Weboldal keresés

Hasznos „FirewallD” szabályok a tűzfal konfigurálásához és kezeléséhez Linux alatt


A Tűzfal lehetőséget biztosít dinamikus tűzfalszabályok konfigurálására Linuxban, amelyek azonnal alkalmazhatók, a tűzfal újraindítása nélkül, valamint támogatja a D-BUS- és zónakoncepciókat, ami megkönnyíti a konfigurálást.

A Tűzfal felváltotta a régi Fedora tűzfal (Fedora 18) mechanizmusát, az RHEL/CentOS 7 és más legújabb disztribúciók támaszkodnak ezt az új mechanizmust. Az új tűzfalrendszer bevezetésének egyik legnagyobb indítéka, hogy a régi tűzfalat minden változtatás után újra kell indítani, így minden aktív kapcsolat megszakad. Ahogy fentebb említettük, a legújabb tűzfal támogatja a dinamikus zónákat, ami hasznos lehet különböző zónák és szabályok konfigurálásához az irodai vagy otthoni hálózathoz parancssoron vagy grafikus felhasználói felületen keresztül.

A tűzfal koncepció kezdetben nagyon nehezen konfigurálhatónak tűnik, de a szolgáltatások és a zónák megkönnyítik, mivel mindkettőt együtt tartja, ahogyan ebben a cikkben tárgyaljuk.

Korábbi cikkünkben, ahol láthattuk, hogyan kell játszani a tűzfallal és zónáival, most itt, ebben a cikkben néhány hasznos tűzfalszabályt fogunk látni a jelenlegi Linux-rendszerek parancssori konfigurálásához.

  1. A tűzfal konfigurációja az RHEL/CentOS 7 rendszerben

Az ebben a cikkben tárgyalt összes példa gyakorlatilag a CentOS 7 disztribúción van tesztelve, és működik az RHEL és Fedora disztribúciókon is.

A tűzfalszabályok megvalósítása előtt először ellenőrizze, hogy a tűzfalszolgáltatás engedélyezve van-e és fut-e.

systemctl status firewalld

A fenti képen látható, hogy a tűzfal aktív és fut. Most itt az ideje, hogy ellenőrizze az összes aktív zónát és aktív szolgáltatást.

firewall-cmd --get-active-zones
firewall-cmd --get-services

Ha nem ismeri a parancssort, a tűzfalat grafikus felületről is kezelheti, ehhez telepítenie kell a GUI csomagot a rendszeren, ha nem, telepítse a következő paranccsal.

yum install firewalld firewall-config

Ahogy fentebb említettük, ez a cikk kifejezetten a parancssorok szerelmeseinek készült, és az összes példa, amelyet bemutatunk, csak parancssoron alapul, nem grafikus felhasználói felületen… elnézést…

Mielőtt továbblépne, először győződjön meg arról, hogy melyik nyilvános zónában kívánja konfigurálni a Linux tűzfalat, és sorolja fel az összes aktív szolgáltatást, portot és a nyilvános zónára vonatkozó gazdag szabályokat a következő paranccsal.

firewall-cmd --zone=public --list-all

A fenti képen még nincsenek hozzáadva aktív szabályok, nézzük meg, hogyan lehet szabályokat hozzáadni, eltávolítani és módosítani a cikk további részében….

1. Portok hozzáadása és eltávolítása a Firewallban

A nyilvános zóna bármely portjának megnyitásához használja a következő parancsot. Például a következő parancs megnyitja a 80-as portot a nyilvános zónához.

firewall-cmd --permanent --zone=public --add-port=80/tcp

Hasonlóképpen, a hozzáadott port eltávolításához használja a ’–remove’ opciót a firewalld paranccsal az alábbiak szerint.

firewall-cmd --zone=public --remove-port=80/tcp

Adott portok hozzáadása vagy eltávolítása után győződjön meg róla, hogy a „–list-ports” opció segítségével ellenőrizze, hogy a port hozzáadásra vagy eltávolításra került-e.

firewall-cmd --zone=public --list-ports

2. Szolgáltatások hozzáadása és eltávolítása a Firewallban

A tűzfal alapértelmezés szerint előre definiált szolgáltatásokat tartalmaz, ha konkrét szolgáltatások listáját szeretné hozzáadni, akkor létre kell hoznia egy új xml fájlt a fájlban lévő összes szolgáltatással, vagy manuálisan is meghatározhatja vagy eltávolíthatja az egyes szolgáltatásokat a következő futtatásával parancsokat.

Például a következő parancsok segítenek bizonyos szolgáltatások hozzáadásában vagy eltávolításában, mint ahogy ezt az FTP esetében tettük ebben a példában.

firewall-cmd --zone=public --add-service=ftp
firewall-cmd --zone=public --remove-service=ftp
firewall-cmd --zone=public --list-services

3. Bejövő és kimenő csomagok blokkolása (pánik mód)

Ha blokkolni szeretné a bejövő vagy kimenő kapcsolatokat, akkor a „pánik bekapcsolása” módot kell használnia az ilyen kérések blokkolásához. A következő szabály például megszakítja a rendszeren lévő összes meglévő kapcsolatot.

firewall-cmd --panic-on

A pánik mód engedélyezése után próbáljon meg pingelni egy tetszőleges domaint (például google.com), és ellenőrizze, hogy a pánik mód BE van-e kapcsolva a '–query-panic használatával. >' opciót az alábbiak szerint.

ping google.com -c 1
firewall-cmd --query-panic

Látja a fenti képen, hogy a pánikkérdés ezt mondja: „Ismeretlen gazdagép google.com”. Most próbálja meg letiltani a pánik módot, majd ismét ping és ellenőrizze.

firewall-cmd --query-panic
firewall-cmd --panic-off
ping google.com -c 1

Ezúttal egy ping kérés érkezik a google.com webhelyről.