Nyttige FirewallD-regler til konfiguration og styring af firewall i Linux
Firewalld giver en måde at konfigurere dynamiske firewallregler i Linux, der kan anvendes øjeblikkeligt uden behov for genstart af firewall, og det understøtter også D-BUS og zonkoncepter, der gør konfigurationen let.
Firewalld erstattede den gamle Fedoras firewall-mekanisme (Fedora 18 og fremefter), RHEL/CentOS 7 og andre nyeste distributioner er afhængige af denne nye mekanisme. Et af de største motiver for at introducere nyt firewall-system er, at den gamle firewall har brug for en genstart efter hver ændring og dermed bryder alle aktive forbindelser. Som nævnt ovenfor understøtter den nyeste firewalld dynamiske zoner, hvilket er nyttigt til konfiguration af forskellige sæt zoner og regler til dit kontor eller hjemmenetværk via en kommandolinje eller ved hjælp af en GUI-metode.
Oprindeligt ser firewalld-konceptet meget vanskeligt ud at konfigurere, men tjenester og zoner gør det lettere ved at holde begge sammen som beskrevet i denne artikel.
I vores tidligere artikel, hvor vi har set, hvordan man spiller med firewalld og dens zoner, vil vi her, i denne artikel, se nogle nyttige firewalld-regler til at konfigurere dine nuværende Linux-systemer ved hjælp af kommandolinjemåde.
- Firewalld-konfiguration i RHEL/CentOS 7
Alle eksemplerne i denne artikel er praktisk talt testet på CentOS 7 distribution og fungerer også på RHEL og Fedora distributioner.
Før du implementerer firewalld-regler, skal du først kontrollere, om firewalld-tjenesten er aktiveret og kører.
# systemctl status firewalld
Ovenstående billede viser, at firewalld er aktiv og kører. Nu er det tid til at kontrollere alle de aktive zoner og aktive tjenester.
# firewall-cmd --get-active-zones # firewall-cmd --get-services
I tilfælde af, at du ikke er fortrolig med kommandolinjen, kan du også administrere firewalld fra GUI, for dette skal du have GUI-pakke installeret på systemet, hvis ikke installere den ved hjælp af følgende kommando.
# yum install firewalld firewall-config
Som nævnt ovenfor er denne artikel specielt skrevet til elskere af kommandolinjer, og alle eksemplerne, som vi kommer til at dække, er kun baseret på kommandolinjen, ingen GUI-måde ... beklager ... ..
Før du går videre, skal du først sørge for at bekræfte, hvilken offentlig zone du vil konfigurere Linux-firewall og liste alle aktive tjenester, porte, rige regler for offentlig zone ved hjælp af følgende kommando.
# firewall-cmd --zone=public --list-all
På ovenstående billede er der ikke tilføjet nogen aktive regler endnu, lad os se, hvordan du tilføjer, fjerner og ændrer regler i den resterende del af denne artikel ....
1. Tilføjelse og fjernelse af porte i Firewalld
Brug følgende kommando for at åbne en port for offentlig zone. For eksempel åbner følgende kommando port 80 for offentlig zone.
# firewall-cmd --permanent --zone=public --add-port=80/tcp
På samme måde skal du blot fjerne muligheden for at fjerne tilføjet port ved hjælp af '–remove' med firewalld-kommandoen som vist nedenfor.
# firewall-cmd --zone=public --remove-port=80/tcp
Når du har tilføjet eller fjernet specifikke porte, skal du sørge for at bekræfte, om porten tilføjes eller fjernes ved hjælp af '–list-porte'.
# firewall-cmd --zone=public --list-ports
2. Tilføjelse og fjernelse af tjenester i Firewalld
Firewalld leveres som standard med foruddefinerede tjenester. Hvis du vil tilføje en liste over specifikke tjenester, skal du oprette en ny xml-fil med alle tjenester inkluderet i filen, ellers kan du også definere eller fjerne hver tjeneste manuelt ved at køre følgende kommandoer.
For eksempel hjælper følgende kommandoer dig med at tilføje eller fjerne bestemte tjenester, som vi gjorde for FTP her i dette eksempel.
# firewall-cmd --zone=public --add-service=ftp # firewall-cmd --zone=public --remove-service=ftp # firewall-cmd --zone=public --list-services
3. Bloker indgående og udgående pakker (paniktilstand)
Hvis du ønsker at blokere indgående eller udgående forbindelser, skal du bruge en 'panik-på' -tilstand til at blokere sådanne anmodninger. For eksempel vil følgende regel slette enhver eksisterende etableret forbindelse på systemet.
# firewall-cmd --panic-on
Efter at have aktiveret paniktilstand, skal du prøve at pinge et hvilket som helst domæne (f.eks. Google.com) og kontrollere, om paniktilstand er TIL ved hjælp af '–forespørgsel-panik’-indstilling som angivet nedenfor.
# ping google.com -c 1 # firewall-cmd --query-panic
Ser du på ovenstående billede, siger panikforespørgslen "Ukendt vært google.com". Prøv nu at deaktivere paniktilstand, og ping og tjek igen.
# firewall-cmd --query-panic # firewall-cmd --panic-off # ping google.com -c 1
Nu denne gang vil der være en ping-anmodning fra google.com ..