Utilizarea FirewallD pentru a vă gestiona firewall-ul pe CentOS 7

FirewallD este un firewall gestionat dinamic, care oferă suport pentru regulile de firewall IPv4 și IPv6 și zonele de firewall care sunt disponibile pe serverele bazate pe RHEL 7. Este un înlocuitor direct pentru iptablesși funcționează cu netfiltercodul nucleului .

În acest articol va arunca o scurtă privire la gestionarea firewallului pe CentOS 7 folosind firewall-cmdcomanda.

Verifică dacă FirewallD rulează

Primul pas este să verificați dacă FirewallD este instalat și rulat. Acest lucru se poate face prin systemdrularea următoarelor:

$ systemctl status firewalld
● firewalld.service - firewalld - dynamic firewall daemon
   Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled; vendor preset: enabled)
   Active: active (running) since Thu 2016-03-10 15:07:00 UTC; 1min 30s ago
   ...

Alternativ, puteți verifica folosind firewall-cmdinstrumentul:

$ firewall-cmd --state
running

Gestionarea zonelor

FirewallD funcționează folosind conceptul de locație în zonescare o zonă a definit nivelul de încredere utilizat pentru o conexiune. Puteți împărți diferite interfețe de rețea în zone diferite pentru a aplica reguli firewall specifice pe interfață sau puteți utiliza o singură zonă pentru toate interfețele.

În afara cutiei, totul este realizat în publiczona implicită , dar există și alte câteva zone preconfigurate care pot fi aplicate și ele.

Listarea tuturor zonelor disponibile

Este posibil să fie nevoie să obțineți o listă cu toate zonele disponibile, dintre care există mai multe din cutie. Din nou, acest lucru se poate face folosind firewall-cmd:

$ firewall-cmd --get-zones
block dmz drop external home internal public trusted work

Verificarea zonei implicite

Puteți descoperi zona implicită configurată în prezent folosind firewall-cmd:

$ firewall-cmd --get-default-zone
public

Dacă doriți să modificați zona implicită (de exemplu, la home), acest lucru se poate realiza rulând:

$ firewall-cmd --set-default-zone=home
success

Aceste informații vor fi reflectate în fișierul principal de configurare /etc/firewalld/firewalld.conf,. Cu toate acestea, se recomandă să nu modificați manual acest fișier și să le utilizați în schimb firewall-cmd.

Verificarea zonelor alocate în prezent

Puteți obține o listă cu zonele la care aveți interfețe alocate rulând:

$ firewall-cmd --get-active-zones
public
  interfaces: eth0

Puteți verifica, de asemenea, zona unei singure interfețe ( eth0în acest caz) rulând:

$  firewall-cmd --get-zone-of-interface=eth0
public

Crearea zonelor

Dacă zonele prestabilite prestabilite nu se potrivesc destul de bine cu nevoile dvs., cel mai simplu mod de a crea o nouă zonă ( zone1) este din nou prin firewall-cmd:

$ firewall-cmd --permanent --new-zone=zone1
success

După creare, trebuie să reîncărcați:

$ firewall-cmd --reload
success

Aplicarea unei zone pe o interfață

Pentru a atribui permanent o interfață de rețea unei zone, puteți utiliza, firewall-cmddeși amintiți-vă să includeți --permanentsteagul pentru a persista modificarea. Dacă utilizați NetworkManager, trebuie să utilizați , de asemenea, nmclisetarea zonei de conectare.

$ firewall-cmd --permanent --zone=internal --change-interface=eth1`
success

Obținerea configurației permanente a unei zone

Pentru a verifica configurația permanentă a unei zone ( publicîn acest caz), inclusiv interfețele atribuite, serviciile permise, setările portului și multe altele, executați:

$ firewall-cmd --permanent --zone=public --list-all
public (default)
  interfaces:
  sources:
  services: dhcpv6-client ssh
  ports:
  masquerade: no
  forward-ports:
  icmp-blocks:
  rich rules:

Gestionarea serviciilor

După ce ați alocat și configurați zonele dorite, puteți începe să adăugați servicii la zone. Serviciile descriu protocoalele și porturile care pot fi accesate pentru o zonă.

