Önt, hogy ez a PHP 5.4 verziója, amely már nem alkalmas és eltávolítva a támogatástól.

# rpm -uhv http://rpms.remirepo.net/enterprise/remi-release-7.rpm

A CENTOS 8 REMI még nem releváns, de azt hiszem, ideiglenes. Elvben ez a két adattár a centillekben általában megragad. Mások kapcsolódnak a különböző szoftverek telepítéséhez.

A történelem tárolása Bash_history-ben

A CENTOS rendszer beállítása a szerveren. Hasznos lesz néhány változtatás a szabványos mechanizmus megtakarítására a csapatok. Gyakran segít, ha emlékeznie kell az egyik korábban beírt parancsra. A szabványos beállítások bizonyos korlátozásokkal rendelkeznek, amelyek kényelmetlenek. Itt vannak a listák:

1. Alapértelmezés szerint csak az utolsó 1000 parancs mentésre kerül. Ha több van közülük, akkor az idősebbek törlődnek és újak vannak.
2. A parancsok végrehajtásának időpontja nincs megadva, csak a lista a végrehajtás sorrendjében.
3. Az üzenetlistával rendelkező fájl frissítve van a munkamenet befejezése után. A párhuzamos munkamenetekkel a parancsok egy része elveszhet.
4. Abszolút minden parancs mentésre kerül, bár nincs értelme a tárolóban.

Az utolsó végrehajtott parancsok listája a fájlban található otthoni könyvtárban tárolódik .bash_history. (a pont elején). Megnyitható bármely szerkesztővel és látni. A lista kényelmesebb kimenetét adhatja meg a konzol parancsát:

# Történelem.

És nézze meg a számozott listát. Gyorsan keressen meg egy adott parancsot, csak a kívánt sorokat használhatja, például így:

# Történelem | Grep yum.

Tehát látni fogjuk a Yum parancs futtatásának lehetőségeit, amelyek a történelemben tárolódnak. A centillekben a szabványos parancs tárolási beállításainak felsorolt \u200b\u200bhátrányait javítjuk. Ehhez szerkesztheti a fájlt .bashrc.amely ugyanabban a könyvtárban található, mint a történelemmel rendelkező fájl. Adja hozzá a következő sorokat:

Export HistSize \u003d 10000 Export HisttimeFormat \u003d "% H% D% H:% M:% s" prompt_command \u003d "Történelem" export histignore \u003d "LS: LL: Történelem: W: HTOP"

Az első paraméter növeli a fájlméretet 10 000 sorra. Többet tehetsz, bár általában ilyen méretű. A második paraméter azt jelzi, hogy meg kell mentenie a parancs dátumát és időpontját. A harmadik soros erők közvetlenül a parancs végrehajtása után, hogy fenntartsák azt a történelemben. Az utolsó sorban létrehozunk egy listát azoknak a parancsoknak, akiknek a rekordja nem szükséges a történelemben. Hoztam egy példát a legegyszerűbb listára. Hozzáadhatja a mérlegelési jogkörét.

A módosítások alkalmazása érdekében újra kell igazítani és csatlakozni, vagy végrehajtani a parancsot:

# Forrás ~ / .bashrc

A parancsok történetének tárolásával mindent. A .bashrc fájlban sok érdekes dolgot állíthat be. Egyszerre szerettem volna kísérletezni, de minden eldobta, mert nincs értelme. Munka ügyfél szerverek, én leggyakrabban látni az alapértelmezett Bash, így a legjobb, hogy lehet szokni, és a munka is. És az egyéni beállítások és díszek a személyi számítógépek és szerverek sok. Egyetlen munkavállaló. Szóval többet nem állítok be semmit a centosziszolgálóban lévő szabvány szerint ebben a tekintetben.

