استخدام FirewallD لإدارة جدار الحماية الخاص بك على CentOS 7

FirewallD هو جدار حماية مُدار ديناميكيًا يوفر دعمًا لقواعد جدار الحماية IPv4 و IPv6 ومناطق جدار الحماية المتوفرة على الخوادم القائمة على RHEL 7. هو بديل مباشر iptablesويعمل مع netfilterكود النواة .

في هذه المقالة سوف نلقي نظرة سريعة على إدارة جدار الحماية على CentOS 7 باستخدام firewall-cmdالأمر.

التحقق من تشغيل جدار الحماية

الخطوة الأولى هي التحقق من تثبيت جدار الحماية وتشغيله. يمكن القيام بذلك عن systemdطريق تشغيل ما يلي:

$ systemctl status firewalld
● firewalld.service - firewalld - dynamic firewall daemon
   Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled; vendor preset: enabled)
   Active: active (running) since Thu 2016-03-10 15:07:00 UTC; 1min 30s ago
   ...

بدلاً من ذلك ، يمكنك التحقق باستخدام firewall-cmdالأداة:

$ firewall-cmd --state
running

إدارة المناطق

يعمل FirewallD باستخدام مفهوم zonesحيث تحدد المنطقة مستوى الثقة المستخدم في الاتصال. يمكنك تقسيم واجهات الشبكة المختلفة إلى مناطق مختلفة لتطبيق قواعد جدار حماية محددة لكل واجهة أو يمكنك استخدام منطقة واحدة لجميع الواجهات.

خارج الصندوق ، يتم كل شيء في publicالمنطقة الافتراضية ، ولكن هناك العديد من المناطق الأخرى التي تم تكوينها مسبقًا والتي يمكن تطبيقها أيضًا.

إدراج جميع المناطق المتاحة

قد تحتاج إلى الحصول على قائمة بجميع المناطق المتاحة ، والتي يوجد منها العديد من الصناديق. مرة أخرى ، يمكن القيام بذلك باستخدام firewall-cmd:

$ firewall-cmd --get-zones
block dmz drop external home internal public trusted work

التحقق من المنطقة الافتراضية

يمكنك اكتشاف المنطقة الافتراضية التي تم تكوينها حاليًا باستخدام firewall-cmd:

$ firewall-cmd --get-default-zone
public

إذا كنت ترغب في تغيير المنطقة الافتراضية (على سبيل المثال ، إلى home) ، فيمكن القيام بذلك عن طريق تشغيل:

$ firewall-cmd --set-default-zone=home
success

ستنعكس هذه المعلومات في ملف التكوين الرئيسي ، /etc/firewalld/firewalld.conf. ومع ذلك ، يوصى بعدم تعديل هذا الملف يدويًا واستخدامه بدلاً من ذلك firewall-cmd.

فحص المناطق المعينة حاليا

يمكنك الحصول على قائمة بالمناطق التي قمت بتعيين الواجهات إليها عن طريق التشغيل:

$ firewall-cmd --get-active-zones
public
  interfaces: eth0

يمكنك أيضًا التحقق من منطقة واجهة واحدة ( eth0في هذه الحالة) عن طريق تشغيل:

$  firewall-cmd --get-zone-of-interface=eth0
public

إنشاء مناطق

إذا كانت المناطق الافتراضية المكونة مسبقًا لا تتناسب تمامًا مع احتياجاتك ، فإن أسهل طريقة لإنشاء منطقة جديدة ( zone1) هي مرة أخرى عبر firewall-cmd:

$ firewall-cmd --permanent --new-zone=zone1
success

بعد الإنشاء ، تحتاج إلى إعادة التحميل:

$ firewall-cmd --reload
success

تطبيق منطقة على واجهة

من أجل تعيين واجهة شبكة بشكل دائم لمنطقة ما ، يمكنك استخدام firewall-cmdرغم ذلك تذكر تضمين --permanentالعلامة لاستمرار التغيير. إذا NetworkManagerكنت تستخدم ، يجب عليك أيضًا التأكد من استخدامه nmcliلتعيين منطقة الاتصال.