Listarea serviciilor existente

O serie de servicii comune sunt pre-configurate în firewalld. Acestea pot fi enumerate:

$ firewall-cmd --get-services
RH-Satellite-6 amanda-client bacula bacula-client dhcp dhcpv6 dhcpv6-client dns freeipa-ldap freeipa-ldaps freeipa-replication ftp high-availability http https imaps ipp ipp-client ipsec iscsi-target kerberos kpasswd ldap ldaps libvirt libvirt-tls mdns mountd ms-wbt mysql nfs ntp openvpn pmcd pmproxy pmwebapi pmwebapis pop3s postgresql proxy-dhcp radius rpc-bind rsyncd samba samba-client smtp ssh telnet tftp tftp-client transmission-client vdsm vnc-server wbem-https

Puteți obține, de asemenea, o listă a serviciilor activate pentru zona implicită:

$ firewall-cmd --list-services
dhcpv6-client ssh

Adăugarea unui serviciu într-o zonă

Puteți activa un serviciu dat pentru o zonă ( public) folosind permanent --add-servicesteagul:

$ firewall-cmd --permanent --zone=public --add-service=http
success

Și apoi reîncărcați sesiunea de firewall curentă:

$ firewall-cmd --reload
success

Apoi, pentru a verifica a fost adăugat:

$ firewall-cmd --zone=public --list-services
dhcpv6-client http ssh

Scoaterea unui serviciu dintr-o zonă

Puteți elimina un serviciu dat pentru o zonă ( public) permanent folosind --remove-servicesteagul:

$ firewall-cmd --permanent --zone=public --remove-service=http
success

Și apoi reîncărcați sesiunea de firewall curentă:

$ firewall-cmd --reload
success

Apoi, pentru a verifica a fost adăugat:

$ firewall-cmd --zone=public --list-services
dhcpv6-client ssh

Adăugarea / eliminarea mai multor servicii dintr-o zonă

Puteți adăuga sau elimina mai multe servicii (de exemplu, httpși https) dintr-o zonă, fie unul câte unul, fie toate simultan, înglobând numele de servicii dorite în bretele cret ( {, }):

$ firewall-cmd --permanent --zone=public --add-service=
success

$ firewall-cmd --permanent --zone=public --list-services
dhcpv6-client http https ssh

Crearea de noi servicii

Uneori poate fi necesar să adăugați noi servicii personalizate - de exemplu, dacă ați modificat portul pentru demonul SSH. Serviciile sunt definite folosind fișiere XML banale, fișierele implicite găsindu-se în /usr/lib/firewalld/services:

$  tree /usr/lib/firewalld/services
/usr/lib/firewalld/services
├── amanda-client.xml
├── bacula-client.xml
├── bacula.xml
├── dhcpv6-client.xml
├── dhcpv6.xml
├── dhcp.xml
├── dns.xml
├── freeipa-ldaps.xml
├── freeipa-ldap.xml
├── freeipa-replication.xml
├── ftp.xml
├── high-availability.xml
├── https.xml
├── http.xml
...

Cel mai simplu mod de a crea un nou serviciu este de a copia unul dintre aceste fișiere de servicii existente și de a-l modifica. Serviciile personalizate ar trebui să aibă loc /etc/firewalld/services. De exemplu, pentru a personaliza serviciul SSH:

$ cp /usr/lib/firewalld/services/ssh.xml /etc/firewalld/services/ssh-custom.xml

Conținutul acestui fișier copiat ar trebui să arate astfel:

$ cat /etc/firewalld/services/ssh-custom.xml
<?xml version="1.0" encoding="utf-8"?>
<service>
  <short>SSH</short>
  <description>Secure Shell (SSH) is a protocol for logging into and executing commands on remote machines. It provides secure encrypted communications. If you plan on accessing your machine remotely via SSH over a firewalled interface, enable this option. You need the openssh-server package installed for this option to be useful.</description>
  <port protocol="tcp" port="22"/>
</service>

