Uporabna pravila požarnega zidu za konfiguriranje in upravljanje požarnega zidu v Linuxu
Požarni zid ponuja način za konfiguriranje pravil dinamičnega požarnega zidu v Linuxu, ki ga je mogoče uporabiti takoj, brez potrebe po ponovnem zagonu požarnega zidu, poleg tega pa podpira koncepte D-BUS in con, kar olajša konfiguracijo.
Firewalld je zamenjal stari Fedorin požarni zid (Fedora 18 naprej), RHEL/CentOS 7 in druge najnovejše distribucije pa se zanašajo na ta novi mehanizem. Eden največjih motivov uvedbe novega sistema požarnega zidu je, da je treba stari požarni zid po vsaki spremembi znova zagnati in tako prekiniti vse aktivne povezave. Kot rečeno zgoraj, najnovejši požarni zid podpira dinamična območja, kar je koristno pri konfiguriranju različnih naborov con in pravil za vaše pisarniško ali domače omrežje prek ukazne vrstice ali z uporabo GUI metode.
Sprva je videti, da je koncept požarnega zidu zelo težko konfigurirati, vendar storitve in cone olajšajo, če oboje držijo skupaj, kot je opisano v tem članku.
V našem prejšnjem članku, kjer smo videli, kako se igrati z požarnim zidom in njegovimi conami, bomo tukaj, v tem članku, videli nekaj uporabnih pravil požarnega zidu za konfiguriranje vaših trenutnih sistemov Linux s pomočjo ukazne vrstice.
- Konfiguracija požarnega zidu v RHEL/CentOS 7
Vsi primeri, opisani v tem članku, so praktično preizkušeni na distribuciji CentOS 7 in delujejo tudi na distribucijah RHEL in Fedora.
Pred izvajanjem pravil požarnega zidu najprej preverite, ali je požarni zid omogočen in deluje.
# systemctl status firewalld
Zgornja slika prikazuje, da je požarni zid aktiven in deluje. Zdaj je čas, da preverite vsa aktivna območja in aktivne storitve.
# firewall-cmd --get-active-zones # firewall-cmd --get-services
Če slučajno ne poznate ukazne vrstice, lahko požarni zid upravljate tudi iz grafičnega uporabniškega vmesnika, za to pa morate imeti v sistemu nameščen paket GUI, če ga ne namestite z naslednjim ukazom.
# yum install firewalld firewall-config
Kot rečeno zgoraj, je ta članek posebej napisan za ljubitelje ukazne vrstice in vsi primeri, ki jih bomo obravnavali, temeljijo samo na ukazni vrstici, brez načina GUI ... žal ...
Pred nadaljevanjem najprej potrdite, na katerem javnem območju boste konfigurirali požarni zid Linux in z naslednjim ukazom navedite vse aktivne storitve, vrata, bogata pravila za javno območje.
# firewall-cmd --zone=public --list-all
Na zgornji sliki še ni dodano nobeno aktivno pravilo, poglejmo, kako dodati, odstraniti in spremeniti pravila v preostalem delu tega članka….
1. Dodajanje in odstranjevanje vrat v požarnem zidu
Če želite odpreti katero koli pristanišče za javno območje, uporabite naslednji ukaz. Na primer, naslednji ukaz bo odprl vrata 80 za javno območje.
# firewall-cmd --permanent --zone=public --add-port=80/tcp
Če želite odstraniti dodana vrata, uporabite možnost ‘–odstrani’ z ukazom firewalld, kot je prikazano spodaj.
# firewall-cmd --zone=public --remove-port=80/tcp
Po dodajanju ali odstranjevanju določenih vrat preverite, ali so vrata dodana ali odstranjena z uporabo možnosti – –list-ports.
# firewall-cmd --zone=public --list-ports
2. Dodajanje in odstranjevanje storitev v požarnem zidu
Požarni zid ima privzeto vnaprej določene storitve. Če želite dodati seznam določenih storitev, morate ustvariti novo datoteko xml z vsemi storitvami, vključenimi v datoteko, sicer pa lahko vsako storitev določite ali odstranite ročno, tako da zaženete ukazi.
Na primer, naslednji ukazi vam bodo pomagali dodati ali odstraniti določene storitve, kot smo to storili za FTP v tem primeru.
# firewall-cmd --zone=public --add-service=ftp # firewall-cmd --zone=public --remove-service=ftp # firewall-cmd --zone=public --list-services
3. Blokiraj dohodne in odhodne pakete (način panike)
Če želite blokirati katere koli dohodne ali odhodne povezave, morate za blokiranje takšnih zahtev uporabiti način "panic-on". Na primer, naslednje pravilo bo prekinilo vsako obstoječo vzpostavljeno povezavo v sistemu.
# firewall-cmd --panic-on
Ko omogočite način panike, poskusite pingati katero koli domeno (recimo google.com) in preverite, ali je način panike VKLOPLJEN z uporabo možnosti – – query-panic, kot je navedeno spodaj.
# ping google.com -c 1 # firewall-cmd --query-panic
Ali vidite na zgornji sliki, panična poizvedba pravi »Neznani gostitelj google.com«. Zdaj poskusite onemogočiti način panike in nato še enkrat ping in preverite.
# firewall-cmd --query-panic # firewall-cmd --panic-off # ping google.com -c 1
Tokrat bo na google.com poslana zahteva za ping.