$ firewall-cmd --permanent --zone=internal --change-interface=eth1`
success

الحصول على التكوين الدائم للمنطقة

من أجل التحقق من التكوين الدائم للمنطقة ( publicفي هذه الحالة) بما في ذلك الواجهات المعينة ، والخدمات المسموح بها ، وإعدادات المنفذ والمزيد ، قم بتشغيل:

$ firewall-cmd --permanent --zone=public --list-all
public (default)
  interfaces:
  sources:
  services: dhcpv6-client ssh
  ports:
  masquerade: no
  forward-ports:
  icmp-blocks:
  rich rules:

إدارة الخدمات

بمجرد تعيين المناطق المطلوبة وتهيئتها ، يمكنك البدء في إضافة الخدمات إلى المناطق. تصف الخدمات البروتوكولات والمنافذ التي يمكن الوصول إليها للمنطقة.

قائمة الخدمات الموجودة

تم تكوين عدد من الخدمات المشتركة مسبقًا داخل جدار الحماية. يمكن سرد هذه:

$ firewall-cmd --get-services
RH-Satellite-6 amanda-client bacula bacula-client dhcp dhcpv6 dhcpv6-client dns freeipa-ldap freeipa-ldaps freeipa-replication ftp high-availability http https imaps ipp ipp-client ipsec iscsi-target kerberos kpasswd ldap ldaps libvirt libvirt-tls mdns mountd ms-wbt mysql nfs ntp openvpn pmcd pmproxy pmwebapi pmwebapis pop3s postgresql proxy-dhcp radius rpc-bind rsyncd samba samba-client smtp ssh telnet tftp tftp-client transmission-client vdsm vnc-server wbem-https

يمكنك أيضًا الحصول على قائمة بالخدمات الممكنة للمنطقة الافتراضية:

$ firewall-cmd --list-services
dhcpv6-client ssh

إضافة خدمة إلى منطقة

يمكنك تمكين خدمة معينة لمنطقة ( public) بشكل دائم باستخدام --add-serviceالعلم:

$ firewall-cmd --permanent --zone=public --add-service=http
success

ثم أعد تحميل جلسة جدار الحماية الحالية:

$ firewall-cmd --reload
success

ثم للتحقق من إضافته:

$ firewall-cmd --zone=public --list-services
dhcpv6-client http ssh

إزالة خدمة من منطقة

يمكنك إزالة خدمة معينة لمنطقة ( public) بشكل دائم باستخدام --remove-serviceالعلم:

$ firewall-cmd --permanent --zone=public --remove-service=http
success

ثم أعد تحميل جلسة جدار الحماية الحالية:

$ firewall-cmd --reload
success

ثم للتحقق من إضافته:

$ firewall-cmd --zone=public --list-services
dhcpv6-client ssh

إضافة / إزالة خدمات متعددة من منطقة

يمكنك إضافة أو إزالة خدمات متعددة (على سبيل المثال ، httpو https) من منطقة إما واحدة في كل مرة ، أو كلها مرة واحدة عن طريق لف أسماء الخدمات المطلوبة بأقواس متعرجة ( {، }):

$ firewall-cmd --permanent --zone=public --add-service=
success

$ firewall-cmd --permanent --zone=public --list-services
dhcpv6-client http https ssh

إنشاء خدمات جديدة

في بعض الأحيان ، قد تحتاج إلى إضافة خدمات مخصصة جديدة - على سبيل المثال إذا قمت بتغيير منفذ خفية SSH. يتم تعريف الخدمات باستخدام ملفات XML التافهة ، مع العثور على الملفات الافتراضية في /usr/lib/firewalld/services:

$  tree /usr/lib/firewalld/services
/usr/lib/firewalld/services
├── amanda-client.xml
├── bacula-client.xml
├── bacula.xml
├── dhcpv6-client.xml
├── dhcpv6.xml
├── dhcp.xml
├── dns.xml
├── freeipa-ldaps.xml
├── freeipa-ldap.xml
├── freeipa-replication.xml
├── ftp.xml
├── high-availability.xml
├── https.xml
├── http.xml
...

