Jak zrobić konfigurację zapory w Centos 8

Pani Julia Szwed
Jak zrobić konfigurację zapory w Centos 8

Aby rozpocząć konfigurację zapory w dowolnym systemie operacyjnym, najpierw musimy zrozumieć, czym jest zapora i co robi. Więc najpierw dowiedzmy się o zaporze ogniowej.

Co to jest zapora?

Zapory ogniowe to system używany do bezpieczeństwa sieci poprzez monitorowanie, kontrolowanie i filtrowanie ruchu sieciowego (przychodzące lub wychodzące). Możemy ustawić pewne zasady bezpieczeństwa, jeśli chcemy zezwolić lub zablokować określony ruch. Tak więc, dla bezpieczeństwa systemu, niezbędna jest dobrze skonfigurowana zapora ogniowa.

Firewalld: system zarządzania zaporą zapory

Jeśli mówimy o konfiguracji zapory w systemie operacyjnym Centos 8, Centos 8 jest wyposażony w usługę zapory znaną jako Firewalld. Firewalld Daemon to doskonałe oprogramowanie do zarządzania zaporami do zarządzania i kontrolowania ruchu sieciowego systemu. Jest używany przez kilka głównych dystrybucji Linux do wykonywania konfiguracji zapory i jako system filtrowania pakietów sieciowych.

Ten post dowie się wszystkiego o Firewalld i pokaż, jak skonfigurować i wykonać konfigurację zapory w systemie operacyjnym Centos 8. Spróbujemy również kilku podstawowych poleceń i wykonamy podstawowe konfiguracje zapory, aby zarządzać ruchem sieciowym. Zacznijmy od zrozumienia podstawowego Firewalld pojęcia.

Podstawowe pojęcia zapory ogniowej

Firewalld Daemon używa Firewall-CMD za nim. Firewall-CMD jest narzędziem lub klientem wiersza poleceń Firewalld Demon. Omówmy i zrozummy niektóre pojęcia tego narzędzia.

Aby kontrolować ruch, Firewalld Wykorzystuje strefy i usługi. Aby to zrozumieć i rozpocząć pracę Firewalld, Najpierw musisz zrozumieć, w jakich strefach i usługach w Firewalld Czy.

Strefy

Strefy są jak część sieci, w której ustalamy niektóre reguły lub ustalaliśmy określone wymagania bezpieczeństwa w celu zarządzania przepływem ruchu i kontroli w określonych zasadach strefy. Najpierw deklarujemy reguły strefy, a następnie przypisany jest interfejs sieciowy, na którym stosowane są reguły bezpieczeństwa.

Możemy ustawić lub zmienić dowolną regułę na podstawie środowiska sieciowego. W przypadku sieci publicznych możemy ustalić surowe zasady dla naszej konfiguracji zapory. Podczas gdy w przypadku sieci domowej nie musisz ustawiać surowych zasad, niektóre podstawowe zasady będą działać dobrze.

Istnieją kilka predefiniowanych stref przy Firewalld Na podstawie poziomu zaufania. Lepiej więc je zrozumieć i wykorzystać zgodnie z poziomem bezpieczeństwa, który chcemy ustawić.

  • upuszczać: To jest strefa o najniższym poziomie bezpieczeństwa. W tej strefie przejdzie ruch wychodzący, a ruch przychodzący nie będzie mógł przejść.
  • blok: Ta strefa jest prawie taka sama jak powyższa strefa kropli, ale otrzymamy powiadomienie, jeśli połączenie zostanie zrzucone w tej strefie.
  • publiczny: Ta strefa dotyczy niezaufanych sieci publicznych, w których chcesz ograniczyć przychodzące połączenia na podstawie scenariusza sprawy.
  • zewnętrzny: Ta strefa jest używana do sieci zewnętrznych, gdy używasz zapory jako bramy. Jest używany do zewnętrznej części bramy zamiast wewnętrznej części.
  • wewnętrzny: W przeciwieństwie do strefy zewnętrznej strefa ta dotyczy sieci wewnętrznych, gdy używasz zapory jako bramy. Jest przeciwny do strefy zewnętrznej i używany w wewnętrznej części bramki.
  • DMZ: Ta nazwa strefy pochodzi ze strefy zdemilitaryzowanej, w której system będzie miał minimalny dostęp do reszty sieci. Strefa ta jest jawnie używana dla komputerów w mniej zaludnionym środowisku sieciowym.
  • praca: Ta strefa jest wykorzystywana do systemów środowiska roboczego, aby mieć prawie wszystkie zaufane systemy.
  • dom: Ta strefa jest używana do sieci domowych, w których większość systemów jest godna zaufania.
  • zaufane: Ta strefa ma najwyższy poziom bezpieczeństwa. Ta strefa jest używana, w której możemy zaufać każdemu systemowi.