Automatikus rendszerfrissítés

A kiszolgáló biztonságának megfelelő szintjének fenntartása érdekében legalábbis időszerűen kell frissíteni - mind a rendszermag is a rendszer segédprogramokkal és más csomagokkal. Meg tudod csinálni manuálisan, de a hatékonyabb munka érdekében jobb konfigurálni az automatikus végrehajtást. Nem szükséges a frissítések automatikus telepítése, de legalábbis a megjelenésük ellenőrzéséhez. Általában ragaszkodom egy ilyen stratégiához.

Yum-cron

A segédprogram segít automatikusan ellenőrizni a CENTOS 7 frissítéseit yum-cron.. A hagyományosan a szokásos tárolóból készült.

# Yum telepítése yum-cron

A Yum-Cron létrehozása után létrejön automatikus feladat a hasznosság végrehajtásánál /etc/cron.daily. és /etc/cron.hourly. Alapértelmezés szerint a segédprogram letölti a talált frissítéseket, de nem alkalmazza őket. Ehelyett a frissítésekről szóló értesítést elküldi a rendszergazdának a helyi postafiók gyökéréhez. Továbbá már van kézi üzemmód Gyere és döntse el, hogy telepítse a frissítéseket, vagy nem megfelelő időben az Ön számára. Látom ezt a munkát a legmegfelelőbb, ezért nem változtatom meg ezeket a beállításokat.

A YUM-Cron konfigurálhatja a konfigurációs fájlokat, amelyek a /etc/yum/yum-cron.conf. és yum-cron-endly.conf. Nem rosszak, így részletes magyarázatokban nincs szükség. Felhívom a figyelmet a szakaszra Ha megadhatja az üzenetek küldésének paramétereit. Alapértelmezés szerint e-mail küldése helyi fogadó segítségével. Megváltoztathatja a paramétereket, és üzeneteket küldhet egy harmadik féltől származó levelezőszerveren keresztül. De ahelyett, én személy szerint inkább globálisan az egész szerver beállításához root helyi posta továbbítása külső postafiók engedélyt egy másik SMTP szervert.

DNF-automata.

Ahogy korábban említettem, egy másik kötegkezelőt használnak a CENTOS 8 - DNF-ben. A csomagfrissítés beállítása A segédprogramon keresztül történik dNF-automata.. Helyezze és konfigurálja.

# Yum telepítse a DNF-automata

Az ütemterv indításának kezelése már nem CRON, de a rendszer beépített ütemezője. Nézze meg az automatikus indítási időzítőket a csapat:

# Systemctl List-Timers * DNF- *

Ha nincs egyetlen feladat, akkor kézzel is hozzáadhat egy időzítőt:

# Systemctl engedélyezése --now dnf-automata.timer

Az alapértelmezett időzítő úgy van beállítva, hogy elindítsa a DNF-automata órát, miután a kiszolgáló betöltése és a napi ismétlés. Az időzítő konfiguráció itt él - /etc/systemd/system/multier.target.wants/dnf-automatic.timer..

Konfiguráció a DNF-automata élethez /etc/dnf/automatic.conf.. Alapértelmezés szerint csak letölti a frissítéseket, de nem alkalmazza őket. A konfiguráció jól megjegyezte, így beállíthatja, ahogy kívánja. A külön magyarázatok nem szükségesek. Állítsa be a rendszercsomagok frissítését a belátása szerint. Ahogy mondtam, automatikusan lendítem őket. A telepítés mindig ellenőrizze a vezérlést manuális vezérléssel.

Kapcsolja ki az árvizet / log / üzeneteket

A CENTOS beállításának folytatása, egy kis kényelmetlenség javítása. A 7. verzió rendszer alapértelmezett telepítésében az összes rendszer naplója / Var / log / üzenetek Egy idő után a kiszolgáló eltömődik a következő rekordokkal.