إن أسهل طريقة لإنشاء خدمة جديدة هي نسخ أحد ملفات الخدمة الحالية وتعديلها. يجب أن تكون الخدمات المخصصة موجودة /etc/firewalld/services. على سبيل المثال ، لتخصيص خدمة SSH:

$ cp /usr/lib/firewalld/services/ssh.xml /etc/firewalld/services/ssh-custom.xml

يجب أن تبدو محتويات هذا الملف المنسوخ كما يلي:

$ cat /etc/firewalld/services/ssh-custom.xml
<?xml version="1.0" encoding="utf-8"?>
<service>
  <short>SSH</short>
  <description>Secure Shell (SSH) is a protocol for logging into and executing commands on remote machines. It provides secure encrypted communications. If you plan on accessing your machine remotely via SSH over a firewalled interface, enable this option. You need the openssh-server package installed for this option to be useful.</description>
  <port protocol="tcp" port="22"/>
</service>

لتغيير المنفذ ، يجب تغيير الاسم المختصر للخدمة والمنفذ. يمكنك أيضًا تغيير الوصف إذا كنت ترغب في ذلك ، ولكن هذه مجرد بيانات وصفية إضافية يمكن استخدامها بواسطة واجهة مستخدم أو تطبيق آخر. في هذا المثال ، أقوم بتغيير المنفذ إلى 1234:

$ nano /etc/firewalld/services/ssh-custom.xml
<?xml version="1.0" encoding="utf-8"?>
<service>
  <short>SSH-Custom</short>
  <description>Secure Shell (SSH) is a protocol for logging into and executing commands on remote machines. It provides secure encrypted communications. If you plan on accessing your machine remotely via SSH over a firewalled interface, enable this option. You need the openssh-server package installed for this option to be useful.</description>
  <port protocol="tcp" port="1234"/>
</service>

بمجرد الحفظ ، ستحتاج إلى إعادة تحميل جدار الحماية ، وبعد ذلك يمكنك تطبيق قاعدتك على منطقتك:

$ firewall-cmd --reload
success

$ firewall-cmd --permanent --zone=public --add-service=ssh-custom
success

إدارة الموانئ

بالإضافة إلى استخدام الخدمات ، يمكنك أيضًا السماح بالمنافذ يدويًا عن طريق البروتوكول. للسماح منفذ TCP 7777لل publicمنطقة:

$ firewall-cmd --permanent --zone=public --add-port=7777/tcp
success

يمكنك أيضًا إضافة نطاق منفذ:

$ firewall-cmd --permanent --zone=public --add-port=7000-8000/tcp
success

لإزالة (وبالتالي حرمان) منفذ TCP 7777لل publicمنطقة:

$ firewall-cmd --permanent --zone=public --remove-port=7777/tcp
success

يمكنك أيضًا سرد المنافذ المسموح بها حاليًا لمنطقة معينة ( public) بعد إعادة تحميل جلسة جدار الحماية الحالية:

$ firewall-cmd --zone=public --list-ports
7000-8000/tcp

تمكين جدار الحماية

بمجرد تكوين جدار الحماية حسب رغبتك ، يجب عليك التأكد من تمكينه عبر systemd من أجل التأكد من أنه يبدأ عند بدء التشغيل:

$ systemctl enable firewalld

استنتاج

هناك الكثير من الإعدادات والخيارات داخل FirewallD ، مثل إعادة توجيه المنفذ والتنكر والتواصل مع جدار الحماية عبر D-Bus. نأمل أن يكون هذا الدليل قد ساعدك على فهم الأساسيات ومع ذلك فقد أعطاك الأدوات لبدء استخدام جدار الحماية من الخادم الخاص بك. ستساعدك بعض القراءة الإضافية أدناه على تحقيق أقصى استفادة من جدار الحماية الخاص بك.



