FirewallD este un firewall gestionat dinamic, care oferă suport pentru regulile de firewall IPv4 și IPv6 și zonele de firewall care sunt disponibile pe serverele bazate pe RHEL 7. Este un înlocuitor direct pentru iptablesși funcționează cu netfiltercodul nucleului .
În acest articol va arunca o scurtă privire la gestionarea firewallului pe CentOS 7 folosind firewall-cmdcomanda.
Primul pas este să verificați dacă FirewallD este instalat și rulat. Acest lucru se poate face prin systemdrularea următoarelor:
$ systemctl status firewalld
● firewalld.service - firewalld - dynamic firewall daemon
Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled; vendor preset: enabled)
Active: active (running) since Thu 2016-03-10 15:07:00 UTC; 1min 30s ago
...
Alternativ, puteți verifica folosind firewall-cmdinstrumentul:
$ firewall-cmd --state
running
FirewallD funcționează folosind conceptul de locație în zonescare o zonă a definit nivelul de încredere utilizat pentru o conexiune. Puteți împărți diferite interfețe de rețea în zone diferite pentru a aplica reguli firewall specifice pe interfață sau puteți utiliza o singură zonă pentru toate interfețele.
În afara cutiei, totul este realizat în publiczona implicită , dar există și alte câteva zone preconfigurate care pot fi aplicate și ele.
Este posibil să fie nevoie să obțineți o listă cu toate zonele disponibile, dintre care există mai multe din cutie. Din nou, acest lucru se poate face folosind firewall-cmd:
$ firewall-cmd --get-zones
block dmz drop external home internal public trusted work
Puteți descoperi zona implicită configurată în prezent folosind firewall-cmd:
$ firewall-cmd --get-default-zone
public
Dacă doriți să modificați zona implicită (de exemplu, la home), acest lucru se poate realiza rulând:
$ firewall-cmd --set-default-zone=home
success
Aceste informații vor fi reflectate în fișierul principal de configurare /etc/firewalld/firewalld.conf,. Cu toate acestea, se recomandă să nu modificați manual acest fișier și să le utilizați în schimb firewall-cmd.
Puteți obține o listă cu zonele la care aveți interfețe alocate rulând:
$ firewall-cmd --get-active-zones
public
interfaces: eth0
Puteți verifica, de asemenea, zona unei singure interfețe ( eth0în acest caz) rulând:
$ firewall-cmd --get-zone-of-interface=eth0
public
Dacă zonele prestabilite prestabilite nu se potrivesc destul de bine cu nevoile dvs., cel mai simplu mod de a crea o nouă zonă ( zone1) este din nou prin firewall-cmd:
$ firewall-cmd --permanent --new-zone=zone1
success
După creare, trebuie să reîncărcați:
$ firewall-cmd --reload
success
Pentru a atribui permanent o interfață de rețea unei zone, puteți utiliza, firewall-cmddeși amintiți-vă să includeți --permanentsteagul pentru a persista modificarea. Dacă utilizați NetworkManager, trebuie să utilizați , de asemenea, nmclisetarea zonei de conectare.
$ firewall-cmd --permanent --zone=internal --change-interface=eth1`
success
Pentru a verifica configurația permanentă a unei zone ( publicîn acest caz), inclusiv interfețele atribuite, serviciile permise, setările portului și multe altele, executați:
$ firewall-cmd --permanent --zone=public --list-all
public (default)
interfaces:
sources:
services: dhcpv6-client ssh
ports:
masquerade: no
forward-ports:
icmp-blocks:
rich rules:
După ce ați alocat și configurați zonele dorite, puteți începe să adăugați servicii la zone. Serviciile descriu protocoalele și porturile care pot fi accesate pentru o zonă.
