استخدام FirewallD لإدارة جدار الحماية الخاص بك على CentOS 7

• إدارة الخدمات
• إدارة الموانئ
• تمكين جدار الحماية
• استنتاج

FirewallD هو جدار حماية مُدار ديناميكيًا يوفر دعمًا لقواعد جدار الحماية IPv4 و IPv6 ومناطق جدار الحماية المتوفرة على الخوادم القائمة على RHEL 7. هو بديل مباشر iptablesويعمل مع netfilterكود النواة .

في هذه المقالة سوف نلقي نظرة سريعة على إدارة جدار الحماية على CentOS 7 باستخدام firewall-cmdالأمر.

التحقق من تشغيل جدار الحماية

الخطوة الأولى هي التحقق من تثبيت جدار الحماية وتشغيله. يمكن القيام بذلك عن systemdطريق تشغيل ما يلي:

$ systemctl status firewalld
● firewalld.service - firewalld - dynamic firewall daemon
   Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled; vendor preset: enabled)
   Active: active (running) since Thu 2016-03-10 15:07:00 UTC; 1min 30s ago
   ...

بدلاً من ذلك ، يمكنك التحقق باستخدام firewall-cmdالأداة:

$ firewall-cmd --state
running

إدارة المناطق

يعمل FirewallD باستخدام مفهوم zonesحيث تحدد المنطقة مستوى الثقة المستخدم في الاتصال. يمكنك تقسيم واجهات الشبكة المختلفة إلى مناطق مختلفة لتطبيق قواعد جدار حماية محددة لكل واجهة أو يمكنك استخدام منطقة واحدة لجميع الواجهات.

خارج الصندوق ، يتم كل شيء في publicالمنطقة الافتراضية ، ولكن هناك العديد من المناطق الأخرى التي تم تكوينها مسبقًا والتي يمكن تطبيقها أيضًا.

إدراج جميع المناطق المتاحة

قد تحتاج إلى الحصول على قائمة بجميع المناطق المتاحة ، والتي يوجد منها العديد من الصناديق. مرة أخرى ، يمكن القيام بذلك باستخدام firewall-cmd:

$ firewall-cmd --get-zones
block dmz drop external home internal public trusted work

التحقق من المنطقة الافتراضية

يمكنك اكتشاف المنطقة الافتراضية التي تم تكوينها حاليًا باستخدام firewall-cmd:

$ firewall-cmd --get-default-zone
public

إذا كنت ترغب في تغيير المنطقة الافتراضية (على سبيل المثال ، إلى home) ، فيمكن القيام بذلك عن طريق تشغيل:

$ firewall-cmd --set-default-zone=home
success

ستنعكس هذه المعلومات في ملف التكوين الرئيسي ، /etc/firewalld/firewalld.conf. ومع ذلك ، يوصى بعدم تعديل هذا الملف يدويًا واستخدامه بدلاً من ذلك firewall-cmd.

فحص المناطق المعينة حاليا

يمكنك الحصول على قائمة بالمناطق التي قمت بتعيين الواجهات إليها عن طريق التشغيل:

$ firewall-cmd --get-active-zones
public
  interfaces: eth0

يمكنك أيضًا التحقق من منطقة واجهة واحدة ( eth0في هذه الحالة) عن طريق تشغيل:

$  firewall-cmd --get-zone-of-interface=eth0
public

إنشاء مناطق

إذا كانت المناطق الافتراضية المكونة مسبقًا لا تتناسب تمامًا مع احتياجاتك ، فإن أسهل طريقة لإنشاء منطقة جديدة ( zone1) هي مرة أخرى عبر firewall-cmd:

$ firewall-cmd --permanent --new-zone=zone1
success

بعد الإنشاء ، تحتاج إلى إعادة التحميل:

$ firewall-cmd --reload
success

تطبيق منطقة على واجهة

من أجل تعيين واجهة شبكة بشكل دائم لمنطقة ما ، يمكنك استخدام firewall-cmdرغم ذلك تذكر تضمين --permanentالعلامة لاستمرار التغيير. إذا NetworkManagerكنت تستخدم ، يجب عليك أيضًا التأكد من استخدامه nmcliلتعيين منطقة الاتصال.

