Centos 7 Firewall CMD otvorený port. Nastavenie predvolenej zóny

Dnes vám predstavíme vašu víziu počiatočnej konfigurácie univerzálneho servera na populárnom OS. Budem hovoriť o tom, ako urobiť základné nastavenie servera Centos ihneď po inštalácii, aby ste ho použili v akomkoľvek kvalite podľa vášho uváženia. Prezentovaný praktické rady Vylepšite bezpečnosť a pohodlie práce so serverom. Článok bude relevantný pre posledné dve úniky Centos - 7 a 8.

1. Zoznam počiatočných nastavení centov, ktoré vykonávam na najčerstvejšom serveri.
2. Zobraziť príklady konfigurácií, ktoré používam v typickom nastavení.
3. Dajte tipy na nastavenie centov na základe vašej pracovnej skúsenosti.
4. Vytvorte zoznam typických programov a pomôcok, ktoré pomáhajú spravovať server.

Tento článok je súčasťou jednotného cyklu článku o serveri.

Úvod

Po vydaní nových vydaní Centos 8 sa uloľilo v jednom článku na opis počiatočné nastavenie Oba servery, ale nechcel som zdieľať článok, pretože existuje mnoho prichádzajúcich väzieb z rôznych miest. Je vhodnejšie udržiavať celkový materiál na oboch verziách ako ja. Zároveň budú viditeľné rozdiely v dvoch verziách, ktoré budú na pár rokov po výjazde Centos 8 relevantné tak aj druhá verzia bude použitá v závislosti od situácie.

Centos 7 používa dávkový manažér yum.a v Centos 8 - dNF.. Zároveň zanechal symbolický odkaz s yum na DNF, takže môžete písať ako prvé meno aj druhé. Pre jednotnosť, budem používať yum všade, a varím vás, len preto, aby som to pochopil, prečo to urobím. Skutočne, Centos 8 používa DNF, toto je ďalší, modernejší dávkový manažér, ktorý vám umožní pracovať s rôznymi verziami rovnakého softvéru. To využíva samostatné archívy, ktoré sa objavili pre Centos 8.

Počiatočné nastavenie Centos.

Osobne som nejaké systémové nastavenie, či už je to centá alebo druhá, po inštalácii začnem so skutočnosťou, že tento systém úplne aktualizujem. Ak bol inštalačný obraz čerstvý, alebo sa inštalácia vykonala cez sieť, potom s najväčšou pravdepodobnosťou nebudú žiadne aktualizácie. Najčastejšie sú, pretože inštalačné obrázky nie sú vždy pravidelne aktualizované.

Aktualizujeme systém

# Yum aktualizácia.

Pre jednoduchosť správy, vždy nainštalujem midnight veliteľ, alebo len MC:

# yum nainštalovať mc

A okamžite pre to, zapnite zvýraznenie syntaxe všetkých súborov, ktoré nie sú explicitne v súbore USR / Share / MC / Syntax / Syntax Syntax pre skripty SH a BASH. Táto univerzálna syntax je normálne vhodná pre konfiguračné súbory, ktoré najčastejšie musia pracovať na serveri. Prepísať súbor. neznáme.syntax. Je to tento vzor, \u200b\u200bktorý bude aplikovaný na C.CONF I.CF súbory, pretože žiadna syntax nie je zjavne viazaná na ne.

# cp /usr/share/mc/syntax/sh.syntax /usr/share/mc/syntax/unkmende.syntax

Ďalej budeme používať sieťové služby. V závislosti od nastavenia počiatočných paketov, ktoré si vyberiete pri inštalácii systému, budete mať jednu alebo inú sadu sieťových nástrojov. Tu je zoznam tých, ktorí sú zvyknutí osobne - ifconfig, netstat, nslookup a niektorí iní. Ak ju potrebujete, rovnako ako ja, potom navrhnem, aby som ich nainštaloval samostatne, ak ešte nie sú. Ak ich nepotrebujete a nepoužívate ich, môžete ich inštalovať preskočiť. Skontrolujte, či máme v systéme

# ifconfig

Ak vidíte odpoveď:

BASH: IFCONFIG: Príkaz nebol nájdený

Takže nástroj nie je nainštalovaný. Namiesto Ifconfig v Centos Now Utility iP.. Týka sa to nielen pre stred. Takýto obraz je takmer všetky populárne moderné distribúcie Linuxu. Dlho som si zvykla na IFCONFIG, aj keď som nedávno nepoužívam. Vždy som sa mi páčil, že v rôznych distribúcii Linux, všetko je približne rovnaké. Pomocou IFCONFIG môžete sieť nakonfigurovať nielen v Linuxe, ale aj v FreeBSD. Je to pohodlné. A keď v každej distribúcii tento nástroj nie je pohodlný. Aj keď teraz to nie je veľmi relevantné, pretože nefunguje s FreeBSD a IP Utility je vo všetkých distribúciach Linuxu. Avšak, ak potrebujete IFCONFIG, môžete nainštalovať balík nET-Tools.v ktorom príde:

# Yum nainštalovať net-náradie

Aby sme mali príkazy NSLOOOKUP, ALEBO Napríklad hostiteľ musí nainštalovať balík bind-Utils.. Ak sa to nerobí, potom na príkaz:

# nslookup

Dôležité bude záver:

Bash: nslookup: Príkaz nebol nájdený

Nainštalujte BIND-UTILS:

# Yum nainštalovať väzbové utils

Vypnúť SELINUX

Vypnite SELINUX. Jeho použitie a konfigurácia samostatnej konverzácie. Teraz to neurobím. Takže vypneme:

# Mcedit / etc / sysconfig / selinux

zmeňte hodnotu

SELINUX \u003d vypnuté.

Ak chcete zmeniť zmeny, môžete reštartovať:

# Reštartovať

A ak chcete reštartovať, aplikujte SELINUX vypnutie, potom vykonajte príkaz:

# Stenforce 0

Neustále mám veľa kritiky na SELINUX Disable Theme. Viem, ako to funguje, môžem ho prispôsobiť. Je to naozaj veľmi ťažké a nie je ťažké zvládnuť. Toto je moja vedomá voľba, aj keď to niekedy nastavím. Môj formát práce so systémom je taký, že Selinux je pre mňa najčastejšie potrebný, takže netrávim čas na to a v základnom nastavení centov vypnúť. Bezpečnosť systému je komplexná práca, najmä v modernom svete vývoja webového vývoja, kde pravidlo microservice a kontajnerov. Selinux Nishey Tools, ktoré nie sú vždy potrebné a nie všade. Preto v tomto článku nie je miestom. Kto potrebuje, samostatne zahŕňa selinux a nakonfigurujte.

Uveďte parametre siete

Po inštalácii pokračujeme v základnom nastavení centov. Teraz vyrábame, ak z nejakého dôvodu nerobili počas inštalácie, alebo ak ich potrebujete zmeniť. Všeobecne platí, že sieť v centre je nakonfigurovaná NetworkManager. a jeho konzolový nástroj nmtui.. Ide v základnom systéme Oralovka. Existuje jednoduchý a zrozumiteľný grafické rozhranieTakže nie je čo povedať. Som viac používaný na prispôsobenie siete prostredníctvom konfiguračných súborov sieťových skriptov. V centoch 7. verzie sú z krabice, v 8. verzii boli odstránené. Ak chcete použiť na nastavenie siete, musíte balík nainštalovať samostatne. sieťové skripty..

# Yum nainštalovať sieťové skripty

Teraz môžete sieť nakonfigurovať. Na tento účel otvorte súbor / etc / sysconfig / sieťové skripty / ifcfg-eth0

# Mcedit / etc / sysiconfig / sieťové skripty / ifcfg-eth0

Ak dostanete nastavenia siete DHCP, potom bude minimálna sada nastavení v konfiguračnom súbore takto.

TYP \u003d "Ethernet" Bootproto \u003d "DHCP" DEFROUTE \u003d "ÁNO" IPV4_FAILURE_FATAL \u003d "NO" NÁZOV \u003d "Eth0" Zariadenie \u003d "Eth0" Onboot \u003d "ÁNO"

Ak chcete konfigurovať statickú IP adresu, nastavenia budú nasledujúce.

TYP \u003d "Ethernet" Bootproto \u003d "NONE" DEFROULE \u003d "ÁNO" IPV4_FAILURE_FATAL \u003d "NO" NÁZOV \u003d "Eth0" Zariadenie \u003d "Eth0" Onboot \u003d "ÁNO" IPADDR \u003d 192.168.167.117 DNS1 \u003d 192.168.167.113 Prefix \u003d 28 Gateway \u003d 192.168.167.113

V poli iPaddr zadajte svoju adresu, v sieťovej maske prefix, v bráne Gateway, adresu DNS servera DNS. Uložte súbor a reštartujte sieť, ak chcete použiť nastavenia:

# SystemCTL Restart Network

Prispôsobte bránu firewall

Pridanie úložísk

Pri konfigurácii Centos často potrebujete softvér, ktorý nie je v štandardnom REPEX. Pre inštaláciu Ďalšie balíky potrebné. Najobľúbenejšie je EPEL. Bola to RPMFORGE, ale už za pár rokov zatvorené. O neho všetky zabudnuté. Pripojte úložisko EPEL. S ním je všetko jednoduché, pridáva sa zo štandardného odbočenia:

# Yum nainštalovať epel-vydanie

RPI úložisko je tiež mimoriadne užitočné pre Centos 7, čo vám umožňuje vytvoriť veľkú verziu PHP, na rozdiel od tých, v štandardnom úložisku. Dovoľte mi pripomenúť, že ide o verziu PHP 5.4, ktorá už nie je vhodná a odstránená z podpory.

# rpm -uhv http://rpms.Remirepo.net/enterprise/remi-releLease-7.RPM

Pre centos 8 Remi nie je relevantné, ale myslím, že je to dočasné. V zásade tieto dva úložisko v Centos zvyčajne uchopí všeobecne. Iní sú pripojení za špecifické potreby inštalovať rôzne softvér.

Nastavenie skladovania histórie v Bash_history

Pokračovanie na nastavenie systému Centos na serveri. Užitočné vykoná niektoré zmeny štandardného mechanizmu na záchranu histórie tímov. Často pomáha, keď potrebujete zapamätať si jeden z predtým zadaných príkazov. Štandardné nastavenia majú určité obmedzenia, ktoré sú nepohodlné. Tu sú ich zoznam:

1. Štandardne sa uložia iba posledných 1000 príkazov. Ak existuje viac z nich, potom sa starší bude vymazaný a nahradený novými.
2. Dátumy vykonávania príkazov nie sú špecifikované, iba ich zoznam v poradí vykonávania.
3. Súbor so zoznamom správ sa aktualizuje po dokončení relácie. S paralelnými stretnutiami sa môže stratiť časť príkazov.
4. Absolútne všetky príkazy sa uložia, hoci v úložisku nie je zmysel.