Október 16 14:01:01 XS-Files Systemd: Létrehozott szelet felhasználói-0.Slice. Október 16 14:01:01 XS-Files SystemD: A felhasználó elindítása-0.Slice. Október 16. 14:01:01 XS-Files systemd: lépések Session 14440 Felhasználói Root. Október 16 14:01:01 XS-Files SystemD: A felhasználói gyökér 14440 munkamenete. Október 16 14:01:01 XS-Files SystemD: eltávolított szelet felhasználói-0.Slice. Október 16 14:01:01 XS-Files SystemD: A felhasználó-0.Slice leállítása. Október 16 15:01:01 XS-Files SystemD: Létrehozott szelet felhasználói-0.Slice. Október 16 15:01:01 XS-Files SystemD: A felhasználó indítása-0.Slice. Október 16 15:01:01 XS-Files SystemD: Elindította a felhasználói gyökér 14441 munkamenetét. Október 16 15:01:01 XS-Files SystemD: A felhasználói gyökér 14441 munkamenete. Október 16. 15:01:01 XS-Files systemd: lépések Session 14442 Felhasználói Root. Október 16 15:01:01 XS-Files SystemD: A felhasználói gyökér 14442 munkamenete. Október 16 15:01:01 XS-Files SystemD: eltávolított szelet felhasználói-0.Slice. Október 16 15:01:01 XS-Files SystemD: A felhasználó-0.Slice leállítása. Október 16 16:01:01 XS-Files SystemD: Létrehozott szelet felhasználói-0.Slice. Október 16 16:01:01 XS-Files SystemD: A felhasználó elindítása-0.Slice. Október 16 16:01:01 XS-Files SystemD: Elindította a felhasználói gyökér 14443 munkamenetét. Október 16 16:01:01 XS-Files SystemD: A felhasználói gyökér 14443 munkamenete. Október 16 16:01:01 XS-Files Systemd: eltávolított szelet felhasználói-0.Slice.

A CENTOS 8-ban nem vettem észre őket, így nem szükséges semmit tenni. A kommunikáció gyakorlati felhasználása nincs, így kikapcsoljuk őket. Ehhez hozzon létre egy külön szabályt az Rsyslog számára, ahol felsoroljuk az összes üzenet sablonát. Küldje el ezt a szabályt egy külön fájlba /etc/rsyslog.d/ignore-systemd-session-slice.conf..

# CD /etc/rsyslog.d && Mcedit Ignore-systemd-Slice.conf IF $ programname \u003d\u003d "systemd" és ($ MSG tartalmazza "-tól Session" Or $ MSG tartalmazza "lépések Session" Or $ MSG tartalmazza "Alkotó szelet" vagy $ MSG tartalmazza "-tól User- "OR $ MSG tartalmaz" indítása Felhasználói szelet "Or $ MSG tartalmaz" Eltávolított Session "Or $ MSG tartalmaz" Eltávolított Slice Felhasználói szelet "Or $ MSG tartalmaz" Stopping Felhasználó szelet") Ezután Álljon meg.

Mentse el a fájlt és indítsa újra az Rsyslogot a beállítások alkalmazásához.

# Systemctl újraindítja az Rsyslogot

Nyilvánvaló, hogy ebben az esetben csak a helyi kiszolgálón bekapcsoljuk a naplófájl árvízét. Ha bejelentkezik, akkor ez a szabály Szükség lesz beállítani pontosan rá.

IFTOP, ATOP, HTOP, LSOF telepítése a Centos-on

És végül, a beállítás végén, adjunk hozzá több hasznos segédprogramot, amelyek hasznosak lehetnek a kiszolgáló üzemeltetése során.

iftop mutatja valós időben töltése a hálózati interfész, lehet kezdeni a különböző gombokat, nem fogom abbahagyni ebben részletesen, van információ erről a témáról az interneten. Tegye:

# Yum telepítése iftop

És két érdekes feladatokat diszpécser, azt használja a legtöbbet HTOP, de néha ATOP hasznos. Mindkettőt, megnézzük magunkat, megosztod, amit jobban szeretsz, alkalmas:

# Yum telepítése htop # yum install atop

Az információk megjelenítéséhez, mely fájlokat használják azok vagy más folyamatok, azt tanácsolom, hogy tegye a segédprogramot lsof. A szerver művelet diagnosztizálásakor leginkább hasznos lehet.