Leave a Comment

كيفية تثبيت وتكوين CyberPanel على خادم CentOS 7 الخاص بك

كيفية تثبيت وتكوين CyberPanel على خادم CentOS 7 الخاص بك

استخدام نظام مختلف؟ مقدمة تعد CyberPanel واحدة من أولى لوحات التحكم في السوق مفتوحة المصدر وتستخدم OpenLiteSpeed. ما هذا

كيفية تثبيت CMS أكتوبر على CentOS 7

كيفية تثبيت CMS أكتوبر على CentOS 7

أكتوبر هو نظام إدارة محتوى مفتوح المصدر يعتمد على Laravel PHP Framework. مع واجهة أنيقة وبنية وحدات موجزة

قم بتثبيت RockMongo على CentOS 7

قم بتثبيت RockMongo على CentOS 7

RockMongo هي أداة إدارة MongoDB على الويب تشبه أداة إدارة MySQL: phpMyAdmin. سيغطي هذا البرنامج التعليمي عملية التثبيت

كيفية نشر Lets Chat Server على CentOS 7

كيفية نشر Lets Chat Server على CentOS 7

Lets Chat هو تطبيق دردشة مفتوح المصدر مصمم لتوفير خدمة الرسائل ذاتية الاستضافة للفرق الصغيرة. يعتمد Lets Chat على NodeJS و MongoDB

كيفية تثبيت أداة إدارة مشروع Taiga على CentOS 7

كيفية تثبيت أداة إدارة مشروع Taiga على CentOS 7

استخدام نظام مختلف؟ Taiga هو تطبيق مجاني ومفتوح المصدر لإدارة المشاريع. على عكس أدوات إدارة المشاريع الأخرى ، يستخدم Taiga زيادة

كيفية تثبيت المجدول المحجوز على CentOS 7

كيفية تثبيت المجدول المحجوز على CentOS 7

استخدام نظام مختلف؟ المتطلبات الأساسية مثيل خادم Vultr CentOS 7. مستخدم sudo. الخطوة 1: تحديث النظام أولاً ، قم بتحديث خادم النظام الخاص بك إلى th

تثبيت Netdata على CentOS 7

تثبيت Netdata على CentOS 7

استخدام نظام مختلف؟ Netdata هي نجمة صاعدة في مجال مراقبة مقاييس النظام في الوقت الفعلي. مقارنة بالأدوات الأخرى من نفس النوع ، Netdata:

كيفية تثبيت DreamFactory Open Source على CentOS 7

كيفية تثبيت DreamFactory Open Source على CentOS 7

DreamFactory هو برنامج مفتوح المصدر يمكنه تحويل أي قاعدة بيانات إلى منصة RESTful API. يمكن نشر DreamFactory على منصات مختلفة. في ثي

كيفية تثبيت خادم Starbound على CentOS 7

كيفية تثبيت خادم Starbound على CentOS 7

استخدام نظام مختلف؟ في هذا البرنامج التعليمي ، سأشرح لك كيفية إعداد خادم Starbound على CentOS 7. المتطلبات الأساسية يجب أن تمتلك هذه اللعبة عليك

كيفية تثبيت Golang 1.13 على CentOS 8 و Ubuntu 18.04 و Debian 10 و Fedora 31

كيفية تثبيت Golang 1.13 على CentOS 8 و Ubuntu 18.04 و Debian 10 و Fedora 31

Go (تُعرف أيضًا باسم Golang) هي لغة برمجة مكتوبة بشكل ثابت ومجمعة على شكل حرف C تم تطويرها بواسطة Google. جعلت البساطة وتعدد الاستخدامات ب