O serie de servicii comune sunt pre-configurate în firewalld. Acestea pot fi enumerate:
$ firewall-cmd --get-services
RH-Satellite-6 amanda-client bacula bacula-client dhcp dhcpv6 dhcpv6-client dns freeipa-ldap freeipa-ldaps freeipa-replication ftp high-availability http https imaps ipp ipp-client ipsec iscsi-target kerberos kpasswd ldap ldaps libvirt libvirt-tls mdns mountd ms-wbt mysql nfs ntp openvpn pmcd pmproxy pmwebapi pmwebapis pop3s postgresql proxy-dhcp radius rpc-bind rsyncd samba samba-client smtp ssh telnet tftp tftp-client transmission-client vdsm vnc-server wbem-https
Puteți obține, de asemenea, o listă a serviciilor activate pentru zona implicită:
$ firewall-cmd --list-services
dhcpv6-client ssh
Puteți activa un serviciu dat pentru o zonă ( public) folosind permanent --add-servicesteagul:
$ firewall-cmd --permanent --zone=public --add-service=http
success
Și apoi reîncărcați sesiunea de firewall curentă:
$ firewall-cmd --reload
success
Apoi, pentru a verifica a fost adăugat:
$ firewall-cmd --zone=public --list-services
dhcpv6-client http ssh
Puteți elimina un serviciu dat pentru o zonă ( public) permanent folosind --remove-servicesteagul:
$ firewall-cmd --permanent --zone=public --remove-service=http
success
Și apoi reîncărcați sesiunea de firewall curentă:
$ firewall-cmd --reload
success
Apoi, pentru a verifica a fost adăugat:
$ firewall-cmd --zone=public --list-services
dhcpv6-client ssh
Puteți adăuga sau elimina mai multe servicii (de exemplu, httpși https) dintr-o zonă, fie unul câte unul, fie toate simultan, înglobând numele de servicii dorite în bretele cret ( {, }):
$ firewall-cmd --permanent --zone=public --add-service=
success
$ firewall-cmd --permanent --zone=public --list-services
dhcpv6-client http https ssh
Uneori poate fi necesar să adăugați noi servicii personalizate - de exemplu, dacă ați modificat portul pentru demonul SSH. Serviciile sunt definite folosind fișiere XML banale, fișierele implicite găsindu-se în /usr/lib/firewalld/services:
$ tree /usr/lib/firewalld/services
/usr/lib/firewalld/services
├── amanda-client.xml
├── bacula-client.xml
├── bacula.xml
├── dhcpv6-client.xml
├── dhcpv6.xml
├── dhcp.xml
├── dns.xml
├── freeipa-ldaps.xml
├── freeipa-ldap.xml
├── freeipa-replication.xml
├── ftp.xml
├── high-availability.xml
├── https.xml
├── http.xml
...
Cel mai simplu mod de a crea un nou serviciu este de a copia unul dintre aceste fișiere de servicii existente și de a-l modifica. Serviciile personalizate ar trebui să aibă loc /etc/firewalld/services. De exemplu, pentru a personaliza serviciul SSH:
$ cp /usr/lib/firewalld/services/ssh.xml /etc/firewalld/services/ssh-custom.xml
Conținutul acestui fișier copiat ar trebui să arate astfel:
$ cat /etc/firewalld/services/ssh-custom.xml
<?xml version="1.0" encoding="utf-8"?>
<service>
<short>SSH</short>
<description>Secure Shell (SSH) is a protocol for logging into and executing commands on remote machines. It provides secure encrypted communications. If you plan on accessing your machine remotely via SSH over a firewalled interface, enable this option. You need the openssh-server package installed for this option to be useful.</description>
<port protocol="tcp" port="22"/>
</service>
Pentru a schimba portul, ar trebui să schimbați numele scurt pentru serviciu și port. De asemenea, puteți modifica descrierea dacă doriți, dar aceasta este doar metadate suplimentare care ar putea fi utilizate de o interfață de utilizator sau o altă aplicație. În acest exemplu, schimb portul la 1234:
$ nano /etc/firewalld/services/ssh-custom.xml
<?xml version="1.0" encoding="utf-8"?>
<service>
<short>SSH-Custom</short>
<description>Secure Shell (SSH) is a protocol for logging into and executing commands on remote machines. It provides secure encrypted communications. If you plan on accessing your machine remotely via SSH over a firewalled interface, enable this option. You need the openssh-server package installed for this option to be useful.</description>
<port protocol="tcp" port="1234"/>
</service>
Odată salvat, va trebui să reîncărcați firewallul și apoi puteți aplica regula dvs. în zona dvs.:
$ firewall-cmd --reload
success
$ firewall-cmd --permanent --zone=public --add-service=ssh-custom
success
Pe lângă utilizarea serviciilor, puteți permite manual și porturile prin protocol. Pentru a permite portul TCP 7777pentru publiczonă:
$ firewall-cmd --permanent --zone=public --add-port=7777/tcp
success
Puteți adăuga, de asemenea, o gamă de porturi:
$ firewall-cmd --permanent --zone=public --add-port=7000-8000/tcp
success
Pentru a elimina (și astfel a nega) portul TCP 7777pentru publiczonă:
$ firewall-cmd --permanent --zone=public --remove-port=7777/tcp
success
De asemenea, puteți enumera porturile permise în prezent pentru o anumită zonă ( public) după încărcarea sesiunii de firewall curente:
$ firewall-cmd --zone=public --list-ports
7000-8000/tcp
După ce ați configurat firewall-ul după bunul plac, trebuie să vă asigurați că îl activați prin sistemd pentru a vă asigura că începe la pornire:
$ systemctl enable firewalld
Există mult mai multe setări și opțiuni în FirewallD, cum ar fi redirecționarea porturilor, masquerading și comunicarea cu firewall-ul prin D-Bus. Sperăm că acest ghid v-a ajutat să înțelegeți elementele de bază și v-a oferit instrumentele pentru a începe cu firewalling-ul de pe server. Următoarele lecturi suplimentare vă vor ajuta să beneficiați la maxim de firewall.