# Yum telepítése wget bzip2 traceroute gdisk

Minden van rajta. Alapbeállítás A Centos befejeződött, elkezdheti telepíteni és konfigurálni a fő funkcionális.

Rendszerposta beállítása

Végül konfigurálja centos szerverek Tegyük fel, hogy a helyi gyökérhez címzett leveleket külső levélkiszolgálón keresztül küldje el a kiválasztott postafiókba. Ha ez nem történik meg, akkor helyben lesz a fájlba / Var / spool / mail / root. És fontos és hasznos információk lehetnek. Konfigurálja azt, hogy küldjön egy rendszergazdai dobozba.

Ezt egy külön cikkben részletesen mondtam -. Itt röviden csak parancsok és gyors beállítások. Beállítottuk a szükséges csomagokat:

# Yum install Mailx Cyrus-Sasl Cyrus-Sasl-Lib Cyrus-Sasl-Plain Postfix

Rajzolunk ilyen konfigurálást a postfix számára.

Macska /etc/postfix/main.cf ## alapértelmezett konfiguráció kezdő ###################### queue_directory \u003d / var / spool / postfix command_directory \u003d / usr / sbin daemon_directory \u003d / usr / libexec / postfix data_directory \u003d / var / lib / postfix mail_owner \u003d postfix inet_interfaces \u003d localhost inet_protocols \u003d összes unknown_local_recipient_reject_code \u003d 550 alias_maps \u003d hash: / etc / aliases alias_database \u003d hash: / etc / aliases debug_peer_level \u003d 2 debugger_command \u003d PATH \u003d / bin: / bin: / bin: / usr / bin ddd $ daemon_directory / $ process_name $ process_id és aludni 5 sendmail_path \u003d /usr/sbin/sendmail.postfix Newaliases_Path \u003d / usr / bin / newaliases.postfix MailQ_Path \u003d / usr / bin / mailq.postfix setgid_group \u003d postdrop html_directory \u003d nincs manpage_directory \u003d / usr / share / man minta_directory \u003d / man minta / doc / postfix-2.10.1 / minták Readme_directory \u003d / usr / share / doc / postfix-2.10.1 / Readme_files ## Alapértelmezett konfigurációs vég ###################################### # kiszolgáló neve, amely megjeleníti a Hostname MyHostName \u003d Centos-Test parancsot. X.Slocal # itt n Csak egy domaint kell hagynia a logikát, de ebben az esetben jobb, ha a kiszolgáló teljes nevét hagyja el, hogy a feladó # mező megjelentette a kiszolgáló teljes nevét, kényelmesebb a szerviz üzenetek szétszereléséhez Mydomain \u003d centos-test.xs.local mydestination \u003d $ myhostname myorigin \u003d $ mydomain # kiszolgáló címe, amely elküldi a levelet relayhost \u003d mailsrv.mymail.ru \u003d 25 smtp_use_tls \u003d igen smtp_sasl_auth_enable \u003d igen smtp_sasl_password_maps \u003d hash: / etc / postfix / sasl_passwd smtp_sasl_security_options \u003d Noanonymous smtp_tls_security_level \u003d május

Hozzon létre egy fájlt a felhasználónévről és a jelszóról az engedélyezéshez.

# Mcedit / etc / postfix / sasl_passwd mailsrv.mymail.ru: 25 [E-mail védett]: Jelszó.

Hozzon létre egy DB fájlt.

# Postmap / etc / postfix / sasl_passwd

Most újraindíthatja a postfixot, és ellenőrizheti a munkát.