Zoznam posledných vykonaných príkazov je uložený v domovskom adresári v súbore v súbore .bash_history. (Na začiatku bodu). Môže ho otvoriť akýmkoľvek editorom a vidieť. Pre pohodlnejší výstup zoznamu môžete zadať príkaz v konzole:

# História.

a pozrite si zoznam číslovaných. Rýchlo nájdite konkrétny príkaz, môžete použiť filtrovanie iba požadované riadky, napríklad takto:

# História | Grep yum.

Uvidíme všetky možnosti pre spustenie príkazu Yum, ktoré sú uložené v histórii. Opravíme uvedené nevýhody štandardných nastavení príkazového ukladania v Centose. Upravte súbor .Bashrc.ktorý sa nachádza v rovnakom adresári ako súbor s históriou. Pridajte k nej nasledujúce riadky:

Export Histsalize \u003d 10000 Export HISTIMIMIMATION \u003d "% H% D% H:% M:% S" RMIST_COMMAND \u003d "História" Export Hisignigre \u003d "LS: LL: História: W: HTOP"

Prvý parameter zvyšuje veľkosť súboru na 10 000 riadkov. Môžete urobiť viac, aj keď to zvyčajne uchopí takú veľkosť. Druhý parameter označuje, že musíte uložiť dátum a čas príkazu. Tretie riadkové sily ihneď po vykonaní príkazu na udržanie v histórii. V poslednom riadku vytvoríme zoznam výnimiek pre tieto príkazy, ktorých záznam sa nevyžaduje v histórii. Priniesol som príklad najjednoduchšieho zoznamu. Môžete ho pridať do svojho uváženia.

Ak chcete použiť zmeny, je potrebné znova zarovnať a pripojiť alebo vykonať príkaz:

# Zdroj ~ / .bashrc

Nastavením skladovania histórie príkazov, všetko. V súbore .Bashrc môžete nastaviť veľa zaujímavých vecí. Naraz som bol rád experimentovaný, ale potom všetko ho hodilo, pretože to nedáva zmysel. Práca s zákazníckymi servermi, najčastejšie vidím predvolené bash, takže je najlepšie si na to zvyknúť a pracovať v ňom. A individuálne nastavenia a dekorácie sú množstvo osobných počítačov a serverov. Nie pracovníkov. Takže viac nekonfigurujem nič podľa normy v serveri Centos v tomto ohľade.

Automatická aktualizácia systému

Ak chcete zachovať bezpečnosť servera na správnej úrovni, je potrebné aspoň aktualizovať ho včas - samotné jadro so systémovými nástrojmi a inými paketmi. Môžete to urobiť manuálne, ale pre efektívnejšie práce je lepšie konfigurovať automatické vykonanie. Nie je potrebné automaticky inštalovať aktualizácie, ale aspoň na kontrolu ich vzhľadu. Zvyčajne dodržiavam takúto stratégiu.

Yum-cron

Utility pomôže automaticky kontrolovať aktualizácie v Centos 7 yum-cron.. Tradične sa tradične cez yum zo štandardného úložiska.

# Yum nainštalovať yum-cron

Po inštalácii YUM-CRON je vytvorený automatická úloha o vykonávaní utility v /etc/cron.daily. a /etc/cron.hourly. V predvolenom nastavení, pomôcky na stiahnutie nájdených aktualizácií, ale neplatí ich. Namiesto toho sa na administrátora odosiela oznámenie o aktualizáciách do miestneho koreňa poštovej schránky. Ďalej ste v manuálny mód Príďte sa rozhodnúť, či na inštaláciu aktualizácií alebo nie v pohodlnom čase pre vás. Vidím tento režim práce najpohodlnejšie, takže tieto nastavenia nezmením.

Yum-cron môžete konfigurovať cez konfiguračné súbory, ktoré sa nachádzajú na /etc/yum/yum-cron.conf. a yum-cron-hourly.conf. Nie sú zlé komentované, takže v podrobných vysvetlení nepotrebujú. Upozorňujem sa na časť Kde môžete určiť parametre odosielania správ. V predvolenom nastavení, odoslanie pošty prostredníctvom miestneho hostiteľa. Parametre môžete zmeniť a odosielať správy prostredníctvom tretej strany. poštový server. Ale namiesto toho, osobne preferujem globálne pre celý server, aby som upravil koreňovú lokálnu poštu do externej poštovej schránky prostredníctvom autorizácie na inom serveri SMTP.

DNF-Automatic.

Ako som povedal predtým, iný dávkový manažér sa používa v Centos 8 - DNF. Nastavenie aktualizácie balíka sa vykonáva prostredníctvom pomôcky dNF-Automatic.. Dajte ho a nakonfigurujte.

# Yum nainštalovať DNF-Automatic

Riadenie spustenia na pláne už nie je cron, ale systém je jeho vstavaný plánovač. Sledujte automatické časovače spustenia môžu byť tím:

# SystemCTL List-Timers * DNF- *

Ak nie je jedna úloha, potom môžete časovač pridať manuálne:

# Systemctl Enable --Now DNF-Automatic.timer

Predvolený časovač je nakonfigurovaný na spustenie DNF-Automatic Hour Po načítaní servera a denné opakovanie. Timer Config žije tu - /etc/systemd/system/multi-user.target.wants/dnf-automatic.timer..

Config pre DNF-Automatic LIVES IN /etc/dnf/automatic.conf.. V predvolenom nastavení si stiahne iba aktualizácie, ale neplatia ich. Konfigurácia je dobre komentovaná, takže ho môžete nastaviť podľa vás. Samostatné vysvetlenia sa nevyžadujú. Nakonfigurujte aktualizáciu systémových balíkov podľa vášho uváženia. Ako som povedal, automaticky ich otočím. Inštalácia vždy držte pod kontrolou s manuálnym ovládaním.

Vypnite povodňové príspevky v / var / log / správy

Pokračovanie v nastavení centov, opravte jedno malé nepríjemnosti. V predvolenej inštalácii 7. systému verzie, všetky vaše systémové protokoly / Var / log / správy Po určitom čase bude server upchatý nasledujúcimi záznamami.

16:01 XS-súbory Systemd: Vytvorené Slice User-0.slice. 16. október 16:01 XS-súbory Systemd: Spustenie používateľa - 0.slice. Oct 16 14:01 x01:01 XS-súbory Systemd: Začíname session 14440 root užívateľa. Oct 16 14:01 XS-súbory Systemd: Spustenie relácie 14440 root užívateľa. Oct 16 14:01 XS-súbory Systemd: Odstránené Slice User-0.slice. 16. október 16:01 XS-súbory Systemd: zastavenie používateľa-0.slice. OkT 16:01 -01:01 XS-súbory Systemd: Vytvorené Slice User-0.slice. OkT 16:01 XS-súbory Systemd: Spustenie používateľa - 0.slice. OkT 16:01 x-súborov Systemd: Začíname session 14441 užívateľského koreňa. Okt 16:01 x-súborov Systemd: Spustenie relácie 14441 root užívateľa. Oct 16 15:01 x-súbory Systemd: ZAČÍNAŤ SEUS 14442 ROOK UŽÍVATEĽA. 16. október 16:01 x-súbory Systemd: Spustenie relácie 14442 užívateľského koreňa. 16. október 16:01 XS-súbory Systemd: Odstránené Slice User-0.slice. OkT 16:01 XS-súbory Systemd: zastavenie používateľa-0.slice. OkT 16:01:01 XS-súbory SystemD: Vytvorené Slice User-0.slice. OkT 16:01:01 XS-súbory Systemd: Spustenie používateľa-0.slice. Okt 16:01:01 XS-súbory Systemd: Začíname session 14443 užívateľského koreňa. OkT 16:01 x-súborov Systemd: Spustenie relácie 14443 root užívateľa. 16:01:01 XS-súbory Systemd: Odstránené Slice User-0.slice.

V Centos 8 som si ich nevšimol, takže nie je potrebné nič urobiť. Neexistujú žiadne praktické využívanie komunikácie, takže ich vypneme. Ak to chcete urobiť, vytvoriť samostatné pravidlo pre RYSLOG, kde uvádzame všetky šablóny správ, ktoré sa znížia. Uverejnite toto pravidlo v samostatnom súbore /etc/rsyslog.d/ignore-systemd-session-slice.conf..

# CD /ETC/RSYSLOG.D && MLEDIT IGNORE-Systemd-Slice.conf Ak $ ProgramName \u003d\u003d "Systemd" a ($ Msg obsahuje "Spustenie relácie" alebo $ Msg obsahuje "Začíname relácia" alebo $ Msg obsahuje "vytvorený plátok" ALEBO $S MSG obsahuje "Spustenie užívateľa -" alebo $ Msg obsahuje "Spustenie užívateľského plátku" alebo $ Msg obsahuje "odstránené relácie" alebo $ Msg obsahuje "odstránené relácie používateľa používateľa" alebo $s msg obsahuje "zastavenie plánu používateľa") Zastaviť.

Uložte súbor a reštartujte RSYSLOG na aplikáciu nastavení.

# SystemctL Reštartujte RSYSLOG

Treba zrejmé, že v tomto prípade vypneme povodne v protokolovom súbore len na miestnom serveri. Ak ukladáte protokoly, potom toto pravidlo Bude potrebné nastaviť presne na ňom.

Inštalácia IFTOP, ATOP, HTOP, LSOF ON CENTOS

A nakoniec pridajte niekoľko na konci nastavenia. užitočné pomôckyktoré môžu byť užitočné počas prevádzky servera.

iFTOPS prehliadky v reálnom čase Vkladanie sieťového rozhrania, môže začať s rôznymi klávesmi, nebudem sa v tomto detaile zastaviť, existujú informácie o tejto téme na internete. Dať:

# Yum nainštalovať iftop

A dva zaujímavé úlohy dispečer, som najčastejšie používal HTOP, ale niekedy je užitočný. Dávame oboje, pozrite sa na seba, budete zdieľať, čo sa vám páči viac, vhodné:

# Yum nainštalovať htop # yum nainštalovať atop

Ak chcete zobraziť informácie o tom, ktoré súbory používajú tieto alebo iné procesy, odporúčam vám dať nástroj loviť. S najväčšou pravdepodobnosťou bude užitočné skôr alebo neskôr, keď diagnostikujete operáciu servera.

# Yum nainštalovať wget bzip2 traceroute gdisk

Mám na to všetko. Základné nastavenie Centos je dokončená, môžete začať inštalovať a konfigurovať hlavnú funkčnú funkciu.

Nastavenie systémovej pošty

Nakoniec nakonfigurujte centos servery Urobme si, že pošta adresovaná do miestneho koreňa je odoslaná prostredníctvom externého poštového servera na vybranú schránku. Ak sa to nerobí, potom bude lokálne zložiť do súboru / Var / spool / mail / root. A môže existovať dôležitá a užitočné informácie. Nakonfigurujte ho, aby ste odoslali do políčka administrátora systému.

O tom som o tom povedal podrobne v samostatnom článku -. Tu stručne len príkazy a rýchle nastavenie. Nastavujeme potrebné balíky:

# Yum inštalácia mailx cyrus-sasl cyrus-sasl-lib cyrus-sasl-prostý postfix

Nakreslíme sa o takejto konfigurácii po postfix.