Nie jest obowiązkowe, aby śledzić i używać stref, ponieważ są one wstępnie zdefiniowane. Możemy zmienić reguły strefy i przypisać do niej interfejs sieciowy.

Ustawienia reguł zapory ogniowej

W wręczach może być dwa rodzaje zestawów reguł Firewalld:

  • Czas wykonawczy
  • Stały

Kiedy dodamy lub zmieniamy zestaw reguł, stosuje się on tylko do działającej zapory. Po ponownym załadowaniu usługi lub ponownego uruchomienia systemu Firewalld, usługa zapory ogniowej załaduje tylko konfiguracje stałe. Niedawno dodane lub zmienione reguły nie będą stosowane, ponieważ zmiany, które wprowadzamy do zapory ogniowej.

Aby załadować niedawno dodane lub zmienione reguły reguł po ponownym uruchomieniu systemu lub ponowne załadowanie usługi zapory ogniowej, musimy dodać je do stałych konfiguracji zapory ogniowej.

Aby dodać reguły i zachować je w konfiguracji na stałe, po prostu użyj Flagi -Permanent do polecenia:

$ sudo firewall-cmd-permmanent [opcje]

Po dodaniu reguł do stałych konfiguracji ponownie załaduj zapór ogniowy-CMD za pomocą polecenia:

$ sudo firewall-cmd-odpowiadanie

Z drugiej strony, jeśli chcesz dodać reguły wykonawcze do stałych ustawień, skorzystaj z polecenia typu na wpisanego poniżej:

$ sudo firewall-cmd--runtime-to-permanent

Korzystając z powyższego polecenia, wszystkie reguły wykonawcze zostaną dodane do stałych ustawień zapory.

Instalowanie i włączanie zapory ogniowej

Firewalld jest wstępnie zainstalowany w najnowszej wersji Centos 8. Jednak z jakiegoś powodu jest zepsuty lub nie zainstalowany, możesz go zainstalować za pomocą polecenia:

$ sudo dnf instaluj zaporę ogniową

Raz Firewalld Demon jest zainstalowany, rozpocznij Firewalld usługa, jeśli nie jest domyślnie aktywowana.

Rozpocząć Firewalld Service, wykonaj polecenie wpisane poniżej:

$ sudo systemctl start firewalld


Lepiej jest, jeśli automatycznie zaczniesz od rozruchu i nie musisz go zaczynać wielokrotnie.

Aby włączyć Firewalld Demon, wykonaj polecenie podane poniżej:

$ sudo systemCtl włącz zaporę ogniową


Aby zweryfikować stan usługi Firewall-CMD, uruchom polecenie podane poniżej:

$ sudo firewall-cmd-state


Możesz zobaczyć na wyjściu; Zapora działa doskonale dobrze.

Domyślne zasady zapory ogniowej

Zbadajmy niektóre z domyślnych zasad zapory, aby je zrozumieć i w pełni zmienić je w razie potrzeby.

Aby poznać wybraną strefę, wykonaj polecenie Firewall-CMD za pomocą flagi-Get-Default-Zone, jak pokazano poniżej:

$ Firewall-CMD-Get-Default-Zone


Pokaże domyślną strefę aktywną, która kontroluje ruch przychodzący i wychodzący dla interfejsu.

Strefa domyślna pozostanie jedyną strefą aktywną, o ile nie damy Firewalld Wszelkie polecenia, aby zmienić strefę domyślną.

Możemy uzyskać strefy aktywne, wykonując polecenie Firewall-CMD z flagą-Get-Active-Strey, jak pokazano poniżej:

$ Firewall-CMD-Get-Active-Zones


W wyjściu można zobaczyć, że zapora kontroluje nasz interfejs sieciowy, a reguły strefy publicznej będą stosowane w interfejsie sieciowym.

Jeśli chcesz uzyskać zdefiniowane reguły dla strefy publicznej, wykonaj polecenie wpisane poniżej:

$ sudo firewall-cmd-lista-all


Patrząc na wyniki, możesz być świadkiem, że ta strefa publiczna jest strefą domyślną i strefą aktywną, a nasz interfejs sieciowy jest podłączony do tej strefy.

Zmiana strefy interfejsu sieciowego

Ponieważ możemy zmienić strefy i zmienić strefę interfejsu sieciowego, zmieniają się strefy, gdy mamy więcej niż jeden interfejs na naszym komputerze.

