Kaip įdiegti ir sukonfigūruoti „Firewalld“ „CentOS“ ir „Ubuntu“

Kaip įdiegti ir sukonfigūruoti „Firewalld“ „CentOS“ ir „Ubuntu“

Saugumas yra vienas iš veiksmų, kurie visada turi būti atliekami ne tik organizacijose, bet ir asmeniniu lygiu, kai dirbame su operacine sistema, ir tai yra, nors yra įvairių priemonių, kaip padidinti saugumą ir privatumą naudojant sistemą. sistema apima papildomą funkciją, tokią kaip užkarda.

Esminė užkardos funkcija yra sukurti ir valdyti įeinančias ir išeinančias taisykles, siekiant apsaugoti visą tinklo ryšio procesą. Taigi įtartini ar nepatikimi paketai neleidžia patekti į mūsų kompiuterį ir padaryti bet kokios rūšies žalos, pvz., Įterpti kenkėjiškų programų ar užgrobti informaciją.

Kai dirbame su „Linux“ sistemomis, viena iš saugiausių, turime atvirojo kodo paslaugų, kurios padeda mums padaryti šį apsaugos procesą daug išsamesnį, o viena iš šių paslaugų yra „Firewalld“. „Solvetic“ paaiškins, kas yra „Firewalld“ ir kaip mes galime ją įdiegti ir naudoti dviejuose dažniausiai naudojamuose distribucijose, tokiose kaip „CentOS“ ir „Ubuntu“.

PastabaAbiejų sistemų konfigūravimo procesas yra identiškas

Kas yra ugniasienė„Firewalld“ (užkardos demonas) yra priemonė, kurios tikslas yra pateikti dinamiškai valdomą užkardą, palaikančią tinklo zonas, kuriose yra nustatytas naudojamų tinklo jungčių ar sąsajų pasitikėjimo lygis, „Firewalld“ suderinama su IPv4 adresais, IPv6 užkardos nustatymai, eterneto tiltai ir IP adresų telkiniai.

„Firewalld“ siūlo mums paslaugų ar programų sąsają, kad būtų galima tiesiogiai pridėti užkardos taisykles, taip palengvinant valdymo užduotis. Vienas iš pagrindinių „Firewalld“ naudojimo privalumų yra tas, kad visus pakeitimus, kuriuos reikia atlikti, galima atlikti realiuoju laiku vykdymo aplinkoje, nereikia iš naujo paleisti paslaugos ar „Daemon“, kaip tai atsitinka su daugeliu paslaugų.

„Firewalld“ integruota „D-Bus“ sąsaja, tinkama valdyti užkardos konfigūracijos paslaugas, programas ir administruoti. Ši sąsaja gali būti integruota su konfigūravimo įrankiais, tokiais kaip ugniasienė-cmd, užkardos konfigūracija ir užkardos aplikacija.

Ugniasienės funkcijosKai kurios funkcijos, kurias randame naudodami „Firewalld“, yra šios:

  • IPv4, IPv6, tilto ir „ipset“ palaikymas.
  • IPv4 ir IPv6 NAT palaikymas.
  • Ugniasienė arba užkardos zonos.
  • Pilna „D-Bus“ API.
  • Paprasta paslauga, prievadas, protokolas, šaltinio prievadas, maskavimas, prievadų peradresavimas, icmp filtras, turtinga taisyklė, sąsaja ir šaltinio adreso valdymas naudojamose zonose.
  • Tiesioginė sąsaja valdymui.
  • Blokavimo funkcija sukuria baltą programų, galinčių modifikuoti užkardą, sąrašą.
  • Automatinis „Linux“ branduolio modulių įkėlimas.
  • Integracija su lėlėmis.
  • Laiko užkardos taisyklės zonose.
  • Paprasta uždraustų paketų registracija.
  • Grafinis konfigūravimo įrankis naudojant gtk3.
  • Programėlė naudojant Qt4.