كيفية تثبيت Django على CentOS 7

كيفية تثبيت Django على CentOS 7

Django هو إطار Python شائع لكتابة تطبيقات الويب. مع Django ، يمكنك بناء التطبيقات بشكل أسرع ، دون إعادة اختراع العجلة. إذا كنت تريد

قم بإعداد خادم SA-MP San Andreas متعدد اللاعبين على CentOS 6

قم بإعداد خادم SA-MP San Andreas متعدد اللاعبين على CentOS 6

مرحبًا بك في برنامج تعليمي Vultr آخر. هنا ، ستتعلم كيفية تثبيت خادم SAMP وتشغيله. تمت كتابة هذا الدليل الخاص بـ CentOS 6. المتطلبات الأساسية التي ستحتاج إليها

تثبيت Revive Adserver على CentOS 7

تثبيت Revive Adserver على CentOS 7

Revive Adserver هو نظام عرض إعلانات مجاني ومفتوح المصدر يمكن استخدامه لإدارة الإعلانات على مواقع الويب و / أو التطبيقات و / أو مشغلات الفيديو. في هذه المقالة ،

قم بتثبيت Elgg على CentOS 7

قم بتثبيت Elgg على CentOS 7

استخدام نظام مختلف؟ Elgg هو محرك تواصل اجتماعي مفتوح المصدر يسمح بإنشاء بيئات اجتماعية مثل الشبكات الاجتماعية في الحرم الجامعي

قم ببناء شبكتك الاجتماعية مع الشتات على CentOS 7

قم ببناء شبكتك الاجتماعية مع الشتات على CentOS 7

استخدام نظام مختلف؟ الشتات هو شبكة اجتماعية مفتوحة المصدر تدرك الخصوصية. في هذا البرنامج التعليمي ، ستتعلم كيفية إعداد وتكوين po Diaspora po

نشر Kubernetes مع Kubeadm على CentOS 7

نشر Kubernetes مع Kubeadm على CentOS 7

نظرة عامة تهدف هذه المقالة إلى مساعدتك في إنشاء مجموعة Kubernetes وتشغيلها باستخدام kubeadm في لمح البصر. سيقوم هذا الدليل بنشر خادمين في

قم بإعداد Sails.js للتطوير على CentOS 7

قم بإعداد Sails.js للتطوير على CentOS 7

استخدام نظام مختلف؟ مقدمة Sails.js هو إطار عمل MVC لـ Node.js ، مشابه لـ Ruby on Rails. يجعل لتطوير التطبيقات الحديثة ver

كيفية تجميع Nginx من المصدر على CentOS 7

كيفية تجميع Nginx من المصدر على CentOS 7

استخدام نظام مختلف؟ يمكن استخدام NGINX كخادم HTTP / HTTPS أو خادم وكيل عكسي أو خادم وكيل بريد أو موازن تحميل أو فاصل TLS أو ذاكرة تخزين مؤقت

كيفية تثبيت dotCMS على CentOS 7

كيفية تثبيت dotCMS على CentOS 7

استخدام نظام مختلف؟ dotCMS هو نظام إدارة محتوى من فئة مفتوحة المصدر مفتوح بلغة جافا. أنه يحتوي تقريبا على كل ميزة مطلوبة ر

كيفية تثبيت PufferPanel (لوحة تحكم Minecraft المجانية) على CentOS 7

كيفية تثبيت PufferPanel (لوحة تحكم Minecraft المجانية) على CentOS 7

مقدمة في هذا البرنامج التعليمي ، سيتم تثبيت PufferPanel على Vultr VPS. PufferPanel هي لوحة تحكم مفتوحة المصدر مجانية للاستخدام لإدارتك

نظرة ثاقبة على 26 أسلوبًا لتحليل البيانات الضخمة: الجزء الأول

نظرة ثاقبة على 26 أسلوبًا لتحليل البيانات الضخمة: الجزء الأول

نظرة ثاقبة على 26 أسلوبًا لتحليل البيانات الضخمة: الجزء الأول

6 أشياء شديدة الجنون حول نينتندو سويتش

6 أشياء شديدة الجنون حول نينتندو سويتش

يعرف الكثير منكم أن Switch سيصدر في مارس 2017 وميزاته الجديدة. بالنسبة لأولئك الذين لا يعرفون ، قمنا بإعداد قائمة بالميزات التي تجعل "التبديل" "أداة لا غنى عنها".