CAT /ETC/POSTFIX/MAIN.CF ## Default Config spustite ########################################################### QUEUE_DIGHTORY \u003d / var / spool / postfix command_directory \u003d / usr / sbin daemon_directory \u003d / usr / libexec / postfix data_directory \u003d / var / lib / postfix mail_Owner \u003d postfix inet_interfaces \u003d localhost inet_protocols \u003d všetko neznáme_local_recipient_reject_code \u003d 550 ALIAS_MAPS \u003d HASH: / ETC / ALIASY ALIAS_DATABASE \u003d HASH: / ETC / ALIASAASE DEBUG_PEER_LEVEL \u003d 2 debugger_command \u003d cesta \u003d / BIN: / BIN: / BIN: / usr / bin DDD $ daemon_directory / $ proces_name $ proces_id & spať 5 sendmail_path \u003d /usr/sbin/sendmail.postfix newaliases_path \u003d / usr / bin / newalias.postfix mailq_path \u003d / usr / bin / mailq.postfix setgid_group \u003d postdrop html_directory \u003d no manpage_directory \u003d / usr / Share / Man Sample_Directory \u003d / MAN Vzorka / DOC / Postfix-2.10.1 / Vzorky Readme_directory \u003d / USR / Share / DOC / Postfix-2.10.1 / ReadMe_files ## Default Config END ############################### # Server Názov, ktorý zobrazuje hostname myhostname \u003d príkaz Centos-test. XS.LOCAL # tu n Musíte opustiť iba doménu o logike, ale v tomto prípade je lepšie ponechať celé meno servera, takže v poli odosielateľa # sa objavil celé meno servera, je vhodnejšie rozoberať servisné správy MYDOMAIN \u003d Centos-TEST.xs.LOCAL MYDESTINATION \u003d $ MYHOSTNAME MYORIGIN \u003d $ MYHOSTNAME # Server adresa, ktorá pošle mail relayhost \u003d mailsrv.mymail.ru:25 SMTP_USE_AUTLS \u003d ÁNO SMTP_SASL_AUTH_ABLE \u003d ÁNO SMTP_SASL_AUTHERSWORD_MAPS \u003d HASH: / ETC / Postfix / SASL_PASSWD SMTP_SASL_SECURITY_OPTIONS \u003d nočný SMTP_TLS_SECURITY_LEVEL \u003d máj

Vytvorte súbor s informáciami o používateľskom mene a hesle pre autorizáciu.

# Mcedit / etc / postfix / sasl_passwd mailsrv.mymail.ru:25 [Chránené e-mail]: Heslo.

Vytvorte súbor DB.

# Postmap / etc / postfix / sasl_passwd

Teraz môžete reštartovať postfix a skontrolovať prácu.

# SystemctL Restart Postfix

Na štandardné alias za koreň / atď / aliasy, Pridajte externú adresu, kde bude duplikovaná pošta adresovaná do koreňa. Ak to chcete urobiť, upravte zadaný súbor zmenou posledného reťazca.

#ROot: Marc.

Root: root, [Chránené e-mail]

Aktualizujeme databázu certifikátu:

# Newaliasy

Pošleme list cez konzolu LAN:

# Df -h | Mail -s "Disk Použitie" root

List by mal ísť do vonkajšieho rámčeka. Ak použijete krabicu z Yandex, budete s najväčšou pravdepodobnosťou dostať chybu v denníku poštového servera a list nebude odoslaný.

Relé \u003d SMTP.YANDEX.RU: 25, oneskorenie \u003d 0,25, oneskorenia \u003d 0/0 / 0,24 / 0,01, DSN \u003d 5.7.1, Stav \u003d Bounced (HOST SMTP.YANDEX.RU povedal: 553 5.7.1 Adresa odosielateľa zamietnutá: Nevlastní auth používateľom. (V odpovedi na poštu z príkazu))

Táto chyba znamená, že nemáte rovnaký box ako odosielateľ, ktorý používate na autorizáciu. Ako to upevniť, hovorím v samostatnom článku -. S inými poštovými systémami, kde neexistuje takáto kontrola, všetko by malo byť v poriadku a tak.

Na tomto sa dokončí nastavenie lokálnej pošty. Teraz všetky písmená adresované miestnym koreňom, napríklad správy CRON budú duplikované na externú poštovú schránku as odoslaním prostredníctvom plnohodnotného poštového servera. Takže písmená budú jemne doručené, nepatria do spamu (aj keď to nie je potrebné, sú tu aj heuristické filtre).

Záver

Uskutočnili sme nejaké primárne kroky Nastavením servera Centos, ktorý zvyčajne robím pri príprave servera ihneď po inštalácii. Nepredstieram, že som absolútna pravda, možno mi chýba alebo nemám pravdu. Budem rád rozumné a zmysluplné pripomienky a komentáre s návrhmi.

..

Pochopenie funkcií nasadenia, nastavení a údržby sietí postavených na základe Linuxu.

Schopnosť rýchlo vyriešiť vznikajúce problémy a zabezpečiť stabilnú a neprerušovanú prevádzku systému.

Skontrolujte si na úvodnej skúške a pozrite si viac softvérového programu.

O ochrane servera pred vonkajšími hrozbami, v prvom rade stúpajú sieťová obrazovkaktoré filtruje prichádzajúcu a odchádzajúcu prevádzku. Nastavenie iPTAbles - súkromný prípad brány firewall na Centos chcem robiť v tomto článku, ako aj rozprávať o jeho inštalácii a odpojení. Moje vedenie nebude vyčerpávajúce, zvážim len tie aspekty, ktoré považujem za najdôležitejšie a ja sám používam vo svojej práci.

Tento článok je súčasťou jednotného cyklu článku o serveri.

Úvod

Iptables je v súčasnosti de facto štandard v súčasných distribúcii Linuxu. Nemôžem ani prísť, aby som si spomenul, čo sa používa ako brána firewall. Akýkoľvek administrátor Linux sa musí stretnúť v jeho práci s konfiguráciou tejto brány firewall.

Tam sú rôzne popruhy na tento brány firewall, ktorý sa používajú pre viac "pohodlných" nastavení. V Ubuntu je uFW.v centos - firewalld., s ostatnými nie je oboznámený. Osobne nevidím žiadne pohodlie pri používaní týchto nástrojov. Použil som naladenie brány firewallu Linux starom spôsobom, ako sa naučil na samom začiatku práce. Zdá sa mi, že je to najjednoduchší a najvhodnejší spôsob, ako sa s vami podelím. Jeho podstata prichádza k tomu, že skript je vytvorený s pravidlami firewallu. Tento skript je možné ľahko upravovať podľa vašich potrieb a prenos zo servera na server.

Zakázať firewalld.

Firewalld Disconnection Otázka, ktorú som sa už týkala v téme softvéru. Prvá vec vypne firewalld, ktorý je prítomný v Centos 7 štandardne po inštalácii:

# Systemctl Stop Firewalld

Teraz ho odstránime z uvedenia do prevádzky, takže sa po reštarte opäť zapne:

# SystemctL Disable Firewalld

Na serveri sa na serveri stávajú úplne otvorenými nastaveniami obrazovky. Uvidím pravidlá IPTAbles podľa príkazu:

Inštalácia iptables

V skutočnosti, firewall na serveri už stojí a pracuje, jednoducho nemá žiadne pravidlá, všetko je otvorené. Budeme musieť vytvoriť ďalšie riadiace služby, bez ktorých nie je možné konfigurovať iptables. Napríklad nie je možné reštartovať firewall:

# SystemCTL reštartujte iptables.service Nepodarilo sa vydať Metóda Call: Unit iptables.service Nepodarilo sa načítať: Žiadny takýto súbor alebo adresár.

Alebo pridať do autorun, nebude fungovať:

# SystemctL povoliť iptables.service Nepodarilo sa vydať Metóda Call: Žiadny takýto súbor alebo adresár

Ak chcete mať takéto chyby, nainštalujte požadovaný balík s verejnými službami:

# Yum -y nainštalovať iptables-služby

Teraz môžete pridať iptables na autooload a spustiť:

# Systemctl Enable iptables.service # Systemctl Spustite iptables.service

Nastavenie brány firewall

Ak chcete spravovať pravidlá brány firewall, používam skript. Vytvorte ho:

# Mcedit /etc/ipitables.sh.

Ďalej ho vyplníme potrebnými pravidlami. Rozoberám všetky významné časti skriptu a plne ho dajte vo forme textový súbor Na konci článku. Pravidlá sú vyrobené vo forme obrázkov, ktoré zakazujú kopírovanie a vložku. To môže viesť k chybám v práci pravidiel, s ktorými som sa stretávam počas prípravy článku.

Situáciu považujeme za situáciu, keď je server internetová brána lokálna sieť.

Po prvé, nastavte všetky premenné, ktoré budú používať v skripte. Nie je potrebné urobiť, ale odporúča sa, pretože je vhodné prenášať nastavenia zo servera na server. Bude stačiť, aby ste jednoducho opätovne priradili premenné.

Pred použitím nových pravidiel čistíme všetky reťaze:

Blokujeme všetku prevádzku, ktorá nezodpovedá niektorým z pravidiel:

Nechajte všetku premávku Loctalhost a Lans:

Dovoľte mi, aby som ping:

Ak ju nepotrebujete, nepridávajte pravidlá pre ICMP.

Otvorte prístup k internetu na samotný server:

Ak chcete otvoriť všetky pripojenia prichádzajúcich serverov, pridajte ďalšie pravidlo:

Teraz pridajte ochranu pred najbežnejšími sieťovými útokmi. Po prvé, hodíme všetky balíky, ktoré nemajú žiadny stav:

Blokovanie nulových paketov:

V blízkosti útokov syn-povodní:

Ak nezadávate obmedzenia prístupu z lokálnej siete, povolíte všetok prístup na internet:

Ďalej zakázať prístup z INETA do lokálnej siete:

Aby bola naša miestna sieť používať internet, zapnite Nat:

Aby ste nestratili prístup k serveru, po uplatnení pravidiel nechajte SSH pripojenia:

A na konci napíšte pravidlá, ktoré chcete použiť po reštarte:

Tvorili sme najjednoduchšiu konfiguráciu, ktorá blokuje všetky prichádzajúce spojenia, okrem SSH a umožňujú prístup z miestnej siete na internet. Pozdĺž cesty boli chránené pred niektorými sieťovými útokmi.

Script uložíme, vykonajte spustiteľný a spustil:

# Chmod 0740 /etc/ipTables.sh # /etc/ipTables.sh

Skontrolujeme pravidlá a skontrolujeme, či všetky pravidlá na mieste:

# iptables -l -v -n

Upozorňujem vašu pozornosť - Aplikujte pravidlá len vtedy, ak máte prístup k konzole servera. Ak sa chystáte v nastaveniach, môžete stratiť prístup. Uistite sa, že v abnormálnej situácii môžete zakázať firewall a nastavte nastavenia.

Otváracie prístavy

Teraz rozšírime naše konfigurácie a otvorené prístavy v IPTAbles pre niektoré služby. Predpokladajme, že máme webový server a musíte otvoriť prístup z internetu. Pridávame pravidlá pre webovú prevádzku:

Povolenie bolo pridané do prichádzajúcich zlúčenín portov 80. a 4433RD, ktoré používajú webový server v jeho práci.