# Systemctl Indítsa újra a postfix-et

A gyökér standard aliasához / etc / aliases, Adjon hozzá egy külső címet, ahol a gyökérre címzett levelezés megismétlődik. Ehhez szerkessze a megadott fájlt az utolsó karakterlánc megváltoztatásával.

#Root: marc.

Gyökér: gyökér, [E-mail védett]

Frissítjük a tanúsítvány adatbázisát:

# Newaliases

A konzol LAN-on keresztül levelet küldünk:

# Df -h | Mail -s "lemezhasználat" gyökér

A levélnek a kültéri dobozba kell mennie. Ha a Yandex mezőt használ, akkor valószínűleg hibát kap a levélkiszolgáló naplójában, és a betű nem kerül elküldésre.

Relay \u003d smtp.yandex.ru: 25, késleltetés \u003d 0,25, késleltetések \u003d 0/0 / 0.24 / 0.01, DSN \u003d 5.7.1, állapota \u003d pattanced (Host smtp.yandex.ru azt mondta: 553 5.7.1 A feladó címe elutasította: Nem tulajdonosa az Auth User. (Válasz a Postól a Parancstól)))

Ez a hiba azt jelenti, hogy nem rendelkezik ugyanazzal a fiókkal, mint az engedélyezéshez használt feladó. Hogyan javítsuk meg, hogy külön cikket mondok -. Más postai rendszerekkel, ahol nincs ilyen ellenőrzés, minden rendben kell lennie.

Ehhez a helyi levelek beállítása befejeződött. Most a helyi gyökérhez címzett összes betű, például a Cron Jelentések megismétlődnek egy külső postafiókhoz, és egy teljes körű levélkiszolgálón keresztül küldenek. Tehát a betűk finoman szállnak, nem pedig a spambe (bár nem szükséges, vannak heurisztikus szűrők is).

Következtetés

Néhányat elvégeztünk elsődleges lépések A Centos Server beállításával, amelyet általában a szerver felkészítése után a telepítés után készítek el. Nem úgy teszek, mintha abszolút igazság lenne, talán hiányzik, vagy nem igazán igaza van. Örülök, hogy ésszerű és értelmes megjegyzéseket és megjegyzéseket teszek a javaslatokkal.

..

A telepítés, a Linux alapján épített hálózatok beállításainak és karbantartásainak megértése.

A felmerülő problémák gyors megoldásának képessége és stabil és megszakítás nélküli rendszerműködés biztosítása.

Ellenőrizze magát a bevezető teszten, és nézze meg többet a szoftverprogramból.

De az iptables csapata összetett, és sok felhasználó nehezen emlékezhet minden olyan lehetőségre és esetre, amelyben fel kell használni őket. Ezért a disztributív fejlesztők saját felépítményüket hoznak létre az iptables-en keresztül, amelyek segítenek a tűzfalszabályozás egyszerűsítésében. CENTOS Az Iptables add-in-t tűzfalnak nevezik.

A tűzfalnak számos fontos különbsége van az iptables-hez képest. Itt a hálózati hozzáférés-szabályozást a zónák és szolgáltatások szintjén végzik, és nem láncok és szabályok. És a szabályok dinamikusan frissülnek, anélkül, hogy megszakítanák a futásokat. Ez a cikk megvizsgálja a 7 tűzfal 7-es konfigurációját a tűzfal példáján.

Ahogy fentebb mondtam, a tűzfal nem a szabályok láncaival, hanem zónákkal működik. Egy bizonyos zóna hozzárendelhető minden hálózati felülethez. A zóna olyan szabályok, korlátozások és engedélyek csoportja, amelyek a hálózati felületre vonatkoznak. Egy interfészhez csak egy zóna lehet kiválasztani. A fejlesztők több előre beállított zónát hoztak létre:

• csepp. - blokkolja az összes bejövő csomagot, csak kimenő
• blokk - Az előző verziótól eltérően a csomag feladója a csomag blokkolására kerül sor;
• nyilvános - A támogatások csak az SSH és a DHClient esetében támogathatók;
• külső - támogatja a NAT-t a belső hálózat elrejtésére;
• belső - SSH, SMBA, MDNS és DHCP szolgáltatások megengedettek;
• dMZ. - Az izolált kiszolgálókhoz használják, amelyek nem férnek hozzá a hálózathoz. Csak SSH-kapcsolat engedélyezett;
• munka - megengedett SSH és DHCP szolgáltatások;
• iTTHON - a belsőekhez hasonló;
• megbízható. - Minden megengedett.

