Hasznos „FirewallD” szabályok a tűzfal konfigurálásához és kezeléséhez Linux alatt
A Tűzfal lehetőséget biztosít dinamikus tűzfalszabályok konfigurálására Linuxban, amelyek azonnal alkalmazhatók, a tűzfal újraindítása nélkül, valamint támogatja a D-BUS- és zónakoncepciókat, ami megkönnyíti a konfigurálást.
A Tűzfal felváltotta a régi Fedora tűzfal (Fedora 18) mechanizmusát, az RHEL/CentOS 7 és más legújabb disztribúciók támaszkodnak ezt az új mechanizmust. Az új tűzfalrendszer bevezetésének egyik legnagyobb indítéka, hogy a régi tűzfalat minden változtatás után újra kell indítani, így minden aktív kapcsolat megszakad. Ahogy fentebb említettük, a legújabb tűzfal támogatja a dinamikus zónákat, ami hasznos lehet különböző zónák és szabályok konfigurálásához az irodai vagy otthoni hálózathoz parancssoron vagy grafikus felhasználói felületen keresztül.
A tűzfal koncepció kezdetben nagyon nehezen konfigurálhatónak tűnik, de a szolgáltatások és a zónák megkönnyítik, mivel mindkettőt együtt tartja, ahogyan ebben a cikkben tárgyaljuk.
Korábbi cikkünkben, ahol láthattuk, hogyan kell játszani a tűzfallal és zónáival, most itt, ebben a cikkben néhány hasznos tűzfalszabályt fogunk látni a jelenlegi Linux-rendszerek parancssori konfigurálásához.
- A tűzfal konfigurációja az RHEL/CentOS 7 rendszerben
Az ebben a cikkben tárgyalt összes példa gyakorlatilag a CentOS 7 disztribúción van tesztelve, és működik az RHEL és Fedora disztribúciókon is.
A tűzfalszabályok megvalósítása előtt először ellenőrizze, hogy a tűzfalszolgáltatás engedélyezve van-e és fut-e.
systemctl status firewalld
A fenti képen látható, hogy a tűzfal aktív és fut. Most itt az ideje, hogy ellenőrizze az összes aktív zónát és aktív szolgáltatást.
firewall-cmd --get-active-zones
firewall-cmd --get-services
Ha nem ismeri a parancssort, a tűzfalat grafikus felületről is kezelheti, ehhez telepítenie kell a GUI csomagot a rendszeren, ha nem, telepítse a következő paranccsal.
yum install firewalld firewall-config
Ahogy fentebb említettük, ez a cikk kifejezetten a parancssorok szerelmeseinek készült, és az összes példa, amelyet bemutatunk, csak parancssoron alapul, nem grafikus felhasználói felületen… elnézést…
Mielőtt továbblépne, először győződjön meg arról, hogy melyik nyilvános zónában kívánja konfigurálni a Linux tűzfalat, és sorolja fel az összes aktív szolgáltatást, portot és a nyilvános zónára vonatkozó gazdag szabályokat a következő paranccsal.
firewall-cmd --zone=public --list-all
A fenti képen még nincsenek hozzáadva aktív szabályok, nézzük meg, hogyan lehet szabályokat hozzáadni, eltávolítani és módosítani a cikk további részében….
1. Portok hozzáadása és eltávolítása a Firewallban
A nyilvános zóna bármely portjának megnyitásához használja a következő parancsot. Például a következő parancs megnyitja a 80-as portot a nyilvános zónához.
firewall-cmd --permanent --zone=public --add-port=80/tcp
Hasonlóképpen, a hozzáadott port eltávolításához használja a ’–remove’ opciót a firewalld paranccsal az alábbiak szerint.
firewall-cmd --zone=public --remove-port=80/tcp
Adott portok hozzáadása vagy eltávolítása után győződjön meg róla, hogy a „–list-ports” opció segítségével ellenőrizze, hogy a port hozzáadásra vagy eltávolításra került-e.
firewall-cmd --zone=public --list-ports
2. Szolgáltatások hozzáadása és eltávolítása a Firewallban
A tűzfal alapértelmezés szerint előre definiált szolgáltatásokat tartalmaz, ha konkrét szolgáltatások listáját szeretné hozzáadni, akkor létre kell hoznia egy új xml fájlt a fájlban lévő összes szolgáltatással, vagy manuálisan is meghatározhatja vagy eltávolíthatja az egyes szolgáltatásokat a következő futtatásával parancsokat.
Például a következő parancsok segítenek bizonyos szolgáltatások hozzáadásában vagy eltávolításában, mint ahogy ezt az FTP esetében tettük ebben a példában.
firewall-cmd --zone=public --add-service=ftp
firewall-cmd --zone=public --remove-service=ftp
firewall-cmd --zone=public --list-services
3. Bejövő és kimenő csomagok blokkolása (pánik mód)
Ha blokkolni szeretné a bejövő vagy kimenő kapcsolatokat, akkor a „pánik bekapcsolása” módot kell használnia az ilyen kérések blokkolásához. A következő szabály például megszakítja a rendszeren lévő összes meglévő kapcsolatot.
firewall-cmd --panic-on
A pánik mód engedélyezése után próbáljon meg pingelni egy tetszőleges domaint (például google.com), és ellenőrizze, hogy a pánik mód BE van-e kapcsolva a '–query-panic használatával. >' opciót az alábbiak szerint.
ping google.com -c 1
firewall-cmd --query-panic
Látja a fenti képen, hogy a pánikkérdés ezt mondja: „Ismeretlen gazdagép google.com”. Most próbálja meg letiltani a pánik módot, majd ismét ping és ellenőrizze.
firewall-cmd --query-panic
firewall-cmd --panic-off
ping google.com -c 1
Ezúttal egy ping kérés érkezik a google.com webhelyről.