Ak máte nainštalovaný poštový server, musíte vyriešiť prichádzajúce pripojenia na všetkých použitých portoch:

Pre správnu prevádzku servera DNS musíte otvoriť port UDP 53

Prístavný port

Zvážte situáciu, keď potrebujete vykonať porty z externého rozhrania k určitému počítaču v lokálnej sieti. Predpokladajme, že potrebujete získať prístup RDP k počítaču 10.1.3.50 z internetu. TCP port 3389:

Ak nechcete žiariť mimo známeho portu, môžete presmerovať z neštandardného portu na port RDP konečného počítača:

Ak prístav urobíte mimo vnútra miestnej siete, musíte dodržiavať pravidlo, ktoré blokuje prístup z externej siete do vnútornej. V mojom príklade toto pravidlo: $ ipt -a dopredu -i $ wan -o $ lan1 -J odmietnuť

Buď pred týmto pravidlom vytvorte pravidlo rozlíšenia pre prístup zvonku do vnútornej služby, napríklad takto:

$ Ipt -a forward -i $ want -d 10.1.3.50 -P TCP -M TCP --DPORT 3389 -J

Zapnutie protokolov

Počas konfigurácie je užitočné povoliť protokoly na monitorovanie blokovaných balíkov a zistiť, prečo nie je prístup k potrebným službám, ktoré by sme sa už objavili. Odosielam všetky blokované balíky v samostatných reťazcoch (block_in, block_out, block_fw), čo zodpovedá smeru dopravy a označovania v denníkoch. Je vhodnejšie vykonať analýzu letu. Pred uložením nastavení pridáme nasledujúce pravidlá:

Všetky uzamknuté balíky Môžete sledovať v súbore / var / log / správa.

Po dokončení nastavenia si tieto reťazce vyhovujú vypnutím protokolovania. Uistite sa, že to urobíte, pretože protokoly sú veľmi rýchlo pestovanie. Nevidím praktický význam pri zachovaní takýchto informácií osobne.

Ako vypnúť iptables

Ak sa zrazu rozhodnete, že firewall vás už nepotrebujete, potom ho môžete vypnúť takto:

# SystemCTL Stop Iptables.vice

Tento tím zastaví bránu firewall. A ďalšie sa odstraňuje z uvedenia do prevádzky:

# SystemCTL vypnúť iptables.service

Odpojenie sieťovej obrazovky sme umožnili všetkým pripojeniam.

Záver

Ako sľúbil, uverejňujem hotový skript s hlavnou sadou pravidiel, ktoré sme preskúmali

Chcem venovať pozornosť ešte raz, že pri zriaďovaní iptables musíte byť veľmi pozorný. Tento prípad nezačínate, ak nemáte prístup k konzole servera. Aj pri písaní tohto článku som stratil prístup k serveru kvôli smiešnej chybe v pravidlách. Táto chyba sa vyskytla kvôli kopírovaniu a strate dvojitej pomlčky - bola nahradená jedným.

online kurz "Administrator Linux" v OTU. Kurz nie je pre začiatočníkov, pre prijatie potrebujete základné vedomosti o sieťach a inštaláciu Linuxu na virtuálne. Tréning trvá 5 mesiacov, po ktorých úspešní absolventi kurzu budú môcť prejsť pohovorom od partnerov. Čo vám tento kurz dá:

• Znalosť architektúry Linuxu.
• Zvládnutie moderných metód a analýzy dát a nástroje na spracovanie údajov.
• Schopnosť vybrať konfiguráciu potrebných úloh, spravovať procesy a zabezpečiť bezpečnosť systému.
• Hlavné pracovné nástroje správcu systému.
• Pochopenie funkcií nasadenia, nastavení a údržby sietí postavených na základe Linuxu.
• Schopnosť rýchlo vyriešiť vznikajúce problémy a zabezpečiť stabilnú a neprerušovanú prevádzku systému.

Skontrolujte si na úvodnej skúške a pozrite si viac softvérového programu.

Firewall inštalovaný v operačnom systéme sa používa na zabránenie neoprávnenej dopravy počítačové siete. Príručka alebo automaticky vytvára osobitné pravidlá pre firewall, ktoré sú zodpovedné za kontrolu prístupu. V OS, vyvinuté na jadre Linuxu, Centos 7 je vstavaná brána firewall a je ovládaná bránou firewall. Predvolený firewalld je zapojený, a radi by sme o tom dnes hovorili.

Ako je uvedené vyššie, štandardná brána firewall v Centos 7 je priradená firewalld nástroj. Preto bude nastavenie brány firewall zvážiť v príklade tohto nástroja. Môžete nastaviť pravidlá filtrovania s rovnakými iptables, ale sa vykonáva mierne odlišná. Odporúčame sa oboznámiť sa s konfiguráciou uvedenej pomôcky kliknutím na nasledujúci odkaz, a začneme demontáž firewalld.

Základné pojmy firewallu

Na základe dôvery v sieťach je niekoľko zónových zónových súborov. Všetky z nich majú svoje vlastné politiky, ktorých súhrn a tvorí konfiguráciu firewallu. Každá zóna je priradená jednou alebo viacerými sieťovými rozhraniami, ktoré vám tiež umožňuje nastaviť filtrovanie. Pravidlá uplatňované priamo závisia od použitého rozhrania. Napríklad, keď je pripojený k verejne prístupnej obrazovke Wi-Fi, zvýši úroveň kontroly a v domáca sieť Otvorí sa dodatočný prístup pre účastníkov reťazca. V zobrazenom Farvol sú takéto zóny:

• dôveryhodná je maximálna úroveň dôvery vo všetky sieťové zariadenia;
• home - Lan Group. V okolí je dôvera, ale prichádzajúce spojenia sú k dispozícii len pre určité stroje;
• pracovná zóna. Vo väčšine zariadení existuje dôvera a aktivujú sa ďalšie služby;
• dMZ - zóna pre izolované počítače. Takéto zariadenia sú odpojené od zvyšku siete a prechádza sa len určitá prichádzajúca prevádzka;
• interná - vnútorná sieťová zóna. Dôvera sa vzťahuje na všetky stroje, otvoria ďalšie služby;
• externé - zvrátiť do predchádzajúcej zóny. V externých sieťach je maskovanie NAT aktívne, zatvárajú vnútornú sieť, ale bez blokovania možnosti prístupu;
• verejné - zóna verejných sietí s nedôverou pre všetky zariadenia a individuálny príjem prichádzajúcej prevádzky;
• blok - Všetky prichádzajúce požiadavky sa resetujú s chybnou zásielkou iCMP-host-zakázané alebo iCMP6-ADM-zakázané;
• drop je minimálna úroveň dôvery. Prichádzajúce spojenia sú vypúšťané bez akýchkoľvek upozornení.

Samotné politiky sú dočasné a trvalé. Ak alebo úpravy parametrov, akcia brány firewall okamžite zmení bez reštartu. Ak boli uplatnené dočasné pravidlá, po reštartovaní firewalld sa budú resetovať. Trvalé pravidlo sa nazýva niečo - pri použití -permant argument sa bude ušetriť.

Povolenie brány firewall

Najprv musíte spustiť firewalld alebo uistite sa, že je v aktívnom stave. Pravidlá brány firewall použije iba funkčný démon (program pracujúci v pozadí). Aktivácia je vyrobená doslova niekoľko kliknutí:

1. Spustiť klasický "Terminál" Akákoľvek pohodlná metóda, napríklad cez menu "Aplikácie".



2. Zadajte príkaz SUDDO SystemCTL STAROSTI FIREWALLD.SERVICE a kliknite na tlačidlo. Zadať.



3. Úžitková kontrola sa vykonáva v mene Superuser, takže musíte potvrdiť pravosť zadaním hesla.



4. Uistite sa, že služba funguje, zadajte firewall-CMD -State.



5. V grafickom okne, ktoré sa otvorí, opätovne potvrďte pravosť.



6. Zobrazí sa nový riadok. Hodnota "Beh" navrhuje, aby firewall fungoval.

Ak raz budete dočasne alebo trvalo vypnúť bránu firewall, odporúčame vám použiť pokyny uvedené v druhom článku nasledujúcim odkazom.

Zobraziť predvolené pravidlá a cenovo dostupné zóny

Dokonca aj pravidelná firewall má svoje vlastné jednoznačné pravidlá a prístupné zóny. Pred začatím politickej editácie vám odporúčame, aby ste sa zoznámili s aktuálnou konfiguráciou. Toto sa vykonáva pomocou jednoduchých príkazov:

1. Predvolená zóna určí príkaz firewall-cmd -Get-default-zone.



2. Po jeho aktivácii uvidíte nový reťazeckde sa zobrazí požadovaný parameter. Zóna je napríklad zvážená na obrázku nižšie "Verejnosť".



3. Okrem toho však môže byť ihneď aktívny niekoľko zón, okrem toho sú viazané na samostatné rozhranie. Zistite si tieto informácie prostredníctvom firewall-cmd -get-aktívnych zón.



4. Príkaz Firewall-CMD -List-All Zobrazí sa pravidlá nastavené pre predvolenú zónu. Venujte pozornosť obrázku nižšie. Vidíte aktívnu zónu "Verejnosť" Udelené pravidlo "Predvolená hodnota" - Predvolené fungovanie, rozhranie "ENP0S3" a pridané dve služby.



5. Ak máte potrebu naučiť sa všetky dostupné zóny firewall, zadajte firewall-cmd -get-zóny.



6. Parametre špecifickej zóny sú definované cez firewall-cmd -zone \u003d názov --List-all, kde názov. - Meno Zóna.

Po určení požadovaných parametrov sa môžete presunúť na ich zmenu a pridanie. Poďme analyzovať niekoľko najobľúbenejších konfigurácií podrobne.

Nastavenie zón rozhrania

Ako viete z vyššie uvedených informácií, vaša predvolená zóna je definovaná pre každé rozhranie. Bude to v ňom, kým sa nastavenia nezmenia používateľa alebo programovať. Rozhranie je možné manuálne preniesť do zóny za reláciu, a to sa vykonáva aktiváciou SUDO Firewall-CMD -ZONE \u003d HOME COMMENT-COMMENT-CHANGE-Interface \u003d Eth0. Výsledok "ÚSPECH" Označuje, že prevod bol úspešný. Pripomeňme, že takéto nastavenia sa resetujú ihneď po reštarte brány firewallu.

S takýmto zmenou parametrov treba mať na pamäti, že operácia služieb je možné resetovať. Niektoré z nich nepodporujú fungovanie v niektorých zónach, povedzme, ssh, hoci prístupné "DOMOV"Ale v užívateľovi alebo špeciálnej službe odmietne pracovať. Uistite sa, že rozhranie bolo úspešne viazané na novú pobočku, zadaním brány firewall-cmd -get-aktívne zóny.

Ak chcete obnoviť predtým vykonané nastavenia, jednoducho spustite reštartovanie firewallu: SUDDO SystemCTL reštartujte firewalld.service.

Nie je niekedy vždy vhodné zmeniť zónu rozhrania v jednej relácii. V tomto prípade budete musieť upraviť konfiguračný súbor tak, aby všetky nastavenia boli vykonané trvalým spôsobom. Aby ste to urobili, odporúčame vám používať textový editor. nano.ktorý je nainštalovaný z oficiálneho úložiska SUDDO YUM INSTALION NANO. Ďalej tieto akcie zostávajú:

1. Otvorte konfiguračný súbor cez editor zadaním SUDO NANO / ETC / SYSCONFIG / Sieťové skripty / IFCFG-Eth0, kde eth0. - Názov požadovaného rozhrania.