Így, hogy lehetővé tegye vagy tiltsa meg a szolgáltatásokat, hozzáadhatja vagy eltávolíthatja azt az aktuális zónából, vagy módosíthatja az interfész zónát az egyikre, ahol megengedett. Az iptables csomagok alapértelmezett cselekvési irányelveivel analógiát készíthet. A megbízható zóna egy elfogadás politika és lehetővé teszi, hogy minden kapcsolatot, a blokk a blokk egy tiltó politikát, amely megtiltja az összes kapcsolatot, és az összes többi zóna lehet tekinteni az örökösök a blokk terület, plusz ők már előre a feloldására vonatkozó szabályokat hálózati kapcsolatok egyes szolgáltatásokhoz.

A tűzfalnak is kétféle konfigurációja van:

• futásidő. - csak az újraindítás előtt érvényes, az összes egyébként nincs megadva, amely egyébként nincs megadva a konfigurációra;
• állandó. - Állandó beállítások, amelyek az újraindítás után működnek.

Most már tudod mindent, amire szüksége van, forduljunk a tűzfal-cmd segédprogramhoz.

Szintaxis és Opciók Firewall-Cmd

A tűzfal-beállításokat a tűzfal-cmd konzol segédprogram és a grafikus felület. A centilleket leggyakrabban a szervereken használják, így a terminálban kell dolgoznia. Nézzük meg a szintaxis segédprogramot:

tűzfal-cmd opciók

A zónák kezeléséhez ez a szintaxis:

tűzfal-cmd - konfiguráció --Zone \u003d opció zóna

Konfigurációként meg kell adnia a -Permanent opciót a módosítások mentéséhez, miután újraindítás vagy semmilyen megadása után meg kell mentenie a módosításokat, akkor a módosítások csak az újraindítás előtt érvényesek. Zónában használja a kívánt zóna nevét. Nézzük meg az opciókat:

• --Állapot. - visszavonja a tűzfal állapotát;
• - Reload. - újratöltse a szabályokat az állandó konfigurációból;
• - Komplett-újratöltése. - A kemény újraindítás szabályok az összes kapcsolat megszakításával;
• - fruntime-to-állandó - A futásidejű konfigurációs beállításainak átvitele állandó konfigurációra;
• --állandó. - Állandó konfigurációt használjon;
• --Ind-alapértelmezett zóna - Az alapértelmezett zóna megjelenítése;
• TESZT-DEFAULT-ZONE - Állítsa be az alapértelmezett zónát;
• --GET-Active-Zones - az aktív zónák megjelenítése;
• --Get-zónák - az összes rendelkezésre álló terület megjelenítése;
• --Get-szolgáltatások. - visszavonja az előre meghatározott szolgáltatásokat;
• --List-all-zónák - visszavonja az összes zóna konfigurációját;
• --New-zóna - hozzon létre egy új zónát;
• - -Delete-zóna - Távolítsa el a zónát;
• --Lista-minden. - a kiválasztott zónából hozzáadott mindent kimenet;
• - List-Services. - visszavonja az összes szolgáltatást a zónához;
• --Add-Service. - Szolgáltatás hozzáadása a zónához;
• --Remove-Service. - törölje a szolgáltatást a zónából;
• --List-portok. - a zónához hozzáadott portok;
• --Add-port - adjunk hozzá portot a zónához;
• --Remove-port. - Távolítsa el a kikötőt a zónából;
• - Exquery-port. - Mutassa be, ha a port hozzáadódik a zónához;
• --List-protokollok - visszavonja a zónához hozzáadott protokollokat;
• --Add-protokoll - A zónához való protokoll hozzáadása;
• --Remove-protokoll - távolítsa el a protokollt a zónából;
• --List-forrás-portok - távolítsa el a zónához hozzáadott forrásportokat;
• --Add-forrás-port - adjunk hozzá egy portforrást a zónához;
• --Remove-forrás-port - Távolítsa el a portforrást a zónából;
• --Lista-ICMP-blokkok - az ICMP zárak megjelenítése;
• --Add-icmp-blokk - ICMP zár hozzáadása;
• --Add-icmp-blokk - távolítsa el az ICMP zárat;
• --Add-előre-port - Adjon hozzá egy kikötőt a NAT átirányításához;
• - -Remove-fors-port - Távolítsa el a portot a NAT átirányításához;
• --Add-Masquerade. - magában foglalja a Nat;
• --Remove-Masquerade. - Távolítsa el a NAT-t.