$ firewall-cmd --permanent --zone=internal --change-interface=eth1`
success

الحصول على التكوين الدائم للمنطقة

من أجل التحقق من التكوين الدائم للمنطقة ( publicفي هذه الحالة) بما في ذلك الواجهات المعينة ، والخدمات المسموح بها ، وإعدادات المنفذ والمزيد ، قم بتشغيل:

$ firewall-cmd --permanent --zone=public --list-all
public (default)
  interfaces:
  sources:
  services: dhcpv6-client ssh
  ports:
  masquerade: no
  forward-ports:
  icmp-blocks:
  rich rules:

إدارة الخدمات

بمجرد تعيين المناطق المطلوبة وتهيئتها ، يمكنك البدء في إضافة الخدمات إلى المناطق. تصف الخدمات البروتوكولات والمنافذ التي يمكن الوصول إليها للمنطقة.

قائمة الخدمات الموجودة

تم تكوين عدد من الخدمات المشتركة مسبقًا داخل جدار الحماية. يمكن سرد هذه:

$ firewall-cmd --get-services
RH-Satellite-6 amanda-client bacula bacula-client dhcp dhcpv6 dhcpv6-client dns freeipa-ldap freeipa-ldaps freeipa-replication ftp high-availability http https imaps ipp ipp-client ipsec iscsi-target kerberos kpasswd ldap ldaps libvirt libvirt-tls mdns mountd ms-wbt mysql nfs ntp openvpn pmcd pmproxy pmwebapi pmwebapis pop3s postgresql proxy-dhcp radius rpc-bind rsyncd samba samba-client smtp ssh telnet tftp tftp-client transmission-client vdsm vnc-server wbem-https

يمكنك أيضًا الحصول على قائمة بالخدمات الممكنة للمنطقة الافتراضية:

$ firewall-cmd --list-services
dhcpv6-client ssh

إضافة خدمة إلى منطقة

يمكنك تمكين خدمة معينة لمنطقة ( public) بشكل دائم باستخدام --add-serviceالعلم:

$ firewall-cmd --permanent --zone=public --add-service=http
success

ثم أعد تحميل جلسة جدار الحماية الحالية:

$ firewall-cmd --reload
success

ثم للتحقق من إضافته:

$ firewall-cmd --zone=public --list-services
dhcpv6-client http ssh

إزالة خدمة من منطقة

يمكنك إزالة خدمة معينة لمنطقة ( public) بشكل دائم باستخدام --remove-serviceالعلم:

$ firewall-cmd --permanent --zone=public --remove-service=http
success

ثم أعد تحميل جلسة جدار الحماية الحالية:

$ firewall-cmd --reload
success

ثم للتحقق من إضافته:

$ firewall-cmd --zone=public --list-services
dhcpv6-client ssh

إضافة / إزالة خدمات متعددة من منطقة

يمكنك إضافة أو إزالة خدمات متعددة (على سبيل المثال ، httpو https) من منطقة إما واحدة في كل مرة ، أو كلها مرة واحدة عن طريق لف أسماء الخدمات المطلوبة بأقواس متعرجة ( {، }):

$ firewall-cmd --permanent --zone=public --add-service=
success

$ firewall-cmd --permanent --zone=public --list-services
dhcpv6-client http https ssh

إنشاء خدمات جديدة

في بعض الأحيان ، قد تحتاج إلى إضافة خدمات مخصصة جديدة - على سبيل المثال إذا قمت بتغيير منفذ خفية SSH. يتم تعريف الخدمات باستخدام ملفات XML التافهة ، مع العثور على الملفات الافتراضية في /usr/lib/firewalld/services:

$  tree /usr/lib/firewalld/services
/usr/lib/firewalld/services
├── amanda-client.xml
├── bacula-client.xml
├── bacula.xml
├── dhcpv6-client.xml
├── dhcpv6.xml
├── dhcp.xml
├── dns.xml
├── freeipa-ldaps.xml
├── freeipa-ldap.xml
├── freeipa-replication.xml
├── ftp.xml
├── high-availability.xml
├── https.xml
├── http.xml
...