2. Potvrdiť pravosť Účet Splniť ďalšie opatrenia.



3. Stanoviť parameter Zóna A zmeňte jeho hodnotu na požadovanú, napríklad verejnosť alebo domov.



4. Držte klávesy Ctrl + O.Uloženie zmien.



5. Nemeňte názov súboru, ale jednoducho kliknite na tlačidlo Zadať.



6. Ukončite textový editor Ctrl + X..

Teraz bude zóna rozhrania ten, ktorý ste uviedli, až kým nasledujúca úprava konfiguračný súbor. Pre aktualizované parametre, spustite SUDO Systemictl Restart Network.service a SUDDO SystemCTL reštartujte firewalld.service.

Nastavenie predvolenej zóny

Vyššie sme už preukázali tím, ktorý vám umožní naučiť sa predvolená zóna. Môže sa tiež zmeniť nastavením parametra podľa vášho výberu. Aby ste to urobili, v konzole, stačí registrovať SUDO Firewall-CMD -SET-Default-Zone \u003d Názov, kde názov. - názov požadovanej zóny.

Úspech tímu vysťahuje nápis "ÚSPECH" V samostatnom riadku. Potom sa všetky aktuálne rozhrania narodia do zadanej zóny, ak druhá nie je špecifikovaná v konfiguračných súboroch.

Vytvorenie pravidiel pre programy a verejné služby

Na samom začiatku článku sme hovorili o pôsobení každej zóny. Definovanie služieb, verejnoprospešných služieb a programov v takýchto pobočkách umožnia aplikovať individuálne parametre pre každého z nich pre každé požiadavky používateľa. Ak chcete začať, odporúčame vám oboznámiť sa s úplným zoznamom služieb, ktoré sú k dispozícii v súčasnosti: firewall-cmd -Get-služby.

Výsledok sa zobrazí priamo do konzoly. Každý server je rozdelený priestorom a môžete ľahko nájsť nástroj, o ktorý máte záujem. Ak chýba požadovaná služba, má byť dodatočne nainštalované. Na pravidlách inštalácie čítajte v oficiálnej softvérovej dokumentácii.

Vyššie uvedený príkaz ukazuje iba mená služieb. Detailné informácie Pre každého z nich sa ukazuje prostredníctvom individuálneho súboru umiestneného na ceste / usr / lib / firewalld / služby. Takéto dokumenty majú XML formát, cesta, napríklad, k SSH vyzerá takto: /usr/lib/firewalld/services/ssh.xml a dokument má nasledujúci obsah:

Ssh.
Secure Shell (SSH) je protokol na prihlásenie do a vykoná príkazy na vzdialených strojoch. Poskytuje bezpečnú šifrovanú komunikáciu. Ak plánujete prístup k vášmu stroju REMOTENET cez SSH cez fiwallové rozhranie, povoľte túto možnosť. Na to, aby ste táto možnosť bola užitočná, potrebujete balík OpenSSH-Server.

Servisná podpora je aktivovaná v špecifickej zóne manuálne. V "Terminál" Mali by ste nastaviť Suda Firewall-CMD -ZONE \u003d Verejný -DD-Service \u003d HTTP príkaz, kde --Zone \u003d verejnosť - zóna pre aktiváciu a -Add-Service \u003d http - názov služby. Takáto zmena bude platná len v rámci jednej relácie.

Trvalé pridávanie sa vykonáva cez SUDO FIREWALL-CMD --ZONE \u003d Public -Permanent --DD-Service \u003d HTTP a výsledok "ÚSPECH" Určuje úspešné ukončenie operácie.

vyhliadka úplný zoznam Trvalé pravidlá pre konkrétnu zónu môže zobrazovať zoznam v samostatnom riadku konzoly: SUDO FIREWALL-CMD -ZONE \u003d Public -Persinent --List-Services.

Rozhodovací problém s nedostatkom prístupu k službe

Štandardné pravidlá firewallu sú najobľúbenejšie a bezpečné služby, ako je to povolené, ale niektoré štandardné alebo aplikácie tretích strán Blokuje. V tomto prípade používateľ manuálne potrebuje zmeniť nastavenia na vyriešenie problému s prístupom. Môžete to urobiť v dvoch rôznych metódach.

Port portu

Ako viete, všetky sieťové služby používajú konkrétny prístav. Jednoducho zistí bránu firewall a môžu sa vykonať bloky. Aby ste sa vyhli takýmto činnostiam z brány firewall, musíte otvoriť požadovaný port Firewall SUDDO Firewall-CMD -ZONE \u003d Public - Portd-Port \u003d 0000 / TCP, kde --Zone \u003d verejnosť - zóna pre port, -Add-port \u003d 0000 / TCP - Číslo portu a protokolu. \\ T Možnosť firewall-cmd-clist-ports zobrazí zoznam otvorených portov.

Ak potrebujete otvoriť porty zahrnuté v rozsahu, použite SUDO FIREWALL-CMD --ZONE \u003d Public - Pord-Port \u003d 0000-9999 / UDP Row, kde -Add-port \u003d 0000-9999 / UDP - Rozsah prístavov a ich protokolu.

Vyššie uvedené príkazy vám umožňujú testovať používanie podobných parametrov. Ak úspešne prešiel, mali by ste pridať rovnaké porty do konštantných nastavení, a to sa vykonáva zadaním sudo firewall-cmd -zone \u003d verejný -pepermant-port-port \u003d 0000 / TCP alebo suda firewall-cmd - Zóna \u003d Public -Permanent -Add-Port \u003d 0000-9999 / UDP. Zoznam otvorených stálych prístavov je zobrazený nasledovne: SUDDO FIREWALL-CMD -ZONE \u003d PUBLIKA PUBLIVOTNOSTI.

Definícia služby

Ako vidíte, pridávanie portov nespôsobí žiadne ťažkosti, ale postup je komplikovaný, keď aplikácie používajú veľké množstvo. Na sledovanie všetkých použitých portov sa stáva ťažkou, vzhľadom na to, ktoré určenie služby bude správnejšia možnosť:

Musíte si vybrať najvhodnejšie riešenie problému s prístupom k službe a vykonajte poskytnuté pokyny. Ako vidíte, všetky akcie sa vykonávajú pomerne ľahko a nemali by existovať žiadne ťažkosti.

Vytvorenie vlastných zón

Už viete, že v spočešnom počte rôznych rôznych zón s definovanými pravidlami bol vytvorený v firewalld. Situácie sa však vyskytujú, keď správca systému potrebuje vytvoriť užívateľskú zónu, ako napríklad, "PUNDEWEB" pre nainštalovaný webový server alebo "Privatens" - Pre server DNS. Na týchto dvoch príkladoch budeme analyzovať pridanie pobočiek:

Z tohto článku ste sa naučili, ako vytvoriť vlastné zóny A pridajte ich služby. Už sme im povedali ako predvolené a prideľujúce rozhrania vyššie, môžete určiť iba správne názvy. Nezabudnite na reštartovanie firewallu po vykonaní trvalej zmeny.

Ako vidíte, Firewalld Firewall je pomerne volumetrický nástroj, ktorý vám umožní urobiť najflexibilnejšiu konfiguráciu firewallu. Zostáva len preto, aby sa ubezpečil, že užitočnosť spúšťa so systémom a špecifikované pravidlá okamžite začnú svoju prácu. Urobte ho s SUDO SystemctTL povolenie príkazu firewalld.

Počnúc centomos 7 Ak chcete nakonfigurovať pravidlá filtrovania dopravy, objavil sa nový nástroj firewalld.. Odporúča sa, aby sa odporúča použiť na riadenie pravidiel iptables. V Centose 8, namiesto štandardného balíka filtrovania IPTAbles, sa teraz používa rámec NFTFTAbles, a pri nastavovaní pravidiel brány firewall cez firewalld, v skutočnosti konfiguráte NFTFTAbles. V tomto článku sa pozrieme na inštaláciu, základné koncepty a konfiguráciu firewalld firewall na serveri beh Centos 8 (v Centos 7, všetky podobné).

Firewalld. - Firewall na ochranu servera pred nežiaducim dopravou s podporou dynamického riadenia pravidiel (bez reštartu) a implementovať trvalé pravidlá brány firewall. Funguje ako rozhranie pre a nfless. Firewalld môže byť použitý v takmer všetkých distribúcii Linuxu.

Základné koncepty firewalld, zóny a pravidlá

Pred inštaláciou a konfiguráciou firewalld.Zoznámujeme sa s koncepciou zón, ktoré sa používajú na určenie úrovne dôvery v rôznych zlúčeninách. Pre rôzne zóny firewalld. Môžete použiť rôzne pravidlá filtrovania, špecifikovať aktívne možnosti brány firewall vo forme preddefinovaných služieb, protokolov a portov, presmerovaní prístavov a bohatých pravidiel.

Firewalld. Filtre prichádzajúce dopravu na zónach v závislosti od pravidiel uplatňovaných na zónu. Ak IP.- Odosielateľ odosielateľa je v súlade s pravidlami akejkoľvek zóny, balík bude odoslaný prostredníctvom tejto zóny. Ak sa adresa nezhoduje so žiadnou zo zóny nakonfigurovanej na serveri, balík bude spracovaný štandardnou zónou. Pri inštalácii firewalld.predvolená zóna sa nazýva verejnosť.

Firewalld má zóny, kde sú povolenia nakonfigurované pre rôzne služby. Tieto nastavenia môžete použiť alebo vytvoriť vlastné zóny. Zoznam predvolených zón, ktoré sú vytvorené pri inštalácii firewalld (uložené v / usr / lib / firewall / zóny / zóny / adresár):

pokles.	minimálna úroveň spoľahlivosti. Všetky prichádzajúce pripojenia sú blokované bez odpovede, sú povolené iba odchádzajúce zlúčeniny;
blokovať	zóna je podobná predchádzajúcemu, ale keď prichádzajúce požiadavky odmieta správu ICMP-hostiteľa-zakázané pre IPv4 alebo ICMP6-ADM-zakázané pre IPv6;
verejnosť	predstavuje verejné, nedôveryhodné siete. Môžete vyriešiť vybrané prichádzajúce zlúčeniny individuálne;
externý	externé siete pri používaní brány firewall ako bránu. Je nakonfigurovaný na maskovanie NAT, takže vaša vnútorná sieť zostáva súkromná, ale cenovo dostupná;
vnútorný	antonym zóna externá. Hostiteľ má dostatočnú úroveň dôvery, je k dispozícii niekoľko ďalších služieb;
dMZ.	používa sa pre počítače nachádzajúce sa v DMZ (Izolované počítače bez prístupu k zvyšku siete). Povolené sú len určité prichádzajúce zlúčeniny;
práca	zóna pre pracovné stroje (väčšina počítačov v sieti dôveryhodnej);
dOMOV	oblasť domácej siete. Väčšinu počítačov môžete dôverovať, ale sú podporované iba určité prichádzajúce zlúčeniny;
dôveryhodné.	dôverujte všetky stroje online. Najviac otvorené dostupné možnostivyžaduje si vedomé použitie.

V firewalld. Používajú sa dva súbory pravidiel - konštantné a dočasné. Dočasné pravidlá fungujú pred reštartovaním servera. V predvolenom nastavení pri pridávaní pravidiel v firewalld.Pravidlá sa považujú za dočasné ( beh programu.). Dodať pravidlo. Musíte použiť vlajku - trvalé.. Takéto pravidlá budú aplikované po reštarte servera.