Ez nem az összes lehetőség segédprogram, de ehhez a cikkhez elegendő leszünk számunkra.

A tűzfal konfigurálása a Centos 7-ben

1. Tűzfal állapota

Először is meg kell látni a tűzfal állapotát. Ehhez kövesse:

sudo systemctl status tűzfal

Ha a tűzfalszolgáltatás le van tiltva, akkor szükség van rá:

sudo Systemctl Start Firewalld
Sudo systemctl lehetővé teszi a tűzfald engedélyezése

Most meg kell látni, hogy a tűzfal fut, a tűzfal-cmd parancs használatával:

sudo tűzfal-cmd -pate

Ha a program fut, és minden rendben van, akkor kap egy "futás" üzenetet.

2. Zónagazdálkodás

Mint már megértette, a zónák a hálózati kapcsolatok kezelésének fő eszközei. Az alapértelmezett terület megtekintéséhez kövesse az alábbiakat:

sudo tűzfal-cmd -get-alapértelmezett zóna

Az én esetemben ez egy nyilvános zóna. Az aktuális zónát az akkori alapértelmezett zóna opcióval módosíthatja:

sudo tűzfal-cmd -set-alapértelmezett-zóna \u003d nyilvános

Annak érdekében, hogy mely zónákat használják az összes hálózati interfészhez, végre:

sudo tűzfal-cmd -get-aktív zónák

A lista tartalmaz zónákat és interfészeket, amelyekhez hozzárendelnek. Az ilyen parancsot egy adott zónához konfigurációt lehet megtekinteni. Például a nyilvános zónához:

3. Szolgáltatások beállítása

Láthatja az összes előre definiált szolgáltatást egy csapatnál:

sudo tűzfal-cmd -get-services

A parancs megjeleníti az összes rendelkezésre álló szolgáltatást, akkor hozzáadhat bármelyiküket a zónához, hogy lehetővé tegye. Például engedélyezze a HTTP-hez való csatlakozást:

sudo tűzfal-cmd -zone \u003d nyilvános --Add-Service \u003d http -permanent

És a szolgáltatás eltávolításához hajtsa végre:

sudo tűzfal-cmd -zone \u003d nyilvános --Remove-Service \u003d http -permanent

Mindkét esetben a -Permanent opciót alkalmaztuk, hogy a konfigurációt újraindítás után mentjük. A szabályok frissítése után:

sudo tűzfal-cmd -reload

Ezután, ha megnézed a zóna konfigurációját, akkor a hozzáadott szolgáltatás ott jelenik meg:

sudo tűzfal-cmd -zone \u003d nyilvános --lista-all

4. Hogyan nyissa meg a kikötőt a tűzfalban

Ha nincs szolgáltatás a szükséges programhoz, akkor kézzel nyithatja meg. Ehhez egyszerűen adja hozzá a kívánt portot a zónához. Például Port 8083:

sudo tűzfal-cmd -zone \u003d nyilvános --Add-port \u003d 8083 / tcp -permanent

A kikötő eltávolítása a zónából, hajtsa végre:

sudo tűzfal-cmd -zone \u003d nyilvános --Remove-port \u003d 8083 / tcp -permanent