PaskirstymaiPagrindiniai paskirstymai, kuriuose galima įdiegti „Firewalld“, yra šie:

  • RHEL 7, CentOS 7
  • „Fedora 18“ ir naujesnės versijos

ProgramosProgramos ir bibliotekos, palaikančios ugniasienę kaip užkardos valdymo įrankį, apima:

  • „NetworkManager“
  • libvirt
  • dokininkas
  • fail2ban

Svarbu, kad prieš išsamiai aprašydami, kaip įdiegti ir naudoti „Firewalld“, mes apie tai žinome šiek tiek daugiau, „Firewalld“ sudaro trys sluoksniai:

  • Pagrindinis sluoksnis (pagrindinis sluoksnis), kuris yra atsakingas už konfigūracijos ir paslaugų, tokių kaip „iptables“, „ip6tables“, „ebtables“, „ipset“ ir modulio įkėlėjas, valdymą.
  • „D-Bus“ sąsaja: tai yra pagrindinė ugniasienės nustatymų keitimo ir kūrimo priemonė.
  • Užpakalinės programos, leidžiančios sąveikauti su tinklo filtru (vietinis branduolio modulis, naudojamas užkardai), o kai kurios yra laikomos „iptables“, „ip6tables“, „ebtables“, „ipset“, „nft“, „linnftables“ ir kt.

Ugniasienės „D-Bus“ sąsaja yra pats svarbiausias būdas kurti ir redaguoti užkardos nustatymus. Šią sąsają naudoja visi internetiniai įrankiai, integruoti į ugniasienę, pvz., Ugniasienė-cmd, ugniasienės konfigūracija ir užkardos aplikacija, ugniasienės neprisijungus cmd linija nekalba tiesiogiai su užkarda, tačiau ji redaguoja ir sukuria ugniasienės konfigūracijos failus tiesiai per užkardos branduolį su IO tvarkyklėmis.

Visuotinės ugniasienės konfigūracijos failas yra /etc/firewalld/firewalld.conf, o ugniasienės funkcijos sukonfigūruotos XML formatu.

„Firewalld“ naudoja zonas, kurios apibrėžia patikimumo lygį, kurį naudos tinklo ryšys, sąsaja ar šaltinio adreso nuoroda, ir ta pati zona gali būti naudojama daugeliui tinklo jungčių, sąsajų ir šaltinių.

„Firewalld“ yra šios zonos:

NuleiskiteTai yra mažiausio pasitikėjimo lygio zona, nes visi gaunami paketai automatiškai atmetami ir leidžiama įjungti tik išeinančius paketus.
BlokuotiNaudojant šią zoną, patikimumo lygis yra panašus į „Drop“, tačiau skiriasi tik tuo, kad gaunami paketai atmetami naudojant „icmp-host-keelatud“ IPv4 ir „icmp6-adm-keelatud“ IPv6 pranešimams.
ViešasNaudojant šią zoną, pasitikėjimo lygis nurodo nepatikimus viešuosius tinklus, todėl jis priima tik patikimus ryšius.
IšorinisTai lygis, apibrėžtas, kai ugniasienę naudojame kaip šliuzą, o jos maskavimą įgalina maršrutizatoriai.
DMZTai zona, kurioje pasitikėjimo lygis taikomas įrangai, esančiai DMZ (demilitarizuotoje) zonoje, tai reiškia, kad viešoji prieiga yra apribota vidiniu tinklu. Jis priima tik priimtinus ryšius.
DarbasKaip rodo jo pavadinimas, šis lygis naudojamas darbo zonose, leidžiančiose tinklo kompiuteriams prieiti prie jo.
namaiNaudodami šį lygį kalbame apie namų aplinką ir dauguma tinklo kompiuterių yra priimtini
VidinisŠis lygio tipas taikomas vidiniams tinklams, kad būtų priimti visi vietinio tinklo kompiuteriai.
PatikimaTai reiškia pasitikėjimą, o tai reiškia, kad jis yra aukščiausias lygis ir pasitiki visais gaunamais ryšiais.

Norėdami sukonfigūruoti ar pridėti zonas, galime naudoti vieną iš šių galimų užkardos konfigūracijos sąsajų:

  • Grafinis konfigūravimo įrankis firewall-config.
  • Ugniasienė-cmd komandinės eilutės įrankis.
  • D-BUS programinė sąsaja.
  • Sukurkite, nukopijuokite arba redaguokite zonos failą bet kuriame konfigūracijos kataloge, pvz.: / Etc / firewalld / zone, jei norite naudoti pasirinktinius ir vartotojo sukurtus konfigūracijos failus, arba / usr / lib / firewalld / zone, jei norite numatytųjų ir atsarginių konfigūracijų.

