Kako instalirati i konfigurirati Firewalld na CentOS -u i Ubuntu -u

Kako instalirati i konfigurirati Firewalld na CentOS -u i Ubuntu -u | Linux / Unix 2024
Kako instalirati i konfigurirati Firewalld na CentOS -u i Ubuntu -u | Linux / Unix 2024

Sigurnost je jedna od radnji koja uvijek mora biti prisutna ne samo u organizacijama nego i na osobnoj razini kada radimo s operativnim sustavom, a to je, iako postoje različiti alati za povećanje sigurnosti i privatnosti tijekom korištenja sustava, sam sustav uključuje dodatnu funkciju poput vatrozida.

Bitna funkcija vatrozida je stvaranje i upravljanje ulaznim i odlaznim pravilima radi zaštite cijelog procesa mrežne veze. Tako je spriječeno da sumnjivi ili nepouzdani paketi uđu u naše računalo i izazovu bilo koju vrstu štete, poput umetanja zlonamjernog softvera ili otmice podataka.

Kada radimo s Linux sustavima, jednim od najsigurnijih, imamo pomoćne programe otvorenog koda koji nam pomažu da ovaj proces zaštite učinimo puno potpunijim, a jedan od tih pomoćnih programa je Firewalld. Solvetic će objasniti što je Firewalld i kako ga možemo instalirati i koristiti u dvije trenutno najčešće korištene distribucije, kao što su CentOS i Ubuntu.

BilješkaPostupak konfiguracije je identičan za oba sustava

Što je FirewalldFirewalld (demon vatrozida) je uslužni program čija je svrha isporučiti dinamički upravljani vatrozid koji ima podršku za mrežne zone u kojima je definirana razina povjerenja mrežnih veza ili sučelja koja će se koristiti, Firewalld je kompatibilan s IPv4 adresama, Postavke vatrozida IPv6, Ethernet mostovi i spremišta IP adresa.

Firewalld nam nudi sučelje za usluge ili aplikacije kako bismo izravno dodali pravila vatrozida, olakšavajući tako kontrolne zadatke. Jedna od glavnih prednosti korištenja Firewalld -a je ta što se sve promjene koje se trebaju izvršiti mogu izvršiti u stvarnom vremenu u okruženju izvođenja bez ponovnog pokretanja usluge ili Daemona kao što se to događa s mnogim pomoćnim programima.

Firewalld integrira D-Bus sučelje koje je prikladno za upravljanje uslugama, aplikacijama i administracijom konfiguracije vatrozida. Ovo sučelje može se integrirati s konfiguracijskim alatima kao što su firewall-cmd, firewall-config i firewall-applet.

Značajke FirewalldaNeke od značajki koje nalazimo kada koristimo Firewalld su:

  • Podrška za IPv4, IPv6, premošćivanje i ipset.
  • Podrška za IPv4 i IPv6 NAT.
  • Vatrozid ili zone vatrozida.
  • Potpuni D-Bus API.
  • Jednostavna usluga, port, protokol, izvorni port, maskiranje, prosljeđivanje portova, icmp filter, bogato pravilo, upravljanje sučeljem i izvornom adresom u korištenim zonama.
  • Izravno sučelje za upravljanje.
  • Funkcija blokiranja koja stvara bijeli popis aplikacija koje mogu mijenjati vatrozid.
  • Automatsko učitavanje Linux kernel modula.
  • Integracija s Lutkom.
  • Pravila vremenskog vatrozida u zonama.
  • Jednostavna registracija odbijenih paketa.
  • Alat za grafičku konfiguraciju pomoću gtk3.
  • Aplet koji koristi Qt4.

DistribucijeOsnovne distribucije u koje se Firewalld može implementirati su:

  • RHEL 7, CentOS 7
  • Fedora 18 i novija

PrijaveAplikacije i knjižnice koje podržavaju firewalld kao alat za upravljanje vatrozidom uključuju:

  • NetworkManager
  • libvirt
  • lučki radnik
  • fail2ban

Važno je da prije nego što idemo u detalje o tome kako instalirati i koristiti Firewalld znamo nešto više o tome, Firewalld se sastoji od tri sloja koji su:

  • Glavni sloj (temeljni sloj) koji je odgovoran za upravljanje konfiguracijom i uslugama kao što su iptables, ip6tables, ebtables, ipset i modul loader.
  • D-Bus sučelje: koje je glavno sredstvo za promjenu i stvaranje postavki vatrozida.
  • Bakendi koji omogućuju interakciju s netfilterom (izvorni modul jezgre koji se koristi za vatrozid), a neki se računaju kao iptables, ip6tables, ebtables, ipset, nft, linnftables itd.