Introducere RethinkDB este o bază de date NoSQL care stochează date sub formă de documente JSON. Are un limbaj de interogare super intuitiv și are funcții disponibile în mod obișnuit
În anumite ocazii, este posibil ca un administrator de sistem să aibă nevoie să creeze un cont de utilizator și să restricționeze accesul acestora la gestionarea propriilor fișiere prin sFTP, dar nu b
Folosind un sistem diferit? NGINX poate fi utilizat ca server HTTP / HTTPS, server proxy invers, server proxy de poștă, echilibrator de sarcină, terminator TLS sau cachin
Folosind un sistem diferit? Chamilo este un sistem gratuit și deschis de management al învățării (LMS), care este utilizat pe scară largă pentru educația online și colaborarea în echipă
Odoo, cunoscută anterior drept OpenERP, este o cunoscută platformă de afaceri ERP open source. Întreprinderile de orice dimensiune pot beneficia de Odoo, datorită licenței sale abundente
Folosind un sistem diferit? Couch CMS este un sistem de gestionare a conținutului (CMS) simplu și flexibil, gratuit și deschis, care permite proiectanților web să deseneze
Folosind un sistem diferit? SonarQube este un instrument open source pentru dezvoltarea sistemului de calitate. Este scris în Java și acceptă mai multe baze de date. Oferă
NextCloud, așa cum sugerează și numele său, este o alternativă promițătoare a unei alte soluții de hosting de fișiere open source OwnCloud. În acest articol, vă voi arăta
Folosind un sistem diferit? Netdata este o stea în creștere în domeniul monitorizării în timp real a metricilor sistemului. Comparativ cu alte instrumente de același fel, Netdata:
Folosind un sistem diferit? În acest tutorial, voi explica cum să configurați un server Starbound pe CentOS 7. Condiții preliminare Trebuie să dețineți acest joc pe dvs.
Bine ați venit la un alt tutorial Vultr. Aici, veți învăța cum să instalați și să rulați un server SAMP. Acest ghid a fost scris pentru CentOS 6. Condiții preliminare pe care le veți obține
Folosind un sistem diferit? Elgg este un motor de rețea socială open source care permite crearea de medii sociale, cum ar fi rețelele sociale din campus
RStudio Server este ediția web a RStudio care este o serie de instrumente concepute pentru a facilita munca de codare folosind limbajul de programare R. În ti
Bolt este un CMS open source scris în PHP. Codul sursă Bolts este găzduit pe GitHub. Acest ghid vă va arăta cum instalați Bolt CMS pe un nou CentOS 7 Vult
Bugzilla este un sistem gratuit și open source de urmărire a erorilor, care este utilizat pe scară largă de diverși furnizori pentru a-și îmbunătăți continuu softwar-ul
Prezentare generală Acest articol este menit să vă ajute să obțineți un cluster Kubernetes și să funcționeze cu kubeadm în cel mai scurt timp. Acest ghid va implementa două servere, pe
Folosind un sistem diferit? Introducere Sails.js este un cadru MVC pentru Node.js, similar cu Ruby on Rails. Face pentru dezvoltarea aplicațiilor moderne ver
Funcțiile Vultrs Adu-ți spațiul IP permite o libertate fără precedent în alocarea propriilor resurse IP serverelor din norul Vultr. Noi generall
Acest tutorial va acoperi procesul de instalare a unui server de joc Half Life 2 pe CentOS 6 System. Pasul 1: Instalarea condițiilor preliminare Pentru a configura ou
Introducere Sistemele Linux sunt livrate cu instrumente de monitorizare în mod implicit, cum ar fi top, df și du care ajută la monitorizarea proceselor și a spațiului pe disc. De multe ori însă, acestea sunt
O perspectivă asupra a 26 de tehnici de analiză a datelor mari: partea 1
Mulți dintre voi cunoașteți Switch care va fi lansat în martie 2017 și noile sale funcții. Pentru cei care nu știu, am pregătit o listă de funcții care fac din „Switch” un „gadget obligatoriu”.
Aștepți ca giganții tehnologiei să-și îndeplinească promisiunile? vezi ce a ramas nelivrat.
Citiți blogul pentru a cunoaște diferitele straturi din Arhitectura Big Data și funcționalitățile acestora în cel mai simplu mod.
Citiți asta pentru a afla cum devine populară inteligența artificială în rândul companiilor la scară mică și cum crește probabilitățile de a le face să crească și de a le oferi concurenților avantaje.
CAPTCHA a devenit destul de dificil de rezolvat pentru utilizatori în ultimii ani. Va fi capabil să rămână eficient în detectarea spam-ului și a botului în viitor?
Pe măsură ce Știința Evoluează într-un ritm rapid, preluând multe dintre eforturile noastre, crește și riscurile de a ne supune unei Singularități inexplicabile. Citiți, ce ar putea însemna singularitatea pentru noi.
Ce este telemedicina, îngrijirea medicală la distanță și impactul acesteia asupra generației viitoare? Este un loc bun sau nu în situația de pandemie? Citiți blogul pentru a găsi o vedere!
Poate ați auzit că hackerii câștigă mulți bani, dar v-ați întrebat vreodată cum câștigă acești bani? sa discutam.
Recent, Apple a lansat macOS Catalina 10.15.4 o actualizare suplimentară pentru a remedia problemele, dar se pare că actualizarea provoacă mai multe probleme care duc la blocarea mașinilor Mac. Citiți acest articol pentru a afla mai multe