Pentru a schimba portul, ar trebui să schimbați numele scurt pentru serviciu și port. De asemenea, puteți modifica descrierea dacă doriți, dar aceasta este doar metadate suplimentare care ar putea fi utilizate de o interfață de utilizator sau o altă aplicație. În acest exemplu, schimb portul la 1234:

$ nano /etc/firewalld/services/ssh-custom.xml
<?xml version="1.0" encoding="utf-8"?>
<service>
  <short>SSH-Custom</short>
  <description>Secure Shell (SSH) is a protocol for logging into and executing commands on remote machines. It provides secure encrypted communications. If you plan on accessing your machine remotely via SSH over a firewalled interface, enable this option. You need the openssh-server package installed for this option to be useful.</description>
  <port protocol="tcp" port="1234"/>
</service>

Odată salvat, va trebui să reîncărcați firewallul și apoi puteți aplica regula dvs. în zona dvs.:

$ firewall-cmd --reload
success

$ firewall-cmd --permanent --zone=public --add-service=ssh-custom
success

Managementul portului

Pe lângă utilizarea serviciilor, puteți permite manual și porturile prin protocol. Pentru a permite portul TCP 7777pentru publiczonă:

$ firewall-cmd --permanent --zone=public --add-port=7777/tcp
success

Puteți adăuga, de asemenea, o gamă de porturi:

$ firewall-cmd --permanent --zone=public --add-port=7000-8000/tcp
success

Pentru a elimina (și astfel a nega) portul TCP 7777pentru publiczonă:

$ firewall-cmd --permanent --zone=public --remove-port=7777/tcp
success

De asemenea, puteți enumera porturile permise în prezent pentru o anumită zonă ( public) după încărcarea sesiunii de firewall curente:

$ firewall-cmd --zone=public --list-ports
7000-8000/tcp

Activarea FirewallD

După ce ați configurat firewall-ul după bunul plac, trebuie să vă asigurați că îl activați prin sistemd pentru a vă asigura că începe la pornire:

$ systemctl enable firewalld

Concluzie

Există mult mai multe setări și opțiuni în FirewallD, cum ar fi redirecționarea porturilor, masquerading și comunicarea cu firewall-ul prin D-Bus. Sperăm că acest ghid v-a ajutat să înțelegeți elementele de bază și v-a oferit instrumentele pentru a începe cu firewalling-ul de pe server. Următoarele lecturi suplimentare vă vor ajuta să beneficiați la maxim de firewall.



Leave a Comment

Instalare RethinkDB Cluster pe CentOS 7

Instalare RethinkDB Cluster pe CentOS 7

Introducere RethinkDB este o bază de date NoSQL care stochează date sub formă de documente JSON. Are un limbaj de interogare super intuitiv și are funcții disponibile în mod obișnuit

Configurarea conturilor de utilizator numai SFTP pe CentOS 7

Configurarea conturilor de utilizator numai SFTP pe CentOS 7

În anumite ocazii, este posibil ca un administrator de sistem să aibă nevoie să creeze un cont de utilizator și să restricționeze accesul acestora la gestionarea propriilor fișiere prin sFTP, dar nu b

Cum să compilați Nginx din sursă pe CentOS 7

Cum să compilați Nginx din sursă pe CentOS 7

Folosind un sistem diferit? NGINX poate fi utilizat ca server HTTP / HTTPS, server proxy invers, server proxy de poștă, echilibrator de sarcină, terminator TLS sau cachin

Cum se instalează Chamilo 1.11.8 pe CentOS 7

Cum se instalează Chamilo 1.11.8 pe CentOS 7

Folosind un sistem diferit? Chamilo este un sistem gratuit și deschis de management al învățării (LMS), care este utilizat pe scară largă pentru educația online și colaborarea în echipă

Instalarea comunității Odoo 9 pe CentOS 7

Instalarea comunității Odoo 9 pe CentOS 7

Odoo, cunoscută anterior drept OpenERP, este o cunoscută platformă de afaceri ERP open source. Întreprinderile de orice dimensiune pot beneficia de Odoo, datorită licenței sale abundente