1. Kaip įdiegti ir valdyti „Firewalld“ „Linux“

1 žingsnis
Jei naudojate „CentOS 7“, užkardos paketas yra iš anksto įdiegtas ir jį galima patikrinti naudojant šią komandą: 

 rpm -qa užkarda
„Ubuntu“ atveju mes turime jį įdiegti naudodami šią komandą: 
 sudo apt install firewalld

DIDELIS

Įvedame raidę S, kad patvirtintume „Firewalld“ atsisiuntimą ir įdiegimą.

2 žingsnis
„Firewalld“ yra įprasta sisteminė paslauga, kurią galima valdyti naudojant komandą systemctl taip: 

 sudo systemctl start firewalld (leidžia paleisti paslaugą) sudo systemctl enable firewalld (įgalina paslaugą sistemos paleidimo metu) sudo systemctl status firewalld (leidžia pamatyti paslaugos būseną)

DIDELIS

3 žingsnis
Paleidę užkardos paslaugą, galime patikrinti, ar demonas veikia ar ne „Linux“, tam turime naudoti ugniasienės cmd įrankį ir vykdome šiuos veiksmus: 

 sudo ugniasienė -cmd -state

DIDELIS

2. Kaip valdyti zonas „Firewalld CentOS“ ir „Ubuntu“

1 žingsnis
Norėdami gauti visų galimų užkardos paslaugų ir zonų sąrašą, turime paleisti šias komandas:
Norėdami pamatyti zonas: 

 sudo ugniasienė-cmd-get-zone

DIDELIS

2 žingsnis
Norėdami pamatyti paslaugas, kurias atliksime: 

 sudo ugniasienė-cmd-get-services

DIDELIS

3 žingsnis
Numatytoji zona yra zona, įdiegta kiekvienai užkardos funkcijai, nesusietai su kita zona, galima gauti numatytąją tinklo jungčių ir sąsajų zonų rinkinį, atlikus šiuos veiksmus: 

 sudo ugniasienė-cmd-get-default-zone

DIDELIS

4 žingsnis
Jei norime sukurti kitą numatytąją zoną, turime pasinaudoti šia komanda, reikia pažymėti, kad jei pridėsime --permanent parinktį, konfigūracija bus nustatyta visam laikui, galime vykdyti bet kurią iš šių parinkčių: 

 sudo ugniasienė-cmd-set-default-zone = išorinė
arba 
 sudo užkarda-cmd-set-default-zone = išorinis-nuolatinis
4 žingsnis
Tada pritaikome pakeitimus vykdydami: 
 sudo užkarda -cmd -iš naujo

DIDELIS

5 žingsnis
Pavyzdžiui, jei tikslas yra pridėti sąsają prie zonos, galime atlikti šiuos veiksmus: 

 sudo ugniasienė-cmd --zone = home --add-interface = enp0s3
Šiuo atveju prie namų zonos pridėjome „enp0s3“ (LAN) sąsają.

DIDELIS

6 žingsnis
Reikėtų pažymėti, kad sąsają galima pridėti tik prie vienos zonos, o ją galima perkelti į kitą zoną, tam mes naudosime --change-interface jungiklį arba pašalinsime iš ankstesnės zonos su -remove-interface jungikliu ir tada pridėkite jį prie naujos zonos, pavyzdžiui: 

 sudo ugniasienė-cmd --zone = public --add-interface = enp0s3 sudo firewall-cmd --zone = public --change-interface = enp0s3
Naudojant „Firewalld“ galima vienu metu naudoti daug zonų, jei norime gauti visų aktyvių zonų, kuriose yra įjungtos funkcijos, pvz., Sąsajos, paslaugos, prievadai, protokolai, sąrašą, vykdome šiuos veiksmus: 
 sudo ugniasienė-cmd-get-active-zone

DIDELIS

7 žingsnis
Norėdami gauti daugiau informacijos apie zonas, pvz., Kas buvo įjungta ar pašalinta, galime naudoti vieną iš šių komandų: 

 sudo užkarda-cmd --zone = home --list-all
ARBA 
 sudo užkarda-cmd-viešoji informacijos zona