D-Bus sučelje firewallda najvažniji je način za stvaranje i uređivanje postavki vatrozida. Ovo sučelje koriste svi mrežni alati ugrađeni u firewalld, kao što su firewall-cmd, firewall-config i firewall-applet, linija firewall-offline-cmd ne razgovara izravno s firewalldom, već uređuje i stvara konfiguracijske datoteke firewalla izravno kroz firewalld jezgru s IO upravljačkim programima.

Globalna konfiguracijska datoteka za firewalld nalazi se na /etc/firewalld/firewalld.conf, a funkcije vatrozida konfigurirane su u XML formatu.

Firewalld koristi zone koje definiraju razinu povjerenja koju će koristiti mrežna veza, sučelje ili vezu izvorne adrese, a ista se zona može koristiti za mnoge mrežne veze, sučelja i izvore.

Dostupne zone u Firewalldu su:

PadOvo je zona s najnižom razinom povjerenja jer se svi dolazni paketi automatski odbijaju i dopuštaju samo omogućavanje odlaznih paketa.
BlokPrilikom korištenja ove zone, razina povjerenja je slična Dropu, ali se razlikuje samo po tome što se dolazni paketi odbijaju korištenjem icmp-host-zabranjeno za IPv4 i icmp6-adm-zabranjeno za IPv6 poruke.
JavnostS ovom zonom razina povjerenja odnosi se na nepouzdane javne mreže pa prihvaća samo pouzdane veze.
VanjskiTo je razina definirana kada koristimo Vatrozid kao pristupnik, a usmjerivači omogućuju njegovo maskiranje.
DMZTo je zona u kojoj se razina povjerenja odnosi na opremu koja se nalazi u DMZ (demilitariziranoj) zoni, što znači da postoji javni pristup ograničen na unutarnju mrežu. Prihvaća samo prihvaćene veze.
RaditiKao što mu naziv govori, ova se razina koristi u radnim područjima koja mrežnim računalima omogućuju pristup.
DomKorištenjem ove razine govorimo o kućnom okruženju i većina računala na mreži je prihvaćena
UnutarnjiOva vrsta razine primjenjuje se na interne mreže tako da će biti prihvaćena sva računala na lokalnoj mreži.
PouzdanoTo znači Trust, što znači da je to najviša razina i da vjeruje svim dolaznim vezama.

Za konfiguriranje ili dodavanje zona možemo koristiti jedno od sljedećih dostupnih firewalld konfiguracijskih sučelja:

  • Alat za grafičku konfiguraciju firewall-config.
  • Alat naredbenog retka firewall-cmd.
  • Programsko sučelje D-BUS.
  • Stvorite, kopirajte ili uredite datoteku zone u bilo kojem od konfiguracijskih direktorija kao što je: / etc / firewalld / zone za prilagođene i korisnički izrađene konfiguracijske datoteke ili / usr / lib / firewalld / zone za zadane i rezervne konfiguracije.

1. Kako instalirati i upravljati Firewalldom na Linuxu

Korak 1
U slučaju korištenja CentOS 7, firewalld paket je unaprijed instaliran i može se provjeriti sljedećom naredbom: 

 o / min -qa firewalld
U slučaju Ubuntua moramo ga instalirati sa sljedećom naredbom: 
 sudo apt install firewalld

POVEĆAJTE

Upisujemo slovo S kako bismo potvrdili preuzimanje i instalaciju Firewallda.

Korak 2
Firewalld je redovna usluga systemd kojom se može upravljati putem naredbe systemctl na sljedeći način: 

 sudo systemctl start firewalld (omogućuje pokretanje usluge) sudo systemctl enable firewalld (omogućuje uslugu tijekom pokretanja sustava) sudo systemctl status firewalld (omogućuje vam da vidite status usluge)

POVEĆAJTE

Korak 3
Nakon pokretanja firewalld usluge možemo provjeriti radi li demon ili ne u Linuxu. Za to moramo upotrijebiti firewall-cmd alat, izvršavamo sljedeće: 

 sudo firewall -cmd -stanje

POVEĆAJTE

2. Kako upravljati zonama u Firewalld CentOS -u i Ubuntuu

Korak 1
Da bismo dobili popis svih dostupnih usluga i zona vatrozida, moramo pokrenuti sljedeće naredbe:
Da biste vidjeli zone: 

 sudo firewall-cmd --get-zone

POVEĆAJTE

Korak 2
Da biste vidjeli usluge koje ćemo izvršiti: 

 sudo firewall-cmd --get-services

POVEĆAJTE

Korak 3
Zadana zona je zona implementirana za svaku značajku firewalla koja nije povezana s drugom zonom, moguće je dobiti zadani skup zona za mrežne veze i sučelja izvršavanjem sljedećeg: 

 sudo firewall-cmd --get-default-zone

POVEĆAJTE

Korak 4
Ako želimo uspostaviti drugu zadanu zonu, moramo upotrijebiti sljedeću naredbu. Treba napomenuti da ako dodamo opciju --permanent, konfiguracija je trajno uspostavljena, možemo izvršiti bilo koju od sljedećih opcija: 

 sudo firewall-cmd --set-default-zone = external
ili 
 sudo firewall-cmd --set-default-zone = external -permanent
Korak 4
Zatim primjenjujemo promjene izvršavanjem: 
 sudo firewall -cmd -reload