Aby zmienić strefę interfejsu sieciowego, możesz użyć polecenia Firewall -CMD, podać nazwę strefy do opcji -Zone oraz nazwę interfejsu sieciowego do opcji -Change -Interface:

$ sudo firewall-cmd-Zone = work-change-interface = eth1


Aby zweryfikować albo strefę, czy nie, uruchom polecenie Firewall-CMD z opcją-Get-Active Strefs:

$ sudo firewall-cmd-get-active-streny


Widać, że strefa interfejsu jest skutecznie zmieniona, jak pragnieliśmy.

Zmień strefę domyślną

Jeśli chcesz zmienić domyślną strefę, możesz użyć opcji -set-default-stref i podać jej nazwę strefy, którą chcesz ustawić za pomocą polecenia Firewall-CMD:

Na przykład, aby zmienić strefę domyślną na dom zamiast strefy publicznej:

$ sudo firewall-cmd-set-default-streone = dom


Aby zweryfikować, wykonaj polecenie podane poniżej, aby uzyskać domyślną nazwę strefy:

$ sudo firewall-cmd-get-default-streone


W porządku, po zagraniu strefami i interfejsami sieciowymi, dowiedzmy się, jak ustawiać reguły aplikacji w zaporze w systemie operacyjnym Centos 8.

Ustalanie reguł aplikacji

Możemy skonfigurować zaporę i ustawić reguły aplikacji, więc nauczmy się dodać usługę do dowolnej strefy.

Dodaj usługę do strefy

Często musimy dodać niektóre usługi do strefy, w której obecnie pracujemy.

Możemy uzyskać wszystkie usługi za pomocą opcji-Get-Services w poleceniu Firewall-CMD:

$ Firewall-CMD-Get-Services

Aby uzyskać więcej informacji na temat każdej usługi, możemy spojrzeć na .plik XML tej konkretnej usługi. Plik usługi jest umieszczony w katalogu/USR/Lib/Firewalld/Services.

Na przykład, jeśli spojrzymy na usługę HTTP, będzie wyglądać tak:

$ cat/usr/lib/firewalld/usługi/http.XML


Aby włączyć lub dodać usługę do dowolnej strefy, możemy użyć opcji -ADD -SERVICE i podać jej nazwę usługi.

Jeśli nie zapewnimy opcji -strefy, usługa zostanie uwzględniona w strefie domyślnej.

Na przykład, jeśli chcemy dodać usługę HTTP do strefy domyślnej, polecenie pójdzie w ten sposób:

$ sudo firewall-cmd --add-service = http


W przeciwieństwie do tego, jeśli chcesz dodać usługę do określonej strefy, wspomnij o nazwie strefy do opcji -Zone:

$ sudo firewall-cmd-Zone = public --add-service = http


Aby zweryfikować dodanie usługi do strefy publicznej, możesz użyć opcji-list-services w poleceniu Firewall-CMD:

$ sudo firewall-cmd-ze-ste = public--list-services


W powyższej produkcji możesz być świadkiem, że usługi dodane w strefie publicznej są wyświetlane.

Jednak usługa HTTP, którą właśnie dodaliśmy w strefie publicznej, znajduje się w konfiguracjach zapory zapory. Tak więc, jeśli chcesz dodać usługę do konfiguracji stałej, możesz to zrobić, zapewniając dodatkową flagę na temat nadawania podczas dodawania usługi:

$ sudo firewall-cmd-Zone = public --add-service = http --permanent


Ale jeśli chcesz dodać wszystkie konfiguracje środowiska wykonawczego do stałych konfiguracji zapory ogniowej, wykonaj polecenie Firewall-CMD z opcją -runtime-to-permanent:

$ sudo firewall-cmd--runtime-to-permanent

Wszystkie poszukiwane lub niechciane konfiguracje środowiska wykonawczego zostaną dodane do konfiguracji stałych, uruchamiając powyższe polecenie. Tak więc lepiej jest użyć flagi -Permanent, jeśli chcesz dodać konfigurację do stałych konfiguracji.

Teraz, aby zweryfikować zmiany, wymień usługi dodane do stałych konfiguracji przy użyciu opcji -permanent i -list -services w poleceniu Firewall -CMD:

$ sudo firewall-cmd-stzone = public--list-services-permmanent

Jak otwierać adresy IP i porty w zaporze

Korzystając z zapory ogniowej, możemy pozwolić, aby wszystkie lub niektóre określone adresy IP mogły przejść i otworzyć określone porty zgodnie z naszym wymaganiem.