Inštalácia a povolená firewalld v Centos

V Centos 7/8 Firewalld je nainštalovaný štandardne na OS. Ak ho vymažete a chcete nainštalovať firewalld, môžete použiť štandardný manažér / DNF:

# Yum nainštalovať firewalld -y - pre centos 7
# DNF inštalácia firewalld -y - pre centos 8

Na démon firewalld. Začalo sa automaticky so štartom servera, musíte ho pridať do:

# Systemctl Povoliť firewalld

A spustiť:

# SystemCTL spustiť firewalld

Skontrolujte stav služby:

# Systemctl Status Firewalld

● Firewalld.Service - Firewalld - Dynamická firewall Démon načítaný: načítaný (/usr/lib/systemd/system/firewald.service; Enabled; predvoľba dodávateľa: ENABLED) Active: Active (Beh) od MON 2019-10-14 14:54 : 40 +06; Dokumenty: Man: Firewalld (1) Hlavný PID: 13646 (firewalld) cgroup: /system.slice/firewalld.service └─13646 / usr / bin / python2 -ES / usr / sbin / firewalld --nofork --Nopid 14:54:40 server.vpn.ru Systemd: Spustenie firewalld - Dynamic Firewall Daemon .... 14 14:54:40 server.vpn.ru Systemd: Začíname Firewalld - Dynamic Firewall Démon.

Buď tímom:

# Firewall-cmd -sstate

Príkaz Firewall-CMD je Firewalld Front Text pre NFTFABLE / iptables.

# Firewall-cmd -sstate

Práca s pravidlami firewalld

Predvolené pravidlá:

Pred konfiguráciou pravidiel firewalld musíte skontrolovať, ktorá zóna sa štandardne používa:

# Firewall-cmd --get-default-zóna

Keďže firewalld sme inštalovali len a ešte neboli nastavené, máme predvolenú zónu verejnosť.

Skontrolujte aktívnu zónu. Je tiež sám - verejná:

# Firewall-cmd --get-aktívne zóny

Verejné rozhrania: Eth0

Ako môžete vidieť, sieťové rozhranie Eth0 je riadené zónou verejnosť.

Ak chcete zobraziť pravidlá aktívnej zóny, zadajte:

# Firewall-CMD --List-all

Public (Active) Cieľ: Predvolená ICMP-Block-Inversion: NO Rozhrania: Eth0 Zdroje: SLUŽBY: DHCPV6-CLIENT SSH porty: Protokoly: Masquerade: No Forward-Porty: Source-Porty: ICMP-Blocks: Bohaté pravidlá:

Zo zoznamu je jasné, že táto zóna Pridané konvenčné operácie súvisiace s klientom DHCP a SSH.

Dostupné zóny

Ak chcete zobraziť zoznam všetkých zón, musíte príkaz vykonať:

# Firewall-cmd --get-zóny

Mám taký zoznam:

Blok DMZ Drop externé domáce interné verejnosti dôveryhodná práca

Ak chcete skontrolovať pravidlá špecifickej zóny, musíte pridať vlajku - zónu.

# Firewall-cmd --zone \u003d Domov --List-All

Domov Cieľ: Predvolená ICMP-Block-Inversion: Žiadne rozhrania: Zdroje: Služby: DHCPV6-Klient MDNS Samba-Client SSH porty: Protokoly: Masquerade: No Forwort-Porty: Source-Porty: ICMP-Blocks: Bohaté pravidlá:

Pravidlá všetkých zón, môžete zobraziť tím:

# Firewall-CMD --List-all-zóny

Zoznam bude dosť veľký, pretože zóny môžu byť veľa.

Zmena predvolenej zóny.

V predvolenom nastavení sa všetky sieťové rozhrania nachádzajú v zóne. verejnosťAle môžete sa preniesť do ktorejkoľvek zóny, tím:

# Firewall-cmd -zone \u003d domáce -zmeniť-rozhranie \u003d eth0

Po parametri -Zone \u003d. Zadajte požadovanú zónu.

Ak chcete zmeniť predvolenú zónu, musíte použiť príkaz:

# Firewall-cmd -set-default-zóna \u003d Domov

Pridanie pravidiel pre aplikácie

Ak chcete otvoriť port pre aplikáciu, môžete pridať službu s výnimkami. Zobraziť zoznam dostupných služieb:

Výstup bude obsahovať veľký počet služieb. Podrobné informácie o službe sú obsiahnuté v jeho xML súbor. Tieto súbory sa nachádzajú v adresári USR / lib / firewalld / Služby.

Napríklad:

# CD / USR / lib / firewalld / Služby

Mail (SMTP) Táto možnosť umožňuje prichádzajúcu dodávku pošty SMTP. Ak potrebujete umožniť vzdialeným hostiteľom pripojenie priamo k zariadeniu na doručenie pošty, aktivujte túto možnosť. Nemusíte to povoliť, ak si zoberiete svoju poštu z servera ISP z vášho servera ISP pomocou POP3 alebo IMAP, alebo ak použijete nástroj, ako napríklad Fetchmail. Všimnite si, že nesprávne nakonfigurovaný server SMTP môže umožniť vzdialené stroje na odoslanie Nevyžiadaná pošta.

Súbor XML má popis služby, protokolu a čísla portu, ktorý bude otvorený v firewalld.

Pri pridávaní pravidiel môžete použiť parameter -DD-service.Otvorenie prístupu k konkrétnej službe:

# Firewall-cmd -zone \u003d verejná --dd-service \u003d http

# Firewall-CMD -ZONE \u003d Public -DD-Service \u003d https

Po pridaní pravidiel môžete skontrolovať, či sú služby pridané do zadanej zóny:

# Firewall-cmd -zone \u003d verejné zoznamy

DHCPV6-Client http https ssh

Ak chcete, aby tieto pravidlá konštante, pri pridávaní musíte pridať parameter -Prezanie..

Odstránenie služby zo zóny:

# Firewall-CMD --Permant --Zone \u003d Verejný -Remove-Service \u003d HTTP

DHCPV6-CLIENT HTTPS SSH

Ak chcete pridať svoju službu k výnimkám, môžete vytvoriť súbor. xML A naplňte ho. Môžete kopírovať údaje z ľubovoľnej služby, zmeniť názov, popis a číslo portu.

Skopírujte súbor smtp.xml. Do adresára na prácu s používateľskými službami:

# cp /usr/lib/firewalld/services/smtp.xml / etc / firewalld / služba

Zmeňte popis služby v súbore.

Seba xML súbor Musíte tiež premenovať názov služby. Potom musíte reštartovať firewalld a skontrolovať, či je naše služby uvedené:

Zavolal som službu skúška A v zozname sa objavil:

SYSLOG-TLS Test TFTP TFTP

Teraz môžete pridať vytvorenú službu do ktorejkoľvek zóny:

# Firewall-CMD -ZONE \u003d Public -AdD-Service \u003d test --permant

# Firewall-CMD --Zone \u003d Verejné - Služby - služby

DHCPV6-Client http https ssh test

Ak nájdete službu, ktorú potrebujete v zozname, môžete otvoriť požadovaný port na tíme firewalld:

# Firewall-cmd -zone \u003d verejný -Add-port \u003d 77 / tcp - otvorený 77 port tCP.
# Firewall-cmd -zone \u003d verejný -Add-port \u003d 77 / UDP - Otvorte 77 port uDP.
# Firewall-CMD -Zone \u003d Verejný -Add-Port \u003d 77-88 / UDP - Open port Range 77-88 uDP.
# Firewall-cmd -zone \u003d verejné-zoznamy-porty - Skontrolujte zoznam povolených portov

Blok / Povoliť ICMP Odpovede:

# Firewall-CMD -Zone \u003d Verejný -DD-ICMP-BLOK \u003d ECHO-Odpovedať
# Firewall-CMD --Zone \u003d Verejný -Remove-ICMP-BLOK \u003d ECHO-Odpovedať

Odstráňte pridaný port:

# Firewall-CMD --Zone \u003d Verejný -Remove-Port \u003d 77 / UDP - Odstrániť dočasné pravidlo 77 uDP.

# Firewall-CMD --Permant --Zone \u003d Verejný -Remove-Port \u003d 77 / UDP - Odstráňte trvalé pravidlo

Pridanie vlastných zón

Môžete vytvoriť svoju vlastnú zónu (zavolám to náš):

# Firewall-cmd --permant --New-zóna \u003d naše

Po vytvorení novej zóny, as, po vytvorení služby potrebujete reštart firewalld.:

# Firewall-cmd --reload

# Firewall-cmd --get-zóny

Blok DMZ Drop Externý domov Interná naša verejná dôveryhodná práca

Zóna náš K dispozícii. Služby môžete pridať alebo otvoriť niektoré porty.

Firewalld: zámok IP adresy, vytvorenie vylúčenia

Dôveryhodné adresy IP adries na elimináciu súborov firewalld alebo blokovať nechcené.

Ak chcete pridať konkrétnu výnimku IP adresa (napríklad 8.8.8.8) Na vašom serveri firewalld.Použite príkaz:

# Firewall-CMD -ZONE \u003d Public -DD-Rich-Rule \u003d "Pravidlo Family \u003d" IPv4 "Zdrojová adresa \u003d" 8.8.8.8 "ACCEPT"

Skontrolujte zónu a uistite sa, že IP. Pridané k výnimkám v poriadku pravidiel:

Public (Active) Cieľ: Predvolená ICMP-Block-Inversion: Žiadne rozhrania: Eth0 Zdroje: Služby: DHCPV6-Client HTTP https SSH testovacie porty: Protokoly: Masquerade: No Forwort-Porty: Source-Porty: ICMP-Blocks: Bohaté pravidlá: Rodina pravidiel \u003d "IPv4" Source Address \u003d "8.8.8.8"

Blokovať IP., je potrebné nahradiť súhlasiť na odmietnuť.:

# Firewall-CMD --Zone \u003d Public -DD-Rich-Rule \u003d "Pravidlo Rodina \u003d" IPv4 "Source Address \u003d" 8.8.4.4 "Odmietnutie"

# Firewall-cmd -zone \u003d verejný zoznam - všetko

Public (Active) Cieľ: Predvolená ICMP-Block-Inversion: Žiadne rozhrania: Eth0 Zdroje: Služby: DHCPV6-Client HTTP https SSH testovacie porty: Protokoly: Masquerade: No Forwort-Porty: Source-Porty: ICMP-Blocks: Bohaté pravidlá: Rodina pravidiel \u003d "IPv4" Source Address \u003d "8.8.8.8" Accept Family Family \u003d "IPv4" Source Address \u003d "8.8.4.4" Odmietnutie

Špecifická služba môžete vyriešiť na požiadavky z konkrétnej adresy IP:

# Firewall-CMD -Permant --DD-Rich-RUME "Pravidlo Family \u003d" IPv4 "Source Address \u003d" 10/10 / 1.0 / 24 "Názov služby \u003d" https "Accept"

Ak potrebujete urýchlene blokovať všetky požiadavky na server, použite príkaz paniky:

# Firewall-cmd --panic-on

Zakázať režim PANIC buď príkazom:

# Firewall-cmd --Panic-off

Buď reštartujte server.