POVEĆAJTE

Korak 5
Na primjer, ako je cilj dodati sučelje u zonu, možemo izvršiti sljedeće: 

 sudo firewall-cmd --zone = home --add-interface = enp0s3
U ovom slučaju dodali smo sučelje enp0s3 (LAN) u kućnu zonu.

POVEĆAJTE

Korak 6
Treba napomenuti da se sučelje može dodati samo jednoj zoni, umjesto da se može premjestiti u drugu zonu, za to ćemo koristiti --change-interface prekidač ili ukloniti iz prethodne zone sa -remove-interface sučelje a zatim ga dodajte u novu zonu, na primjer: 

 sudo firewall-cmd --zone = public --add-interface = enp0s3 sudo firewall-cmd --zone = public --change-interface = enp0s3
S Firewalldom je moguće istovremeno koristiti mnoge zone, ako želimo dobiti popis svih aktivnih zona s omogućenim funkcijama, kao što su sučelja, usluge, portovi, protokoli, izvršavamo sljedeće: 
 sudo firewall-cmd --get-active-zone

POVEĆAJTE

Korak 7
Da bismo dobili više informacija o zonama, poput onog što je omogućeno ili uklonjeno, možemo upotrijebiti jednu od ovih naredbi: 

 sudo firewall-cmd --zone = home --list-all
ILI 
 sudo firewall-cmd --info-zona javna

POVEĆAJTE

Korak 8
Još jedna korisna opcija za korištenje s Firewalldom je --get-target, ona prikazuje cilj stalne zone, ciljevi mogu biti zadani, PRIHVATI, DROP, ODBACI, za provjeru cilja nekoliko zona možemo upotrijebiti jednu od sljedećih naredbi : 

 sudo firewall-cmd --permanent --zone = public --get-target sudo firewall-cmd --permanent --zone = block --get-target sudo firewall-cmd --permanent --zone = dmz --get- target sudo firewall-cmd --permanent --zone = external --get-target sudo firewall-cmd --permanent --zone = drop --get-target

3. Kako blokirati ili otvoriti portove u Firewalld Linux CentOS -u i Ubuntuu


Da biste otvorili port kroz firewalld, samo ga dodajte u zonu s opcijom --add-port, ako zona nije izričito navedena, bit će omogućena u zadanoj zoni.

Korak 1
Na primjer, za dodavanje priključaka 80 i 443 koji omogućuju dolazni web promet putem HTTP i HTTPS protokola, izvršit ćemo sljedeće: 

 sudo firewall-cmd --zone = public --permanent --add-port = 80 / tcp --add-port = 443 / tcp

POVEĆAJTE

Korak 2
Sada ćemo ponovno učitati firewalld i provjeriti funkcije omogućene u javnoj zoni: 

 sudo firewall-cmd-ponovno učitajte sudo firewall-cmd --info-zone public

POVEĆAJTE

Korak 3
Ako želimo blokirati port u firewalldu, moramo koristiti opciju --remove-port, u ovom primjeru ovako: 

 sudo firewall-cmd --zone = public --permanent --remove-port = 80 / tcp --remove-port = 443 / tcp

4. Kako blokirati ili otvoriti usluge u Firewalld CentOS -u i Ubuntuu


Za postupak omogućavanja usluge u Firewalldu moramo je omogućiti pomoću opcije --add-service, imajte na umu da će se, ako izostavimo zonu, koristiti zadana zona.

Korak 1
Na primjer, da bismo omogućili uslugu http u javnoj zoni, izvršavamo: 

 sudo firewall-cmd --zone = public --permanent --add-service = http sudo firewall-cmd -reload

POVEĆAJTE

Korak 2
Parametrom -remove -service možemo ukloniti uslugu iz dodijeljene zone: 

 sudo firewall-cmd --zone = public --permanent --remove-service = http sudo firewall-cmd -reload

POVEĆAJTE

5. Kako omogućiti i onemogućiti maskiranje IP -a kroz Firewalld Linux


IP maskiranje IP -a ili IPMASQ / MASQ) je NAT mehanizam koji omogućuje hostovima na mreži s privatnim IP adresama da komuniciraju s Internetom putem javne IP adrese dodijeljene Linux poslužitelju koristeći IPMASQ pristupnik.