Pozwól źródłowi IP

Aby umożliwić przepływ ruchu z określonego adresu IP, możesz zezwolić i dodać adres IP źródła, najpierw wspominając o strefie i używając opcji -Add -Source:

$ sudo firewall-cmd-Zone = public --add-source = 192.168.1.10


Jeśli chcesz na stałe dodać źródło adresu IP do konfiguracji zapory ogniowej, wykonaj polecenie Firewall-CMD z opcją -runtime-to-permanent:

$ sudo firewall-cmd--runtime-to-permanent


Aby zweryfikować, możesz podać źródła również za pomocą polecenia podanego poniżej:

$ sudo firewall-cmd-strepe = public--list-sources


W powyższym poleceniu pamiętaj o strefie, której źródła chcesz wymienić.

Jeśli z jakiegokolwiek powodu chcesz usunąć źródłowy adres IP, polecenie usunięcia źródłowego adresu IP pójdzie w ten sposób:

$ sudo firewall-cmd-Zone = public--Remove-Source = 192.168.1.10

Otwórz port źródłowy

Aby otworzyć port, najpierw musimy wspomnieć o strefie, a następnie możemy użyć opcji -Add -Porta, aby otworzyć port:

$ sudo firewall-cmd-Zone = public --add-port = 8080/tcp

W powyższym poleceniu /TCP jest protokołem; Możesz podać protokół zgodnie z potrzebami, taki jak UDP, SCTP itp.

Aby zweryfikować, możesz podać porty również za pomocą polecenia podanego poniżej:

$ sudo firewall-cmd-Zone = public--list-porty

W powyższym poleceniu pamiętaj o strefie, której porty chcesz wymienić.

Aby utrzymać otwarcie portu i dodać te konfiguracje do konfiguracji stałej, albo używa flagi -Permanent na końcu powyższego polecenia, albo wykonaj polecenie podane poniżej, aby dodać całą konfigurację czasu wykonawczego do stałej konfiguracji zapory ogniowej:

$ sudo firewall-cmd--runtime-to-permanent

Jeśli z jakiegokolwiek powodu chcesz usunąć port, polecenie usunięcia portu pójdzie w ten sposób:

$ sudo firewall-cmd-Zone = public--Remove-Port = 8080/TCP

Wniosek

W tym szczegółowym i głębokim poście nauczyłeś się, czym jest zapora, podstawowe koncepcje zapory, jakie są strefy i Firewalld Ustawienia zasad. Nauczyłeś się instalować i włączać Firewalld Usługa w systemie operacyjnym CentOS 8.

W konfiguracji zapory, dowiedziałeś się o domyślnych regułach zapory, jak wymienić strefy domyślne, strefy aktywne i wszystkie strefy zapory ogniowej CMD. Co więcej, ten post zawiera krótkie wyjaśnienie, jak zmienić strefę interfejsu sieci.

Po przeczytaniu tego postu zarządzasz przepływem ruchu na swój serwer i zmienisz reguły strefy, ponieważ ten post zawiera szczegółowy opis administrowania, konfigurowania i zarządzania zaporą w systemie operacyjnym Centos 8.

Jeśli chcesz wykopać więcej i dowiedzieć się więcej o zaporze ogniowej, nie wahaj się odwiedzić oficjalną dokumentację Firewalld.

c ostre
Jakie są sekwencje ucieczki w C#
Sekwencja ucieczki w C# jest sekwencją znaków, które reprezentują szczególne znaczenie, gdy jest uży...
Maja Kucharski
php
Jak korzystać z funkcji substr_replace w PHP
W PHP, SUBSTR_REPLACE () to wbudowana funkcja używana do zastąpienia części ciągu innym łańcuchem. P...
Renata Borowiec
php
Jak używać funkcji strlen w PHP
Funkcja strlen () w PHP to funkcja wbudowana, która służy do obliczania długości łańcucha. Przeczyta...
Albert Szcześniak
C ++
Tablica struktur w C ++
Albert Szcześniak
Pyton
Numpy Astype
Albert Szcześniak
Pyton
Python Chmod
Maja Kucharski
Baza danych Oracle
Jak baza danych Oracle różni się od programistów Oracle SQL?
Albert Szcześniak
php
Jak używać funkcji PHP Strcmp
Igor Skrzypek
Golang
Co to jest dziedzictwo w Golang
Sebastian Kaczyński
Jawa
Co to jest konwersja typu w Javie?
Bertram Jóźwiak
html
Jak tworzyć punkty pocisków HTML?
Sebastian Kaczyński
Doker
Jak zabić pojemnik Docker?
Zofia Góra
c ostre
Złóż i kontynuuj instrukcje w C#
Sebastian Kaczyński