إن أسهل طريقة لإنشاء خدمة جديدة هي نسخ أحد ملفات الخدمة الحالية وتعديلها. يجب أن تكون الخدمات المخصصة موجودة /etc/firewalld/services. على سبيل المثال ، لتخصيص خدمة SSH:

$ cp /usr/lib/firewalld/services/ssh.xml /etc/firewalld/services/ssh-custom.xml

يجب أن تبدو محتويات هذا الملف المنسوخ كما يلي:

$ cat /etc/firewalld/services/ssh-custom.xml
<?xml version="1.0" encoding="utf-8"?>
<service>
  <short>SSH</short>
  <description>Secure Shell (SSH) is a protocol for logging into and executing commands on remote machines. It provides secure encrypted communications. If you plan on accessing your machine remotely via SSH over a firewalled interface, enable this option. You need the openssh-server package installed for this option to be useful.</description>
  <port protocol="tcp" port="22"/>
</service>

لتغيير المنفذ ، يجب تغيير الاسم المختصر للخدمة والمنفذ. يمكنك أيضًا تغيير الوصف إذا كنت ترغب في ذلك ، ولكن هذه مجرد بيانات وصفية إضافية يمكن استخدامها بواسطة واجهة مستخدم أو تطبيق آخر. في هذا المثال ، أقوم بتغيير المنفذ إلى 1234:

$ nano /etc/firewalld/services/ssh-custom.xml
<?xml version="1.0" encoding="utf-8"?>
<service>
  <short>SSH-Custom</short>
  <description>Secure Shell (SSH) is a protocol for logging into and executing commands on remote machines. It provides secure encrypted communications. If you plan on accessing your machine remotely via SSH over a firewalled interface, enable this option. You need the openssh-server package installed for this option to be useful.</description>
  <port protocol="tcp" port="1234"/>
</service>

بمجرد الحفظ ، ستحتاج إلى إعادة تحميل جدار الحماية ، وبعد ذلك يمكنك تطبيق قاعدتك على منطقتك:

$ firewall-cmd --reload
success

$ firewall-cmd --permanent --zone=public --add-service=ssh-custom
success

إدارة الموانئ

بالإضافة إلى استخدام الخدمات ، يمكنك أيضًا السماح بالمنافذ يدويًا عن طريق البروتوكول. للسماح منفذ TCP 7777لل publicمنطقة:

$ firewall-cmd --permanent --zone=public --add-port=7777/tcp
success

يمكنك أيضًا إضافة نطاق منفذ:

$ firewall-cmd --permanent --zone=public --add-port=7000-8000/tcp
success

لإزالة (وبالتالي حرمان) منفذ TCP 7777لل publicمنطقة:

$ firewall-cmd --permanent --zone=public --remove-port=7777/tcp
success

يمكنك أيضًا سرد المنافذ المسموح بها حاليًا لمنطقة معينة ( public) بعد إعادة تحميل جلسة جدار الحماية الحالية:

$ firewall-cmd --zone=public --list-ports
7000-8000/tcp

تمكين جدار الحماية

بمجرد تكوين جدار الحماية حسب رغبتك ، يجب عليك التأكد من تمكينه عبر systemd من أجل التأكد من أنه يبدأ عند بدء التشغيل:

$ systemctl enable firewalld

استنتاج

هناك الكثير من الإعدادات والخيارات داخل FirewallD ، مثل إعادة توجيه المنفذ والتنكر والتواصل مع جدار الحماية عبر D-Bus. نأمل أن يكون هذا الدليل قد ساعدك على فهم الأساسيات ومع ذلك فقد أعطاك الأدوات لبدء استخدام جدار الحماية من الخادم الخاص بك. ستساعدك بعض القراءة الإضافية أدناه على تحقيق أقصى استفادة من جدار الحماية الخاص بك.

• باستخدام Fail2ban مع جدار الحماية - Fedora Wiki
• جدار الحماية - Fedora Wiki
• مقدمة حول جدار الحماية - دليل أمان RedHat 7