CentOS 7 पर अपने फ़ायरवॉल को प्रबंधित करने के लिए फ़ायरवॉल का उपयोग करना

• सेवाओं का प्रबंधन
• पोर्ट प्रबंधन
• फ़ायरवॉल को सक्षम करना
• निष्कर्ष

फ़ायरवॉल एक गतिशील रूप से प्रबंधित फ़ायरवॉल है जो IPv4 और IPv6 फ़ायरवॉल नियमों और फ़ायरवॉल ज़ोन के लिए सहायता प्रदान करता है जो RHEL 7 आधारित सर्वर पर उपलब्ध है। यह iptablesकर्नेल netfilterकोड के साथ एक सीधा प्रतिस्थापन है और इसके लिए काम करता है ।

इस आलेख में firewall-cmdकमांड का उपयोग करके CentOS 7 पर फ़ायरवॉल के प्रबंधन पर एक संक्षिप्त नज़र डालेंगे ।

अगर फायरवालड चल रहा है तो जाँच

पहला कदम यह जांचना है कि फ़ायरवॉल को स्थापित और चालू किया गया है या नहीं। यह systemdनिम्नलिखित चलाकर किया जा सकता है :

$ systemctl status firewalld
● firewalld.service - firewalld - dynamic firewall daemon
   Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled; vendor preset: enabled)
   Active: active (running) since Thu 2016-03-10 15:07:00 UTC; 1min 30s ago
   ...

वैकल्पिक रूप से, आप firewall-cmdउपकरण का उपयोग करके देख सकते हैं :

$ firewall-cmd --state
running

क्षेत्रों का प्रबंधन

फायरवॉल एक अवधारणा का उपयोग करके संचालित होता है zonesजहां एक क्षेत्र कनेक्शन के लिए उपयोग किए जाने वाले विश्वास के स्तर को परिभाषित करता है। आप प्रति इंटरफ़ेस में विशिष्ट फ़ायरवॉल नियम लागू करने के लिए अलग-अलग नेटवर्क इंटरफ़ेस को अलग-अलग ज़ोन में विभाजित कर सकते हैं या आप सभी इंटरफ़ेस के लिए एक ज़ोन का उपयोग कर सकते हैं।

बॉक्स से बाहर, सब कुछ डिफ़ॉल्ट publicज़ोन पर किया जाता है , लेकिन कई अन्य पूर्व-कॉन्फ़िगर किए गए ज़ोन हैं जिन्हें भी लागू किया जा सकता है।

सभी उपलब्ध क्षेत्रों की सूची बनाना

आपको सभी उपलब्ध ज़ोन की सूची प्राप्त करने की आवश्यकता हो सकती है, जिनमें से कई बॉक्स से बाहर हैं। फिर से, यह प्रयोग किया जा सकता है firewall-cmd:

$ firewall-cmd --get-zones
block dmz drop external home internal public trusted work

डिफ़ॉल्ट क्षेत्र की जाँच करना

आप उस डिफ़ॉल्ट क्षेत्र की खोज कर सकते हैं जो वर्तमान में उपयोग करके कॉन्फ़िगर किया गया है firewall-cmd:

$ firewall-cmd --get-default-zone
public

यदि आप डिफ़ॉल्ट ज़ोन को बदलना चाहते हैं (उदाहरण के लिए, home), तो इसे चलाकर किया जा सकता है:

$ firewall-cmd --set-default-zone=home
success

यह जानकारी मुख्य कॉन्फ़िगरेशन फ़ाइल में दिखाई देगी /etc/firewalld/firewalld.conf। हालाँकि, यह अनुशंसा की जाती है कि आप मैन्युअल रूप से इस फ़ाइल को संशोधित न करें और इसके बजाय उपयोग करें firewall-cmd।

वर्तमान में असाइन किए गए ज़ोन की जाँच करना

आप उन क्षेत्रों की सूची प्राप्त कर सकते हैं जिन्हें आपने चलाने के लिए सौंपा गया इंटरफेस है:

$ firewall-cmd --get-active-zones
public
  interfaces: eth0

आप एकल इंटरफ़ेस के ज़ोन को भी ( eth0इस मामले में) चलाकर देख सकते हैं:

$  firewall-cmd --get-zone-of-interface=eth0
public

जोन बना रहे हैं

यदि डिफ़ॉल्ट पूर्व-कॉन्फ़िगर किए गए क्षेत्र आपकी आवश्यकताओं के अनुरूप नहीं हैं, तो एक नया क्षेत्र ( zone1) बनाने का सबसे आसान तरीका फिर से है firewall-cmd:

$ firewall-cmd --permanent --new-zone=zone1
success

निर्माण के बाद, आपको पुनः लोड करने की आवश्यकता है:

$ firewall-cmd --reload
success

एक इंटरफ़ेस के लिए एक क्षेत्र को लागू करना

स्थायी रूप से एक नेटवर्क इंटरफ़ेस को एक ज़ोन में असाइन करने के लिए , आप बदलाव को जारी firewall-cmdरखने के लिए --permanentध्वज को शामिल करने के लिए याद रखना हालांकि उपयोग कर सकते हैं। यदि उपयोग कर रहे हैं NetworkManager, तो आपको nmcliकनेक्शन ज़ोन सेट करने के लिए उपयोग करना सुनिश्चित करना चाहिए ।

$ firewall-cmd --permanent --zone=internal --change-interface=eth1`
success

किसी ज़ोन का स्थायी कॉन्फ़िगरेशन प्राप्त करना

publicअसाइन किए गए इंटरफ़ेस, अनुमत सेवाओं, पोर्ट सेटिंग्स और अधिक सहित एक ज़ोन के स्थायी कॉन्फ़िगरेशन की जांच करने के लिए , रन करें:

$ firewall-cmd --permanent --zone=public --list-all
public (default)
  interfaces:
  sources:
  services: dhcpv6-client ssh
  ports:
  masquerade: no
  forward-ports:
  icmp-blocks:
  rich rules:

सेवाओं का प्रबंधन

एक बार जब आप अपने आवश्यक ज़ोन को निर्दिष्ट और कॉन्फ़िगर कर लेते हैं, तो आप ज़ोन में सेवाएँ जोड़ना शुरू कर सकते हैं। सेवाएँ उन प्रोटोकॉल और पोर्ट का वर्णन करती हैं जिन्हें ज़ोन के लिए एक्सेस किया जा सकता है।

मौजूदा सेवाओं की सूची बनाना

फ़ायरवॉल के भीतर कई सामान्य सेवाएँ पूर्व-कॉन्फ़िगर की गई हैं। इन्हें सूचीबद्ध किया जा सकता है:

$ firewall-cmd --get-services
RH-Satellite-6 amanda-client bacula bacula-client dhcp dhcpv6 dhcpv6-client dns freeipa-ldap freeipa-ldaps freeipa-replication ftp high-availability http https imaps ipp ipp-client ipsec iscsi-target kerberos kpasswd ldap ldaps libvirt libvirt-tls mdns mountd ms-wbt mysql nfs ntp openvpn pmcd pmproxy pmwebapi pmwebapis pop3s postgresql proxy-dhcp radius rpc-bind rsyncd samba samba-client smtp ssh telnet tftp tftp-client transmission-client vdsm vnc-server wbem-https

आप डिफ़ॉल्ट क्षेत्र के लिए सक्षम सेवाओं की सूची भी प्राप्त कर सकते हैं:

$ firewall-cmd --list-services
dhcpv6-client ssh

एक ज़ोन में एक सेवा जोड़ना

आप झंडे publicका उपयोग करके किसी क्षेत्र के लिए दी गई सेवा को सक्षम कर सकते हैं --add-service:

$ firewall-cmd --permanent --zone=public --add-service=http
success

और फिर वर्तमान फ़ायरवॉल सत्र पुनः लोड करें:

$ firewall-cmd --reload
success

फिर, इसे सत्यापित करने के लिए जोड़ा गया था:

$ firewall-cmd --zone=public --list-services
dhcpv6-client http ssh

किसी ज़ोन से सेवा निकालना

आप किसी ज़ोन के लिए दी गई सेवा को publicस्थायी रूप से --remove-serviceध्वज का उपयोग करके निकाल सकते हैं :

$ firewall-cmd --permanent --zone=public --remove-service=http
success

और फिर वर्तमान फ़ायरवॉल सत्र पुनः लोड करें:

$ firewall-cmd --reload
success

फिर, इसे सत्यापित करने के लिए जोड़ा गया था:

$ firewall-cmd --zone=public --list-services
dhcpv6-client ssh

एक ज़ोन से कई सेवाएँ जोड़ना / निकालना

आप कर्ली ब्रेस ( , ) में वांछित सेवा नामों को लपेटकर या तो एक समय में एक से कई सेवाओं (उदाहरण के लिए, httpऔर https) को जोड़ सकते हैं या एक बार में सभी को हटा सकते हैं :{}

$ firewall-cmd --permanent --zone=public --add-service=
success

$ firewall-cmd --permanent --zone=public --list-services
dhcpv6-client http https ssh

नई सेवाएं बनाना

कभी-कभी आपको नई कस्टम सेवाओं को जोड़ने की आवश्यकता हो सकती है - उदाहरण के लिए यदि आपने एसएसएच डेमॉन के लिए पोर्ट बदल दिया है। सेवाओं को तुच्छ XML फ़ाइलों का उपयोग करके परिभाषित किया गया है, जिसमें डिफ़ॉल्ट फाइलें मिली हैं /usr/lib/firewalld/services:

$  tree /usr/lib/firewalld/services
/usr/lib/firewalld/services
├── amanda-client.xml
├── bacula-client.xml
├── bacula.xml
├── dhcpv6-client.xml
├── dhcpv6.xml
├── dhcp.xml
├── dns.xml
├── freeipa-ldaps.xml
├── freeipa-ldap.xml
├── freeipa-replication.xml
├── ftp.xml
├── high-availability.xml
├── https.xml
├── http.xml
...