وعود التكنولوجيا التي لم يتم الوفاء بها بعد

وعود التكنولوجيا التي لم يتم الوفاء بها بعد

هل تنتظر عمالقة التكنولوجيا للوفاء بوعودهم؟ تحقق من ما تبقى دون تسليم.

وظائف طبقات معمارية مرجعية للبيانات الضخمة

وظائف طبقات معمارية مرجعية للبيانات الضخمة

اقرأ المدونة لمعرفة الطبقات المختلفة في بنية البيانات الضخمة ووظائفها بأبسط طريقة.

كيف يمكن للذكاء الاصطناعي نقل أتمتة العمليات إلى المستوى التالي؟

كيف يمكن للذكاء الاصطناعي نقل أتمتة العمليات إلى المستوى التالي؟

اقرأ هذا لمعرفة مدى انتشار الذكاء الاصطناعي بين الشركات الصغيرة وكيف أنه يزيد من احتمالات نموها ومنح منافسيها القدرة على التفوق.

CAPTCHA: ما هي المدة التي يمكن أن تظل تقنية قابلة للتطبيق للتميز بين الإنسان والذكاء الاصطناعي؟

CAPTCHA: ما هي المدة التي يمكن أن تظل تقنية قابلة للتطبيق للتميز بين الإنسان والذكاء الاصطناعي؟

لقد أصبح حل CAPTCHA صعبًا جدًا على المستخدمين في السنوات القليلة الماضية. هل ستكون قادرة على أن تظل فعالة في اكتشاف البريد العشوائي والروبوتات في المستقبل القريب؟

التفرد التكنولوجي: مستقبل بعيد للحضارة الإنسانية؟

التفرد التكنولوجي: مستقبل بعيد للحضارة الإنسانية؟

مع تطور العلم بمعدل سريع ، واستلام الكثير من جهودنا ، تزداد أيضًا مخاطر تعريض أنفسنا إلى تفرد غير قابل للتفسير. اقرأ ، ماذا يمكن أن يعني التفرد بالنسبة لنا.

التطبيب عن بعد والرعاية الصحية عن بعد: المستقبل هنا

التطبيب عن بعد والرعاية الصحية عن بعد: المستقبل هنا

ما هو التطبيب عن بعد والرعاية الصحية عن بعد وأثره على الأجيال القادمة؟ هل هو مكان جيد أم لا في حالة الوباء؟ اقرأ المدونة لتجد طريقة عرض!

هل تساءلت يومًا كيف يربح المتسللون الأموال؟

هل تساءلت يومًا كيف يربح المتسللون الأموال؟

ربما سمعت أن المتسللين يكسبون الكثير من المال ، لكن هل تساءلت يومًا كيف يجنون هذا النوع من المال؟ دعنا نناقش.

يتسبب التحديث الإضافي لنظام macOS Catalina 10.15.4 في حدوث مشكلات أكثر من حلها

يتسبب التحديث الإضافي لنظام macOS Catalina 10.15.4 في حدوث مشكلات أكثر من حلها

أصدرت Apple مؤخرًا macOS Catalina 10.15.4 تحديثًا تكميليًا لإصلاح المشكلات ولكن يبدو أن التحديث يتسبب في المزيد من المشكلات التي تؤدي إلى إنشاء أجهزة macOS. قراءة هذه المادة لمعرفة المزيد