Firewalld παρέχει έναν τρόπο διαμόρφωσης κανόνων δυναμικού τείχους προστασίας στο Linux που μπορούν να εφαρμοστούν άμεσα, χωρίς την ανάγκη επανεκκίνησης τείχους προστασίας και επίσης υποστηρίζει D-BUS και έννοιες ζώνης που κάνει τη διαμόρφωση Ανετα.
Firewalld αντικατέστησε το τείχος προστασίας του παλιού Fedora (Fedora 18 και μετά) μηχανισμός, RHEL/CentOS 7 και άλλες τελευταίες διανομές βασίζονται σε αυτόν τον νέο μηχανισμό. Ένα από τα μεγαλύτερα κίνητρα για την εισαγωγή νέου συστήματος τείχους προστασίας είναι ότι το παλιό τείχος προστασίας χρειάζεται επανεκκίνηση μετά από κάθε αλλαγή, διακόπτοντας έτσι όλες τις ενεργές συνδέσεις. Όπως προαναφέρθηκε, το τελευταίο firewalld υποστηρίζει δυναμικές ζώνες, κάτι που είναι χρήσιμο στη διαμόρφωση διαφορετικό σύνολο ζωνών και κανόνων για το γραφείο ή το οικιακό σας δίκτυο μέσω γραμμής εντολών ή χρησιμοποιώντας GUI μέθοδος.
Αρχικά, η έννοια του firewalld φαίνεται πολύ δύσκολο να διαμορφωθεί, αλλά οι υπηρεσίες και οι ζώνες το διευκολύνουν διατηρώντας και τα δύο μαζί όπως καλύπτονται σε αυτό το άρθρο.
Στο προηγούμενο άρθρο μας, όπου έχουμε δει πώς να παίζετε με το firewalld και τις ζώνες του, τώρα εδώ, σε αυτό άρθρο, θα δούμε μερικούς χρήσιμους κανόνες firewalld για να διαμορφώσετε τα τρέχοντα συστήματά σας Linux χρησιμοποιώντας τη γραμμή εντολών τρόπος.
Όλα τα παραδείγματα που καλύπτονται σε αυτό το άρθρο είναι πρακτικά δοκιμασμένα CentOS 7 διανομή, και επίσης εργάζεται σε διανομές RHEL και Fedora.
Πριν από την εφαρμογή κανόνων firewalld, βεβαιωθείτε ότι έχετε πρώτα ελέγξει εάν η υπηρεσία firewalld είναι ενεργοποιημένη και λειτουργεί.
# systemctl firewalld κατάστασης.
Η παραπάνω εικόνα δείχνει ότι το firewalld είναι ενεργό και λειτουργεί. Τώρα ήρθε η ώρα να ελέγξετε όλες τις ενεργές ζώνες και τις ενεργές υπηρεσίες.
# firewall-cmd --get-active-zones. # firewall-cmd --get-services.
Εάν ενσωματωθεί, δεν είστε εξοικειωμένοι με τη γραμμή εντολών, μπορείτε επίσης να διαχειριστείτε το firewalld από το GUI, για αυτό πρέπει να έχετε εγκατεστημένο το πακέτο GUI στο σύστημα, αν δεν το εγκαταστήσετε χρησιμοποιώντας τα παρακάτω εντολή.
# yum install firewalld firewall-config.
Όπως προαναφέρθηκε, αυτό το άρθρο είναι ειδικά γραμμένο για τους λάτρεις της γραμμής εντολών και όλα τα παραδείγματα, τα οποία πρόκειται να καλύψουμε, βασίζονται μόνο στη γραμμή εντολών, χωρίς τρόπο GUI... συγγνώμη… ..
Πριν προχωρήσετε περαιτέρω, βεβαιωθείτε ότι επιβεβαιώνετε σε ποια δημόσια ζώνη πρόκειται να διαμορφώσετε το τείχος προστασίας Linux και αναφέρετε όλες τις ενεργές υπηρεσίες, τις θύρες, τους πλούσιους κανόνες για τη δημόσια ζώνη χρησιμοποιώντας την ακόλουθη εντολή.