Cum se instalează Couch CMS 2.0 pe un VPS CentOS 7 LAMP

Cum se instalează Couch CMS 2.0 pe un VPS CentOS 7 LAMP

Folosind un sistem diferit? Couch CMS este un sistem de gestionare a conținutului (CMS) simplu și flexibil, gratuit și deschis, care permite proiectanților web să deseneze

Cum se instalează SonarQube pe CentOS 7

Cum se instalează SonarQube pe CentOS 7

Folosind un sistem diferit? SonarQube este un instrument open source pentru dezvoltarea sistemului de calitate. Este scris în Java și acceptă mai multe baze de date. Oferă

Cum se instalează NextCloud 9 pe CentOS 7

Cum se instalează NextCloud 9 pe CentOS 7

NextCloud, așa cum sugerează și numele său, este o alternativă promițătoare a unei alte soluții de hosting de fișiere open source OwnCloud. În acest articol, vă voi arăta

Instalarea Netdata pe CentOS 7

Instalarea Netdata pe CentOS 7

Folosind un sistem diferit? Netdata este o stea în creștere în domeniul monitorizării în timp real a metricilor sistemului. Comparativ cu alte instrumente de același fel, Netdata:

Cum se instalează Starbound Server pe CentOS 7

Cum se instalează Starbound Server pe CentOS 7

Folosind un sistem diferit? În acest tutorial, voi explica cum să configurați un server Starbound pe CentOS 7. Condiții preliminare Trebuie să dețineți acest joc pe dvs.

Configurați un server multiplayer SA-MP San Andreas pe CentOS 6

Configurați un server multiplayer SA-MP San Andreas pe CentOS 6

Bine ați venit la un alt tutorial Vultr. Aici, veți învăța cum să instalați și să rulați un server SAMP. Acest ghid a fost scris pentru CentOS 6. Condiții preliminare pe care le veți obține

Instalați Elgg pe CentOS 7

Instalați Elgg pe CentOS 7

Folosind un sistem diferit? Elgg este un motor de rețea socială open source care permite crearea de medii sociale, cum ar fi rețelele sociale din campus

Cum se instalează RStudio Server pe CentOS 7

Cum se instalează RStudio Server pe CentOS 7

RStudio Server este ediția web a RStudio care este o serie de instrumente concepute pentru a facilita munca de codare folosind limbajul de programare R. În ti

Instalarea Bolt CMS pe CentOS 7

Instalarea Bolt CMS pe CentOS 7

Bolt este un CMS open source scris în PHP. Codul sursă Bolts este găzduit pe GitHub. Acest ghid vă va arăta cum instalați Bolt CMS pe un nou CentOS 7 Vult

Cum se instalează Bugzilla 5.0.x pe CentOS 7

Cum se instalează Bugzilla 5.0.x pe CentOS 7

Bugzilla este un sistem gratuit și open source de urmărire a erorilor, care este utilizat pe scară largă de diverși furnizori pentru a-și îmbunătăți continuu softwar-ul

Implementați Kubernetes cu Kubeadm pe CentOS 7

Implementați Kubernetes cu Kubeadm pe CentOS 7

Prezentare generală Acest articol este menit să vă ajute să obțineți un cluster Kubernetes și să funcționeze cu kubeadm în cel mai scurt timp. Acest ghid va implementa două servere, pe

Configurare Sails.js pentru dezvoltare pe CentOS 7

Configurare Sails.js pentru dezvoltare pe CentOS 7

Folosind un sistem diferit? Introducere Sails.js este un cadru MVC pentru Node.js, similar cu Ruby on Rails. Face pentru dezvoltarea aplicațiilor moderne ver

Configurarea BGP folosind Quagga pe Vultr (CentOS 7)

Configurarea BGP folosind Quagga pe Vultr (CentOS 7)

Funcțiile Vultrs Adu-ți spațiul IP permite o libertate fără precedent în alocarea propriilor resurse IP serverelor din norul Vultr. Noi generall