Môžete zablokovať konfiguráciu firewalld na miestne služby koreňové práva Nepodarilo sa zmeniť pravidlá firewallu vytvorených vami:

# Firewall-cmd -lockdown-on

Vypnite režim uzamknutia:

# Firewall-cmd -lockdown-off

Presmerovanie portov v bránu firewalld

V spoločnosti Firewall môžete vytvoriť pravidlo presmerovania pravidiel. Presmerovanie 443 portu o 9090:

# Firewall-CMD -ZONE \u003d Public -DD-Forward-Port \u003d Port \u003d 443: Proto \u003d TCP: TOPORT \u003d 9090 --permant

Odstránenie pravidla presmerovania portov:

# Firewall-CMD --Zone \u003d Public -Remove-Forward-Port \u003d Port \u003d 443: Proto \u003d TCP: TOPORT \u003d 9090

Ukážeme vám krok za krokom konfiguráciu firewalld firewall v Centos 7

Čo je firewalld? Jedná sa o plnú bránu firewall, ktorá je štandardne k dispozícii v Centos 7. Ukážeme vám, ako ho konfigurovať na serveri, rovnako ako rozprávať nástroj Firewall-CMD.

1. Aké sú základné pojmy firewallu?

Zóna

Firewalld je schopný kontrolovať skupiny pravidiel prostredníctvom zón. Toto je súbor pokynov na správu prevádzky na základe dôvery v sieťach. Zóna môže byť priradená k sieťovému rozhraniu pre riadenie správania brány firewallu. Je to potrebné, pretože notebooky sa často môžu pripojiť k rôznym sieťam. Počítače môžu aplikovať zóny na zmenu súboru pravidiel v závislosti od životného prostredia. Ak sa napríklad pripojíte k Wi-Fi pripojenie v kaviarni, možno použiť prísnejšie pokyny. A domáce pravidlá môžu byť lojálne.

V firewalld sa tieto zóny rozlišujú:

Pokles má najnižšiu úroveň dôvery siete. V tomto prípade sú podporované výlučne odchádzajúce zlúčeniny a prichádzajúca prevádzka je vypustená bez odpovede;

Blok sa líši od kvapky v tom, že keď sa prichádzajúca požiadavka resetuje, vydaná správa ICMP-host-zakázaná je vydaná alebo ICMP6-ADM-zakázaná;

Verejná zóna je verejná sieť, ktorá je individuálne prichádzajúca vstupné požiadavky. Nie je však možné dôverovať;

Externá je externá sieťová zóna, ktorá podporuje maskovanie NAT pre uzavretú vnútornú sieť. Je však možné pristupovať k nemu;

Zadná strana vonkajšieho je vnútorná. Počítače v tejto zóne môžu byť dôveryhodné, preto budú k dispozícii dodatočné služby;

Zóna DMZ je dopytom po izolovaných počítačoch, ktoré nemajú prístup k zvyšku siete. V tomto prípade bude možné konfigurovať obľúbené prichádzajúce zlúčeniny;

Zóna pracovnej siete je práca. To môže byť dôveryhodné s okolím, ale prichádzajúce pripojenia nie sú podporované všetkými, ale iba užívateľom definovanými;

V zóne dôveryhodnej môžete dôverovať všetkým počítačom sieť.

Ochrana pravidiel

V bráne firewalld sú dočasné a trvalé. Stáva sa to, že sada sa mení alebo pravidlo ovplyvňuje správanie brány firewallu. Zmeny sa stratia po reštarte, takže je potrebné uložiť. Firewall-CMD príkazy používajú -permant príznak na uloženie pravidiel. Potom sa budú tešiť na priebežne.

2. Ako zapnúť firewalld firewall?

Spustenie stojí z spustenia v programe pozadia - démon. Súbor systému Systemd sa nazýva firewalld.service. Ak chcete povoliť program DEMON, ktorý potrebujete príkazový riadok vytočiť

SUDDO SYSTÉMY START FIREWALLD.SERVICE

Musíme sa uistiť, že služba začala. K tomu budete potrebovať:

Firewall-cmd --state beh

Začiatok brány firewall a návod na obsluhu zadaný štandardne. Majte na pamäti, že služba je aktivovaná, ale nebude automaticky spustený so serverom. Ak to chcete urobiť, budete musieť konfigurovať autorun. Taktiež urobte súbor pravidiel, aby to nefungovalo, aby sa zablokovali na vlastnom serveri.

3. Pravidlá brány firewall štandardne

Ako ich zobraziť?

Ak chcete zobraziť zónu, ktorá sa používa v predvolenom nastavení, musíte vytočiť:

Firewall-cmd --get-default-zóna verejnosť

Vidíme, že lieky Firewalld pre iné zóny nedostali. Verejnosť sa používa štandardne a je jedinou aktívnou zónou, pretože Žiadne rozhranie zviazané ostatným. Ak chcete zobraziť zoznam všetkých dostupných zón domény, potom zadajte v konzole:

Firewall-cmd --get-aktívne-zóny Verejné rozhrania: Eth0 Eth1

V verejnosti vidíme dve zviazané siete. Pracujú podľa pravidiel uvedených pre túto zónu. Pozri predvolené pravidlá podľa:

Firewall-CMD -List-Všetky verejné (predvolené, aktívne) Rozhrania: Eth0 eth1 Zdroje: Služby: DHCPV6-Client SSH porty: Masquerade: No Fort-Porty: ICMP-Blocks: Bohaté pravidlá:

Sumarizme:

Predvolená zóna a jediná aktívna je verejná;

Dva rozhrania sú viazané na túto zónu: Eth0 a Eth1;

Verejné podporuje vzdialenú správu SSH, ako aj priradenie adries IP DHSP.

Ostatné zóny brány firewallu

Pozrime sa, čo majú iné zóny firewall. Ak chcete zobraziť zoznam všetkých dostupných, zadajte konzolu:

Parametre môžete získať aj pre každú konkrétnu zónu pridaním vlajky -zone \u003d:

Firewall-CMD -ZONE \u003d Domov --List-Zoznam-všetky Domáce rozhrania: Zdroje: Služby: DHCPV6-Klient IPP-Client MDNS Samba klient SSH porty: Masquerade: No Forwort-Porty: ICMP-Blocks: Bohaté pravidlá:

Ak potrebujete zobraziť definíciu všetkých dostupných oblastí, použite možnosť -List-All-Zones. Uveďte záver Pagerovi, aby bol záver pohodlnejší na zobrazenie:

Firewall-cmd --list-all-zóny | menej

4. Ako konfigurovať rozhrania zóny?

Predvolená zóna je spočiatku viazať všetky sieťové rozhrania.

Zmeňte zónu rozhrania len pre jednu reláciu

Na tento účel budeme používať dve možnosti: -Gange-rozhranie \u003d a -zone \u003d. Prevod do zóny domácej eth0, zadajte:

SUDDO FIREWALL-CMD -ZONE \u003d HOME --Zmeniť-rozhranie \u003d Eth0 Úspech

Majte na pamäti, že to môže ovplyvniť fungovanie určitých služieb. Napríklad SSH je podporovaný v domácej zóne, t.j. Pripojenia nebudú vybité. To sa však môže vyskytnúť v iných zónach, ktoré povedú k zablokovaniu prístupu k svojmu vlastnému serveru. Musíme sa uistiť, že rozhranie je pripojené k novej zóne. Vytočte príkazový riadok:

Keď je firewall reštartovaný, rozhranie bude opäť zviazané na predvolenú zónu.

SUDDO SystemCTL reštart firewalld.service firewall-cmd --get-aktívne-zóny Verejné rozhrania: Eth0 Eth1

Priebežné zmeňte zónu rozhrania

Po reštartovaní firewallu bude rozhranie zviazané na predvolenú zónu, ak nie je v nastaveniach rozhrania zadaná žiadna iná zóna. Konfigurácie Centos sa nachádzajú v súboroch IFCFG-Interface File / Etc / Syssconfig / Network-Scripts. Ak chcete určiť zónu rozhrania, musíte otvoriť svoj konfiguračný súbor:

SUDO NANO / ETC / SYSCONFIG / Sieťové skripty / IFCFG-Eth0

Pridajte variabilnú zónu \u003d na koniec súboru. Zadajte inú zónu ako hodnotu:

DNS1 \u003d 2001: 4860: 4860 :: 8844 DNS2 \u003d 2001: 4860: 4860 :: 8888 DNS3 \u003d 8.8.8.8 Zóna \u003d Domov

Teraz uložte zmeny, po ktorom je možné súbor zatvoriť. Ak chcete aktualizovať nastavenia, budete musieť reštartovať sieťová službaRovnako ako brána firewall:

SUDDO SystemCTL Restart Network.service SUDDO SYSTÉMUJÚCE SYSTÉMOVACIESTOSTI FIREWALLD.SERVICE

Po tom bude rozhranie Eth0 viazané na domovskú zónu.

Firewall-cmd --get-aktívne-zóny Domáce rozhrania: Eth0 Verejné rozhrania: Eth1

Predvolené nastavenie

Druhá predvolená zóna môže byť nastavená. V tomto sme si pomôžeme -set-default-zónu \u003d možnosť, ktorá prináša všetky sieťové rozhrania do inej zóny.

SUDDO FIREWALL-CMD -SET-Default-Zone \u003d Domov Domáce rozhrania: Eth0 Eth1

5. Ako vykonať pravidlá pre aplikácie?

Pridanie do servisnej zóny

Je najjednoduchšie urobiť s portom používaným firewallom. Ak chcete zobraziť všetky dostupné služby, zadajte príkazový riadok:

Firewall-CMD --Get-Services RH-Satellite-6 Amanda-Client Bacula Bacula-Client DHCP DHCPV6 DHCPV6-Klient DNS FTP Vysoká dostupnosť http https IPPS IPP IPP IPP-Client Ipsc Kerberos KPSSWD LDAPS LIBVIRT LIBVIRT-TLS MDNS MULTDD MS- WBT MYSQL NFS NFS NTTP OpenVPN PMCD PMPROXY PMWEBAPI PMWEBAPIS POP3S PostgreSQL proxy-DHCP Radius RPC-BIND Samba Samba Klient SMTP SSH TELNET TFTP TFTP TFTP-CLIENT CLIENT-Client Client Client VNC-Server WBEM-HTTPS

Pamätajte, že v súboroch súborov.xml / USR / lib / firewalld / Služby ukladá všetky informácie o každej službe. Informácie o informáciách SSH sa nachádzajú v /usr/lib/firewalld/services/ssh.xml. Vyzerajú takto:

Ak chcete povoliť podporu pre služby v zónach, je potrebná vlajka -Ad-service, ale možnosť -Zone je užitočná na nastavenie cieľovej zóny. Nezabudnite, že takéto zmeny bude platné iba jedno relácia. Ak potrebujete uložiť zmeny na ďalšie použitie, použite vlajku -permant. Pozrime sa, ako to funguje. Spustite webový server tak, aby mohol slúžiť prevádzku HTTP. Zahrnúť podporu pre jednu reláciu vo verejnej zóne. Zadajte konzolu:

SUDDO FIREWALL-CMD --ZONE \u003d Public -AdD-Service \u003d HTTP

Nepoužívajte -zone \u003d možnosť, ak pridáte do predvolenej zóny. Skontrolujte, či sa všetko ukázalo:

Firewall-cmd -zone \u003d verejný zoznam - služby DHCPV6-Client HTTP SSH

Teraz musíte otestovať prácu firewallu a samotnej služby. Ak vidíte, že všetko je v poriadku, môžete bezpečne zmeniť trvalý súbor pravidiel. Ak chcete pridať nové pravidlo podpory služby, musíte zadať v konzole:

SUDDO FIREWALL-CMD --ZONE \u003d Public -Permant --DD-Service \u003d HTTP

Ak potrebujete na trvalom základe vidieť celý zoznam pravidiel, potom:

SUDDO FIREWALL-CMD --ZONE \u003d Verejný -Pracovník --List-Services DHCPV6-Client HTTP SSH

V dôsledku toho sa verejná zóna objaví podpora pre port 80 a http. V prípade, že váš server je schopný udržiavať prevádzku SSL / TLS, zobrazí sa pridanie služby HTTPS:

SUDDO FIREWALL-CMD --ZONE \u003d Public -DDDD-Service \u003d HTTPS SUDDO FIREWALL-CMD -ZONE \u003d Verejný - Verejný -Permanent -Add-Service \u003d HTTPS

6. A ak služba nie je k dispozícii?

V predvolenom nastavení obsahuje Firewall Firewall mnoho obľúbených služieb. Stáva sa však, že programy potrebujú iné služby, ktoré nie sú vo firewalle. Tento problém môže byť vyriešený pármi metód.