एक नई सेवा बनाने का सबसे आसान तरीका इन मौजूदा सेवा फ़ाइलों में से एक को कॉपी करना और इसे संशोधित करना है। कस्टम सेवाओं में निवास करना चाहिए /etc/firewalld/services। उदाहरण के लिए, SSH सेवा को अनुकूलित करने के लिए:

$ cp /usr/lib/firewalld/services/ssh.xml /etc/firewalld/services/ssh-custom.xml

इस प्रतिलिपि की गई सामग्री की तरह दिखना चाहिए:

$ cat /etc/firewalld/services/ssh-custom.xml
<?xml version="1.0" encoding="utf-8"?>
<service>
  <short>SSH</short>
  <description>Secure Shell (SSH) is a protocol for logging into and executing commands on remote machines. It provides secure encrypted communications. If you plan on accessing your machine remotely via SSH over a firewalled interface, enable this option. You need the openssh-server package installed for this option to be useful.</description>
  <port protocol="tcp" port="22"/>
</service>

पोर्ट को बदलने के लिए, आपको सेवा और पोर्ट के लिए संक्षिप्त नाम बदलना चाहिए। आप चाहें तो विवरण बदल भी सकते हैं, लेकिन यह केवल अतिरिक्त मेटाडेटा है जिसका उपयोग उपयोगकर्ता इंटरफ़ेस या किसी अन्य एप्लिकेशन द्वारा किया जा सकता है। इस उदाहरण में, मैं पोर्ट को 1234 में बदल रहा हूं:

$ nano /etc/firewalld/services/ssh-custom.xml
<?xml version="1.0" encoding="utf-8"?>
<service>
  <short>SSH-Custom</short>
  <description>Secure Shell (SSH) is a protocol for logging into and executing commands on remote machines. It provides secure encrypted communications. If you plan on accessing your machine remotely via SSH over a firewalled interface, enable this option. You need the openssh-server package installed for this option to be useful.</description>
  <port protocol="tcp" port="1234"/>
</service>

एक बार सहेजने के बाद, आपको फ़ायरवॉल को फिर से लोड करना होगा और फिर आप अपने क्षेत्र में अपना नियम लागू कर सकते हैं:

$ firewall-cmd --reload
success

$ firewall-cmd --permanent --zone=public --add-service=ssh-custom
success

पोर्ट प्रबंधन

सेवाओं का उपयोग करने के अलावा, आप मैन्युअल रूप से प्रोटोकॉल द्वारा पोर्ट की अनुमति भी दे सकते हैं। क्षेत्र के 7777लिए टीसीपी पोर्ट की अनुमति देने के लिए public:

$ firewall-cmd --permanent --zone=public --add-port=7777/tcp
success

आप एक पोर्ट रेंज भी जोड़ सकते हैं:

$ firewall-cmd --permanent --zone=public --add-port=7000-8000/tcp
success

इस क्षेत्र के 7777लिए टीसीपी पोर्ट को हटाने (और इस तरह से इनकार) public:

$ firewall-cmd --permanent --zone=public --remove-port=7777/tcp
success

आप publicवर्तमान फ़ायरवॉल सत्र को पुनः लोड करने के बाद किसी दिए गए ज़ोन के लिए वर्तमान में अनुमत पोर्ट ( ) की सूची भी दे सकते हैं :

$ firewall-cmd --zone=public --list-ports
7000-8000/tcp

फ़ायरवॉल को सक्षम करना

एक बार जब आप फ़ायरवॉल को अपनी पसंद के अनुसार कॉन्फ़िगर कर लेते हैं, तो आपको यह सुनिश्चित करना चाहिए कि इसे स्टार्टअप पर शुरू करने के लिए सिस्टमड के माध्यम से सक्षम करना चाहिए:

$ systemctl enable firewalld

निष्कर्ष

फ़ायरवॉलड के भीतर कई और अधिक सेटिंग्स और विकल्प हैं, जैसे पोर्ट फ़ॉरवर्डिंग, मास्किंग और डी-बस के माध्यम से फ़ायरवॉल के साथ संचार करना। उम्मीद है कि इस गाइड ने आपको मूल बातें समझने में मदद की है और आपको अपने सर्वर से फ़ायरवॉलिंग शुरू करने के लिए उपकरण दिए हैं। नीचे दिए गए कुछ अतिरिक्त पढ़ने से आपको अपने फ़ायरवॉल से सबसे अधिक मदद मिलेगी।

• फ़ायरवॉल के साथ Fail2ban का उपयोग करना - फेडोरा विकी
• फ़ायरवॉलडी - फेडोरा विकी
• फ़ायरवॉलडी का परिचय - रेडहैट 7 सुरक्षा गाइड