S ovom maskiranjem promet s nevidljivih domaćina pojavit će se na drugim računalima na Internetu kao da je došao izravno s poslužitelja Linux.

Da bismo provjerili je li maskiranje aktivno ili ne, izvršavamo: 

 sudo firewall-cmd --zone = public --query-masquerade
Tada možemo dodati zonu poput ove: 
 sudo firewall-cmd --zone = public --add-masquerade
Da bismo uklonili zonu iz ove vrste funkcija, moramo izvršiti sljedeće: 
 sudo firewall-cmd --zone = public --remove-masquerade

6. Kako omogućiti i onemogućiti IMCP poruku u Firewalld Linuxu


ICMP protokol (Internet Control Message Protocol) je protokol koji je razvijen kako bi generirao zahtjeve za informacijama ili odgovore na te zahtjeve za informacijama ili pod uvjetima pogreške tijekom cijelog procesa komunikacije na mreži.

Korak 1
U Firewalldu je moguće omogućiti ili onemogućiti ICMP poruke, ali preporučuje se provjera valjanosti svih kompatibilnih vrsta ICMP -a, za to izvršavamo: 

 sudo firewall-cmd --get-icmptypes

POVEĆAJTE

Korak 2
ICMP možemo dodati ili blokirati na sljedeći način: 

 sudo firewall-cmd --zone = home --add-icmp-block = echo-reply sudo firewall-cmd --zone = home --remove-icmp-block = echo-reply

POVEĆAJTE

Korak 3
Sve vrste ICMP-a dodane u zonu možemo vidjeti pomoću prekidača --list-icmp -blocks: 

 sudo firewall-cmd --zone = home --list-icmp -blocks

7. Kako omogućiti ili ne omogućiti način panike u Firewalld Linux CentOS -u i Ubuntuu


Način panike poseban je način integriran u Firewalld u kojem se eliminiraju svi dolazni i odlazni paketi, a aktivne veze istječu nakon što se aktivira, možemo omogućiti ovaj način rada u hitnim situacijama u kojima postoji prijetnja sustavu, a time ćemo izbjeći bilo kakve veze.

Korak 1
Za provjeru načina panike upotrijebit ćemo opciju --query-panic i možemo je aktivirati pomoću sudo firewall-cmd --panic-on opcije:

POVEĆAJTE

Korak 2
Da bismo razumjeli kako ovaj način rada radi, kad je onemogućen, možemo pingati web stranicu i primit ćemo sve poslane zahtjeve, ali kad se aktivira, vidjet ćemo poruku koja označava privremeni kvar veze:

POVEĆAJTE

Korak 3
Za onemogućavanje ovog načina izvršavamo: 

 sudo firewall-cmd --panic-off

8. Kako blokirati Firewalld na Linux CentOS -u i Ubuntu -u

Korak 1
U Firewalldu lokalne aplikacije ili usluge mogu promijeniti konfiguraciju vatrozida ako rade s root ovlastima, možemo kontrolirati koje aplikacije mogu zahtijevati promjene na vatrozidu, dodajući ih na popis dopuštenih za blokiranje. Ova je funkcija prema zadanim postavkama onemogućena, a mi je možemo omogućiti ili onemogućiti prekidačem --lockdown-on ili -lockdown-off: 

 sudo firewall-cmd --lockdown-on
ILI 
 sudo firewall-cmd --lockdown-off
Korak 2
Sigurnija metoda je omogućiti ili onemogućiti ovu funkciju izravno u izdanju glavne konfiguracijske datoteke, jer ponekad firewall-cmd ne postoji na popisu dopuštenih za blokiranje, za to pristupamo konfiguracijskoj datoteci: 
 sudo nano /etc/firewalld/firewalld.conf

POVEĆAJTE

Tamo lociramo red Lockdown = no i postavljamo mu status Lockdown = yes, spremamo promjene pomoću tipki Ctrl + O i izlazimo iz uređivača pomoću Ctrl + X.

Firewalld je cjelovito rješenje za dodavanje različitih pravila i zona našim distribucijama Linuxa i na taj način sustavu dodaje bolje opće sigurnosne opcije.

wave wave wave wave wave

Popularni Postovi

wave
1
post-title
▷ Kako znati koji program koristi TCP port 80, 8080 ili drugi
2
post-title
Poništite i uklonite zaboravljenu lozinku za Windows 10 bez formatiranja Hiren -ovog BootCD PE
3
post-title
Kako riješiti problem sa zvukom Xiaomi Mi A2
4
post-title
Najbolji trikovi i kako postaviti Face ID na iPhone Xs i Xs Max
5
post-title
PHP Rad s nizovima ili nizovima

Preporučeno

wave
- Sponsored Ad -

Izbor Urednika

wave
- Sponsored Ad -