A kikötő megnyitásához hasonló szolgáltatásokhoz tűzfal centosz. 7 Újra kell indítanunk a tűzfalat.

sudo tűzfal-cmd -reload

5. Firewalld portok

A tűzfalon portjai kikötői sokkal könnyebbek, mint az iptables. Ha például szüksége van rá, átirányítja a 2223-as portra vonatkozó forgalmat a 22-es portra, elegendő átirányítás hozzáadása a zónához:

sudo tűzfal-cmd -zone \u003d nyilvános --dd-forward-port \u003d port \u003d 2223: proto \u003d tcp: toport \u003d 22

Itt az átirányítás csak az aktuális gépen történik. Ha a NAT hálózatot konfigurálja, és a portot egy másik gépen kell megadnia, akkor először engedélyeznie kell a Masquerade támogatást:

sudo tűzfal-cmd -zone \u003d nyilvános --dd-masquerade

Ezután hozzáadhat portot:

sudo tűzfal-cmd -zone \u003d publix --add-forward-port \u003d port \u003d 2223: proto \u003d tcp: toport \u003d 22: toaddr \u003d 192.168.56.4

6. Bővített szabályok

Ha a zónák funkcionalitása nem elegendő az Ön számára, hosszabb szabályokat használhat. A kiterjesztett szabályok általános szintaxisa:

szabály Family \u003d "Család" Forrás értéke Úticélérték Napló ellenőrzési művelet

Itt van az alapvető paraméterek értéke:

• Mint Családi protokollok Megadhatja az IPv4 vagy az IPv6-t, vagy nem adhat meg semmit, akkor a szabályt mindkét protokollra alkalmazzák;
• forrás és rendeltetési hely - Ez a küldő és a csomag címzettje. Az IP-cím (cím), a szolgáltatás (szolgáltatás neve), a port, a protokoll (protokoll) használható, mint a paraméterek;
• napló. - Lehetővé teszi a csomagok áthaladását, például a syslog-ban. Ebben a beállításban megadhatja a napló előtagja és a naplózási részletek szintjét;
• könyvvizsgálat. - ez alternatív módon Naplózás Amikor az üzeneteket elküldi az Auditd szolgáltatásba.
• törvény - Ez egy olyan cselekvés, amelyet meg kell végre kell hajtani az egybeesett csomaggal. Elérhető: elfogadja, csökkenti, elutasítja, jelölje meg.

Nézzünk néhány példát. Meg kell blokkolnunk a hozzáférést a szerverhez a felhasználó IP 135.152.53.5:

sudo tűzfal-cmd -zone \u003d nyilvános --dd-gazdag-szabály "szabály család \u003d" IPv4 "forráscím \u003d 135.152.53.5 Elutasítás"

Vagy meg kell tiltanunk ugyanazt a felhasználót csak a 22-es porthoz való hozzáférés:

sudo tűzfal-cmd -zone \u003d nyilvános --ddd-gazdag-szabály "szabály család \u003d" IPv4 "forráscím \u003d 135.152.53.5 Port port \u003d 22 protokoll \u003d tcp elutasítása

Lásd az összes kiterjesztett szabályt a csapat:

sudo tűzfal-cmd -list-rich-szabályok

következtetések

Ebben a cikkben szétszereltük, hogyan történik tűzfal beállítása A CENTOS 7-ben és milyen feladatokat tud végrehajtani vele. A program sokkal könnyebben használható, mint az iptables, de véleményem szerint az Ubuntu-tól a Faervola bővítménye még könnyebben használható.