Configurarea unui server Half Life 2 pe CentOS 6

Configurarea unui server Half Life 2 pe CentOS 6

Acest tutorial va acoperi procesul de instalare a unui server de joc Half Life 2 pe CentOS 6 System. Pasul 1: Instalarea condițiilor preliminare Pentru a configura ou

Instrumente de monitorizare mai bune pentru Ubuntu și CentOS

Instrumente de monitorizare mai bune pentru Ubuntu și CentOS

Introducere Sistemele Linux sunt livrate cu instrumente de monitorizare în mod implicit, cum ar fi top, df și du care ajută la monitorizarea proceselor și a spațiului pe disc. De multe ori însă, acestea sunt

O perspectivă asupra a 26 de tehnici de analiză a datelor mari: partea 1

O perspectivă asupra a 26 de tehnici de analiză a datelor mari: partea 1

O perspectivă asupra a 26 de tehnici de analiză a datelor mari: partea 1

6 lucruri extrem de nebunești despre Nintendo Switch

6 lucruri extrem de nebunești despre Nintendo Switch

Mulți dintre voi cunoașteți Switch care va fi lansat în martie 2017 și noile sale funcții. Pentru cei care nu știu, am pregătit o listă de funcții care fac din „Switch” un „gadget obligatoriu”.

Promisiuni tehnologice care sunt încă nelivrate

Promisiuni tehnologice care sunt încă nelivrate

Aștepți ca giganții tehnologiei să-și îndeplinească promisiunile? vezi ce a ramas nelivrat.

Funcționalitățile straturilor arhitecturii de referință pentru Big Data

Funcționalitățile straturilor arhitecturii de referință pentru Big Data

Citiți blogul pentru a cunoaște diferitele straturi din Arhitectura Big Data și funcționalitățile acestora în cel mai simplu mod.

Cum poate AI să ducă automatizarea proceselor la următorul nivel?

Cum poate AI să ducă automatizarea proceselor la următorul nivel?

Citiți asta pentru a afla cum devine populară inteligența artificială în rândul companiilor la scară mică și cum crește probabilitățile de a le face să crească și de a le oferi concurenților avantaje.

CAPTCHA: Cât timp poate rămâne o tehnică viabilă pentru distincția uman-AI?

CAPTCHA: Cât timp poate rămâne o tehnică viabilă pentru distincția uman-AI?

CAPTCHA a devenit destul de dificil de rezolvat pentru utilizatori în ultimii ani. Va fi capabil să rămână eficient în detectarea spam-ului și a botului în viitor?

Singularitatea tehnologică: un viitor îndepărtat al civilizației umane?

Singularitatea tehnologică: un viitor îndepărtat al civilizației umane?

Pe măsură ce Știința Evoluează într-un ritm rapid, preluând multe dintre eforturile noastre, crește și riscurile de a ne supune unei Singularități inexplicabile. Citiți, ce ar putea însemna singularitatea pentru noi.

Telemedicină și îngrijire medicală la distanță: viitorul este aici

Telemedicină și îngrijire medicală la distanță: viitorul este aici

Ce este telemedicina, îngrijirea medicală la distanță și impactul acesteia asupra generației viitoare? Este un loc bun sau nu în situația de pandemie? Citiți blogul pentru a găsi o vedere!

Te-ai întrebat vreodată cum câștigă hackerii bani?

Te-ai întrebat vreodată cum câștigă hackerii bani?

Poate ați auzit că hackerii câștigă mulți bani, dar v-ați întrebat vreodată cum câștigă acești bani? sa discutam.

Actualizarea suplimentului macOS Catalina 10.15.4 cauzează mai multe probleme decât rezolvă

Actualizarea suplimentului macOS Catalina 10.15.4 cauzează mai multe probleme decât rezolvă

Recent, Apple a lansat macOS Catalina 10.15.4 o actualizare suplimentară pentru a remedia problemele, dar se pare că actualizarea provoacă mai multe probleme care duc la blocarea mașinilor Mac. Citiți acest articol pentru a afla mai multe