Võrgufilter nagu me kõik teame, on see tulemüür Linuxis. Tulemüür on dünaamiline deemon tulemüüride haldamiseks võrgutsoonide toega. Varasemas versioonis RHEL & CentOS 6 oleme kasutanud iptables pakettfiltreerimisraamistiku deemonina. Sisse RHEL/CentOS 7/8, Fedora ja openSUSE - rong> iptables liides asendatakse tulemüür.
Soovitatav on hakata kasutama Tulemüür selle asemel iptables kuna see võib tulevikus katkeda. Kuid, iptables on endiselt toetatud ja neid saab installida koos yum käsk. Me ei saa hoida Tulemüür ja iptables mõlemad samas süsteemis, mis võib põhjustada konflikte.
Sisse iptables, seadistasime varem kui SISESTAMIS-, VÄLJUND- JA EDASISAHETUSED aga siin sees Tulemüür, mõiste kasutab Tsoonid. Vaikimisi on tulemüüris saadaval erinevad tsoonid, mida käsitletakse selles artiklis.
Põhitsoon, mis on nagu avalik tsoon ja privaatne tsoon. Nende tsoonidega toimetulemiseks peame lisama liidese määratud tsoonitoega ja seejärel saame teenused tulemüürile lisada.
Vaikimisi on saadaval palju teenuseid, üks parimaid omadusi tulemüür see on kaasas eelnevalt määratletud teenustega ja me võime neid teenuseid oma teenuste lisamiseks näiteks kopeerida.
Tulemüür töötab suurepäraselt IPv4, IPv6, ja Etherneti sillad ka. Meil võib olla tulemüüris eraldi käitusaeg ja alaline konfiguratsioon.
Alustame tsoonidega töötamist ja oma teenuste loomist ning tulemüüri palju põnevamat kasutamist.
Operatsioonisüsteem: CentOS Linuxi versioon 7.0.1406 (Core) IP-aadress: 192.168.0.55. Host-name: server1.tecmintlocal.com.
1.Tulemüür pakett on vaikimisi installitud RHEL/CentOS 7/8, Fedora ja openSUSE. Kui ei, saate selle installida järgmiselt yum käsk.
# yum installi tulemüür -y.
2. Pärast tulemüür pakett on installitud, on aeg kontrollida, kas iptables teenus töötab või mitte, kui töötate, peate peatama ja maskeerima (mitte enam kasutama) iptablesi teenuse allolevate käskudega.
# systemctl staatuse iptables. # systemctl peata iptables. # systemctl mask iptables.
3. Enne tulemüüri seadistamise alustamist tahaksin arutada iga tsooni. Vaikimisi on saadaval mõned tsoonid. Peame liidese tsoonile määrama. Tsoon määratleb selle tsooni, mida ühenduse loomiseks usaldati või mis keelati liidesele. Tsoon võib sisaldada teenuseid ja sadamaid.
Siin kirjeldame kõiki tulemüüris saadaolevaid tsoone.
Nüüd on teil tsoonidest parem ettekujutus, uurime nüüd saadaolevaid tsoone, vaikevööndeid ja loetleme kõik tsoonid järgmiste käskude abil.
# tulemüür-cmd --get-zone.
# tulemüür-cmd-get-default-zone.
# tulemüür-cmd-list-all-zone.
Märge: Ülaltoodud käsu väljund ei mahu ühele lehele, kuna see loetleb kõik tsoonid, nagu plokk, dmz, drop, väline, kodu, sisemine, avalik, usaldusväärne ja töö. Kui tsoonidel on rikkalikud reeglid, kuvatakse lubatud teenused või sadamad koos vastava tsooniteabega.
4. Kui soovite vaikevööndiks määrata sisemise, välise, langemis-, töö- või mõne muu tsooni, saate vaiketsooni määramiseks kasutada alltoodud käsku. Siin kasutame "sisemine”Tsoon vaikimisi.