# firewall-cmd --zone = public --list-all.
Στην παραπάνω εικόνα, δεν έχουν προστεθεί ακόμη κανόνες, ας δούμε πώς να προσθέσετε, να αφαιρέσετε και να τροποποιήσετε κανόνες στο υπόλοιπο μέρος αυτού του άρθρου….
Για να ανοίξετε οποιαδήποτε θύρα για δημόσια ζώνη, χρησιμοποιήστε την ακόλουθη εντολή. Για παράδειγμα, η ακόλουθη εντολή θα ανοίξει τη θύρα 80 για δημόσια ζώνη.
# firewall-cmd --permanent --zone = public --add-port = 80/tcp.
Ομοίως, για να αφαιρέσετε την προστιθέμενη θύρα, απλώς χρησιμοποιήστε το «-αφαιρώ«Επιλογή με εντολή firewalld όπως φαίνεται παρακάτω.
# firewall-cmd --zone = public --remove-port = 80/tcp.
Αφού προσθέσετε ή αφαιρέσετε συγκεκριμένες θύρες, βεβαιωθείτε ότι έχετε προσθέσει ή αφαιρέσει τη θύρα χρησιμοποιώντας το «-θύρες λίστας'Επιλογή.
# firewall-cmd --zone = public-list-ports.
Από προεπιλογή το firewalld συνοδεύεται από προκαθορισμένες υπηρεσίες, εάν θέλετε να προσθέσετε μια λίστα με συγκεκριμένες υπηρεσίες, πρέπει να δημιουργήσετε ένα νέο xml αρχείο με όλες τις υπηρεσίες που περιλαμβάνονται στο αρχείο ή αλλιώς μπορείτε επίσης να ορίσετε ή να αφαιρέσετε κάθε υπηρεσία με μη αυτόματο τρόπο εκτελώντας το παρακάτω εντολές.
Για παράδειγμα, οι ακόλουθες εντολές θα σας βοηθήσουν να προσθέσετε ή να αφαιρέσετε συγκεκριμένες υπηρεσίες, όπως κάναμε για το FTP εδώ σε αυτό το παράδειγμα.
# firewall-cmd --zone = public --add-service = ftp. # firewall-cmd --zone = public --remove-service = ftp. # firewall-cmd --zone = δημόσιες-λίστες-υπηρεσίες.
Εάν θέλετε να αποκλείσετε τυχόν εισερχόμενες ή εξερχόμενες συνδέσεις, πρέπει να χρησιμοποιήσετε ένα «πανικός«Λειτουργία για τον αποκλεισμό τέτοιων αιτημάτων. Για παράδειγμα, ο παρακάτω κανόνας θα καταργήσει οποιαδήποτε υπάρχουσα σύνδεση στο σύστημα.
# firewall-cmd --panic-on.
Αφού ενεργοποιήσετε τη λειτουργία πανικού, προσπαθήστε να κάνετε ping σε οποιονδήποτε τομέα (ας πούμε google.com) και ελέγξτε αν είναι η κατάσταση πανικού ΕΠΙ χρησιμοποιώντας '-ερώτημα-πανικός«Επιλογή όπως αναφέρεται παρακάτω.
# ping google.com -c 1. # firewall-cmd --query-panic.
Βλέπετε στην παραπάνω εικόνα, το ερώτημα πανικού λέει "Άγνωστος οικοδεσπότης google.com“. Τώρα προσπαθήστε να απενεργοποιήσετε τη λειτουργία πανικού και, στη συνέχεια, για άλλη μια φορά ping και ελέγξτε.
# firewall-cmd --query-panic. # firewall-cmd --panic-off. # ping google.com -c 1.
Τώρα αυτή τη φορά, θα υπάρχει ένα αίτημα ping από το google.com ..