Metóda # 1: Definícia služby

Pridať port do zóny je pomerne jednoduchý. Avšak, ak sú aplikácie dosť veľa, bude ťažké pochopiť, ktorý port používa. V takejto situácii bude to dobrý spôsob, ako identifikovať služby namiesto portov. Služba je v skutočnosti skupina portov, ktoré dostali meno a popis. S pomocou ich pomoci bude jednoduchšie ovládať nastavenia. Ale služba je o niečo zložitejšia ako prístav.

Začnime kopírovať už existujúci skript z priečinka / USR / lib / firewall / service, z ktorej brána firewall trvá neštandardné nastavenia v / etc / firewalld / služby. Skopírujte definíciu servisu SSH, aby ste ho použili ako definovanie príkladného príjmu služby. Nezabudnite, že názov skriptu sa musí zhodovať s názvom služby a tiež mať rozšírený súbor.xml. Zadajte konzolu:

Sudo cp /usr/lib/firewalld/services/service.xml /etc/firewalld/services/example.xml

Teraz musíte urobiť úpravy do kompilovaného súboru:

Sudo nano /etc/firewalld/services/example.xml.

Vnútri je definícia SSH:

SSH Secure Shell (SSH) je protokol na prihlásenie do a vykonávať príkazy na vzdialených strojoch. Poskytuje bezpečnú šifrovanú komunikáciu. Ak plánujete prístup k vášmu stroju REMOTENET cez SSH cez fiwallové rozhranie, povoľte túto možnosť. Na to, aby ste táto možnosť bola užitočná, potrebujete balík OpenSSH-Server.

Teraz uložte zmeny a zatvorte súbor. Potom sa brána firewall reštartuje s:

Sudo firewall-cmd --reload

Náš zoznam zahŕňa naše:

Firewall-cmd --Get-Služby RH-Satellite-6 Amanda-Client Bacula Bacula-Client DHCP DHCPV6 DHCPV6-Klient DNS Príklad FTP Vysoká dostupnosť HTTP https IMPS IPP IPP-Client Ipsec KAPBEROS KPSSWD LDAP LDAP LIBVIRT LIBVIRT-TLS MDNS MOUNDD MS -WBT MYSQL NFS NTP OPENVPN PMCD PMPPROY PMWEBAPI PMWEBAPIS POP3S PROXGRESQL PROXY-DHCP RADIUS RPC-BIND SAMBA Samba-Client SMTP SSH TELNET TFTP TFTP TFTP-CLIKTRUTION-CLIENT VNC Server WBEM-HTTPS

Metóda číslo 2: Vytvorenie portu

Otvorte aplikačný port v požadovanej oblasti brány firewall a zadajte ho, ako aj protokol. Predstavme si situáciu, ktorú potrebujete pridať program do publikačnej zóny pomocou TCR protokolu a portu 5000. Ak chcete aktivovať aplikáciu na jednu reláciu, bude potrebné -Ad-port \u003d možnosť. Okrem toho musíte zadať protokol TCP alebo UDP:

SUDDO FIREWALL-CMD --ZONE \u003d Public -ADD-Port \u003d 5000 / TCP

Uistite sa, že všetko sa stalo:

Firewall-cmd --list-porty 5000 / tcp

Okrem toho je možné špecifikovať rozsah portov pomocou pomlčky. Ak napríklad program používa porty 4990-4999, potom ich pridaním do verejnej zóny bude môcť:

SUDDO FIREWALL-CMD --ZONE \u003d Public -DD-Port \u003d 4990-4999 / UDP

Ak všetko funguje dobre, pridajte pokyny na nastavenia brány firewall:

SUDDO FIREWALL-CMD --ZONE \u003d Verejný -Perfalment -Add-Port \u003d 5000 / TCP SUDO FIREWALL-CMD --ZONE \u003d Verejný -Permant --DD-Port \u003d 4990-4999 / UDP SUDDO Firewall-CMD - Zóna \u003d Verejný -Pracovník - Zoznam-porty Úspech Úspech 4990-4999 / UDP 5000 / TCP

7. Ako vytvoriť zónu?

Firewall je schopný poskytnúť rôzne preddefinované zóny, ktoré sú zvyčajne dosť na prácu, ale niekedy musíte urobiť svoju používateľskú zónu. Napríklad, server DNS. Potrebujete privatenú zónu a webový server - verejné. Po vytvorení zón je potrebné pridať do nastavení brány firewall. Vytvorte písanie verejnosti a privatens zóny v konzole:

SUDO FIREWALL-CMD --Permanent --New-Zone \u003d Publicweb SUDDO Firewall-CMD --Permanent --New-Zone \u003d Privatens

Skontrolujte, či sa všetko ukázalo:

SUDDO FIREWALL-CMD --Permant --get-zóny Blok DMZ Drop externý domov Internal Privatens Verejná verejná verejná verejná verejná verejná verejná správa

Firewall-cmd --get-zóny Blok DMZ Drop externý domov Interná verejná dôveryhodná práca

Nové zóny v aktuálnej relácii však nebudú k dispozícii:

Firewall-cmd --get-zóny Blok DMZ Drop externý domov Interná verejná dôveryhodná práca

Reštartujte firewall, aby ste získali prístup k novým zónam:

Suda firewall-cmd --reload firewall-cmd --get-zóny Blok DMZ Drop externý domov Interný Privatesns Verejná verejná verejná verejná verejná verejná verejná verejná verejná verejná verejnosť

Teraz to bude nové zóny na identifikáciu portov a služieb. Predpokladajme, že je potrebné pridať SSH, HTTP a HTTPS do PublicWeb Zone:

SUDO FIREWALL-CMD -ZONE \u003d PUNDYWEB --DDD-SERVICE \u003d SSH SSH SHUDDO FIREWALL-CMD -ZONE \u003d PUVHWEB -ADD-SERVICE \u003d HTTP SUDDO FIREWALL-CMD -ZONE \u003d PUVHWEB --DD-SERVICE \u003d https firewall CMD --Zone \u003d Verejné rozhranie - Zoznam - Všetky verejnoprávne rozhranie: Zdroje: Služby: HTTP HTTPS SSH porty: Masquerade: No Forwort-Porty: ICMP-Blocks: Bohaté pravidlá:

Okrem toho bude možné privať DNS privatedns zóny prostredníctvom:

SUDDO FIREWALL-CMD --ZONE \u003d PrivatesNs -Add-Service \u003d DNS Firewall-CMD -ZONE \u003d Privátns --List-Všetky privatedns Rozhrania: Služby: Služby: DNS Porty: Masquerade: No Forwort-Porty: ICMP-Blocks: Bohaté pravidlá:

Potom môžete bezpečne zviazať na nové zóny. Sieťové rozhrania:

SUDDO FIREWALL-CMD -ZONE \u003d PUNDOWEEGEB - ZAHREJTO.cz/zonence \u003d Eth0 SUDO Firewall-CMD -ZONE \u003d Privatesns-Chunge-Interface \u003d Eth1

Skontrolujte prevádzku nastavení. Ak je všetko v poriadku, pridajte ich do trvalých pravidiel:

SUDDO FIREWALL-CMD --ZONE \u003d PUNDYWEB --PERSPERENČNÝ -PRO-CMD-SERVICE \u003d SSH SSH SSH SSH SSH Suda Firewall-CMD --Zone \u003d PublicWeb --permant --Add-Service \u003d HTTP SUDO FIREWALL-CMD --ZONE \u003d PUVHWEB --PERPÉNY -Add-Service \u003d https sudo firewall-cmd -zone \u003d privatens --permant --Add-service \u003d dns

Teraz pokračujeme v nastavení sieťových rozhraní. Toto je potrebné, aby sa automaticky pripojilo k požadovanej zóne. Predpokladajme, že potrebujete kravatu na verejnosť eth0, potom:

SUDO NANO / ETC / SYSCONFIG / Sieťové skripty / IFCFG-Eth0. . . IPv6_AUTOCONF \u003d NO DNS1 \u003d 2001: 4860: 4860 :: 8844 DNS2 \u003d 2001: 4860: 4860 :: 8888 DNS3 \u003d 8.8.8.8 Zóna \u003d PUNDEWEB

Naučíme sa aj EHT1 na privatens prostredníctvom:

SUDO NANO / ETC / SYSCONFIG / Sieťové skripty / IFCFG-Eth1. . . NetMask \u003d 255.255.0.0 DEFRÚTE \u003d "NO" NM_CONTROLLED \u003d "ÁNO" ZÓNY \u003d Privatens

Ak chcete zmeniť zmeny, budú firewall a sieťové služby reštartovať:

SUDDO SYSTÉMOVÉ TESTUMENTLUJÚCE RESTIKAČNOSTI SUBY SUBDO SYSTÉMOV

Musíte skontrolovať zóny, aby ste sa uistili, že sú služby predpísané:

Firewall-CMD --Get-Active-Zones Privatedns Rozhrania: Eth1 PublicWeb rozhrania: Eth0

Teraz musíte skontrolovať, či fungujú:

Firewall-cmd --zone \u003d publicweb -list-Services http htpps ssh firewall-cmd --zone \u003d privatedns --list-služby DNS

Ako vidíme, používateľské zóny sú plne pripravené na prácu. Ktorýkoľvek z nich môže byť štandardne priradený. Napríklad:

SUDDO FIREWALL-CMD -SET-SHARE-ZONE \u003d PUNDEWEB

8. Ako vytvoriť automatický beh firewallu?

Po kontrole prevádzky pravidiel a všetkých nastavení budete konfigurovať AutoRun s:

SUDDO SYSTÉMY Povoliť firewalld

To umožní zapnúť bránu firewall ihneď po spustení servera.

Ako výstup stojí za zmienku, že brána firewalld firewall je pomerne flexibilný nástroj z hľadiska nastavení. A je možné zmeniť svoju prácu pomocou zón.