DIDELIS

8 žingsnis
Kitas naudingas variantas, kurį galima naudoti su „Firewalld“, yra-get-target, tai rodo nuolatinės zonos tikslą, tikslai gali būti numatytieji, ACCEPT, DROP, REJECT, norėdami patikrinti kelių zonų tikslą, galime naudoti vieną iš šių komandų : 

 sudo ugniasienė-cmd-nuolatinė-zona = vieša-get-target sudo ugniasienė-cmd-nuolatinė-zona = blokas-get-target sudo ugniasienė-cmd-nuolatinė-zona = dmz-get- target sudo firewall-cmd --permanent --zone = external --get-target sudo firewall-cmd --permanent --zone = drop --get-target

3. Kaip užblokuoti arba atidaryti uostus „Firewalld Linux CentOS“ ir „Ubuntu“


Norėdami atidaryti prievadą per ugniasienę, tiesiog pridėkite jį zonoje su parinktimi --add-port, jei zona nėra aiškiai nurodyta, ji bus įjungta numatytojoje zonoje.

1 žingsnis
Pavyzdžiui, norėdami pridėti 80 ir 443 prievadus, kurie leidžia įeinantį žiniatinklio srautą per HTTP ir HTTPS protokolus, vykdysime šiuos veiksmus: 

 sudo ugniasienė-cmd --zone = public --permanent --add-port = 80 / tcp --add-port = 443 / tcp

DIDELIS

2 žingsnis
Dabar iš naujo įkelkime užkardą ir patikrinsime viešojoje zonoje įjungtas funkcijas: 

 sudo firewall-cmd-iš naujo įkelti sudo firewall-cmd --info-zone public

DIDELIS

3 žingsnis
Jei norime užblokuoti uostą užkardoje, šiame pavyzdyje turime naudoti parinktį --remove-port: 

 sudo ugniasienė-cmd --zone = public --permanent --remove-port = 80 / tcp --remove-port = 443 / tcp

4. Kaip blokuoti ar atidaryti paslaugas „Firewalld CentOS“ ir „Ubuntu“


Norėdami įjungti paslaugą „Firewalld“, turime ją įgalinti naudodami parinktį --add-service, atminkite, kad jei praleisime zoną, bus naudojama numatytoji zona.

1 žingsnis
Pavyzdžiui, norėdami įjungti http paslaugą viešojoje zonoje, mes vykdome: 

 sudo ugniasienė-cmd --zone = public --permanent --add-service = http sudo firewall-cmd -reload

DIDELIS

2 žingsnis
Naudodami parametrą -remove -service galime pašalinti paslaugą iš priskirtos zonos: 

 sudo ugniasienė-cmd --zone = public --permanent --remove-service = http sudo firewall-cmd -reload

DIDELIS

5. Kaip įjungti ir išjungti IP maskavimą naudojant „Firewalld Linux“


IP maskavimas arba IPMASQ / MASQ) yra NAT mechanizmas, leidžiantis tinklo šeimininkams, turintiems privačius IP adresus, bendrauti su internetu per viešąjį IP adresą, priskirtą „Linux“ serveriui, naudojant IPMASQ šliuzą..

Naudojant šį maskavimą, srautas iš nematomų kompiuterių bus rodomas kituose interneto kompiuteriuose, tarsi jis būtų tiesiogiai iš „Linux“ serverio.

Norėdami patikrinti, ar maskavimas yra aktyvus, mes vykdome: 

 sudo užkarda-cmd-zona = vieša-užklausa-kaukė
Tada galime pridėti tokią zoną: 
 sudo ugniasienė-cmd --zone = public --add-masquerade
Norėdami pašalinti zoną iš šio tipo funkcijų, turime atlikti šiuos veiksmus: 
 sudo ugniasienė-cmd-zona = vieša-pašalinkite maskaradą

6. Kaip įjungti ir išjungti IMCP pranešimą „Firewalld Linux“


ICMP protokolas (interneto valdymo pranešimų protokolas) yra protokolas, sukurtas siekiant generuoti informacijos užklausas ar atsakymus į tuos informacijos prašymus arba esant klaidų sąlygoms viso tinklo ryšio metu.

1 žingsnis
„Firewalld“ galima įjungti arba išjungti ICMP pranešimus, tačiau rekomenduojama patvirtinti visus suderinamus ICMP tipus, todėl vykdome: 

 sudo ugniasienė-cmd --get-icmptypes

DIDELIS

2 žingsnis
ICMP galime pridėti arba blokuoti taip: 

 sudo ugniasienė-cmd --zone = home --add-icmp-block = echo-answer sudo firewall-cmd --zone = home --remove-icmp-block = echo-answer

DIDELIS

3 žingsnis
Mes galime pamatyti visus ICMP tipus, pridėtus zonoje, naudojant jungiklį --list-icmp-blokai: 

 sudo užkarda-cmd --zone = home --list-icmp-blokai

7. Kaip įjungti ar ne panikos režimą „Firewalld Linux CentOS“ ir „Ubuntu“


Panikos režimas yra specialus režimas, integruotas į ugniasienę, kuriame pašalinami visi įeinantys ir siunčiami paketai, o aktyvus ryšys pasibaigs, kai jis bus suaktyvintas. bet koks ryšys.

1 žingsnis
Norėdami patikrinti panikos režimą, naudosime parinktį --query-panic ir galėsime ją suaktyvinti naudodami parinktį sudo firewall-cmd --panic-on:

DIDELIS

2 žingsnis
Kad suprastume, kaip veikia šis režimas, kai jis išjungtas, galime įkelti svetainę ir gausime visas išsiųstas užklausas, tačiau kai jis bus suaktyvintas, pamatysime pranešimą, nurodantį laikiną ryšio gedimą:

DIDELIS

3 žingsnis
Norėdami išjungti šį režimą, vykdome: 

 sudo ugniasienė-cmd-panic-off

8. Kaip užblokuoti ugniasienę „Linux CentOS“ ir „Ubuntu“

1 žingsnis
„Firewalld“ vietinės programos ar paslaugos gali pakeisti ugniasienės konfigūraciją, jei jos veikia su root teisėmis, mes galime valdyti, kurios programos gali prašyti pakeisti ugniasienę, įtraukdamos ją į blokuojamąjį baltąjį sąrašą. Ši funkcija yra išjungta pagal numatytuosius nustatymus, ir mes galime ją įjungti arba išjungti naudodami-Lockdown-on arba -lockdown-off jungiklį: 

 sudo ugniasienė-cmd-užrakinta
ARBA 
 sudo ugniasienė-cmd-užrakinimas išjungtas
2 žingsnis
Saugesnis būdas yra įjungti arba išjungti šią funkciją tiesiogiai pagrindinio konfigūracijos failo leidime, nes kartais blokuojančiame baltajame sąraše nėra užkardos cmd, todėl pasiekiame konfigūracijos failą: 
 sudo nano /etc/firewalld/firewalld.conf

DIDELIS

Ten surandame eilutę „Lockdown = no“ ir nustatome jos būseną „Lockdown = yes“, išsaugome pakeitimus naudodami „Ctrl“ + O klavišus ir išeiname iš redaktoriaus naudodami „Ctrl“ + X.

„Firewalld“ yra išsamus sprendimas, leidžiantis pridėti įvairių taisyklių ir zonų prie mūsų „Linux“ platinimų ir taip pridėti geresnes bendrąsias sistemos saugumo parinktis.

Padėsite svetainės plėtrą, dalintis puslapį su draugais

wave wave wave wave wave

Populiarios Temos

wave
1
post-title
Kaip padaryti ekrano kopiją „Xiaomi Redmi Note 9S“
2
post-title
Kaip atsisiųsti „Twitter“ vaizdo įrašus
3
post-title
Pakeiskite „Huawei Mate 20 Pro“ raktą, modelį arba atrakinimo kaištį
4
post-title
▷ Kaip suaktyvinti pranešimus „Xiaomi Mi Watch Lite WhatsApp“
5
post-title
Kaip įrašyti „Honor 10 Lite“ ekraną

Rekomenduojama

wave
- Sponsored Ad -

Redaktoriaus Pasirinkimas

wave
- Sponsored Ad -