# tulemüür-cmd-set-default-zone = sisemine.
5. Pärast tsooni seadistamist kontrollige vaiketsooni, kasutades alltoodud käsku.
# tulemüür-cmd-get-default-zone.
6. Siin on meie liides enp0s3, Kui peame kontrollima oma tsooni, kus liides on piiratud, saame kasutada allolevat käsku.
# tulemüür-cmd-get-zone-of-interface = enp0s3.
7. Teine tulemüüri huvitav omadus on "icmptype"On üks icmp tüüpi, mida toetab tulemüür. Toetatud icmp -tüüpide loendi saamiseks saame kasutada järgmist käsku.
# tulemüür-cmd --get-icmptypes.
8. Teenused on reeglite komplekt koos portide ja valikutega, mida kasutab tulemüür. Teenused, mis on lubatud, laaditakse automaatselt, kui Tulemüür teenus käivitatud.
Vaikimisi on saadaval palju teenuseid. Kõigi saadaolevate teenuste loendi saamiseks kasutage järgmist käsku.
# tulemüür-cmd-get-services.
9. Kõigi saadaolevate vaiketeenuste loendi vaatamiseks minge järgmisse kataloogi, siit leiate teenuste loendi.
# cd/usr/lib/tulemüür/services/
10. Oma teenuse loomiseks peate selle määratlema järgmises asukohas. Näiteks siin tahan lisada teenuse RTMP sadam 1935, tehke esmalt teenustest koopia.
# cd/etc/firewalld/services/ # cp /usr/lib/firewalld/services/ssh.xml/etc/firewalld/services/
Seejärel navigeerige asukohta, kus meie teenusefail kopeeriti, seejärel nimetage fail ümber "ssh.xml''rtmp.xml"Nagu on näidatud alloleval pildil.
# cd/etc/firewalld/services/
11. Järgmisena avage ja muutke faili nimega Rubriik, kirjeldus, protokoll ja pordi number, mida peame kasutama RTMP -teenuse jaoks, nagu on näidatud alloleval pildil.
12. Nende muudatuste aktiveerimiseks taaskäivitage tulemüüriteenus või laadige seaded uuesti.
# tulemüür-cmd-uuesti laadimine.
13. Teenuse lisamise või mitte kinnitamiseks käivitage allolev käsk saadaolevate teenuste loendi saamiseks.
# tulemüür-cmd-get-services.
14. Siin vaatame, kuidas tulemüüri hallata käsk tulemüüri-cmd. Tulemüüri ja kõigi aktiivsete tsoonide praeguse oleku teadasaamiseks tippige järgmine käsk.
# tulemüür-cmd-riik. # tulemüür-cmd-get-active-zone.
15. Liidese avaliku tsooni hankimiseks enp0s3, see on vaikeliides, mis on määratletud /etc/firewalld/firewalld.conf fail nagu DefaultZone = avalik.
Kõigi selles liidesetsoonis saadaolevate teenuste loetlemiseks.
# tulemüür-cmd-get-service.
16. Ülaltoodud näidetes oleme näinud, kuidas luua oma teenuseid, luues rtmp teenus, siin näeme, kuidas lisada rtmp teenindada ka tsooni.
# tulemüür-cmd --add-service = rtmp.
17. Lisatud tsooni eemaldamiseks tippige.
# tulemüür-cmd-tsoon = avalik-eemaldamine-teenus = rtmp.
Ülaltoodud samm oli ainult ajutine. Selle püsivaks muutmiseks peame käivitama alloleva käsu koos valikuga - alaline.
# tulemüür-cmd-lisage teenus = rtmp-püsiv. # tulemüür-cmd-uuesti laadimine.
18. Määratlege võrguallika vahemiku reeglid ja avage mõni port. Näiteks kui soovite võrguulatust avada, öelge:192.168.0.0/24"Ja sadam"1935"Kasutage järgmisi käske.
# tulemüür-cmd --permanent --add-source = 192.168.0.0/24. # tulemüür-cmd --permanent --add-port = 1935/tcp.
Pärast teenuste või portide lisamist või eemaldamist laadige kindlasti tulemüüriteenus uuesti.
# tulemüür-cmd-uuesti laadimine # tulemüür-cmd-nimekiri-kõik.
19. Kui soovin lubada selliseid teenuseid nagu http, https, vnc-server, PostgreSQL, kasutage järgmisi reegleid. Esiteks lisage reegel ja muutke see püsivaks ning laadige reeglid uuesti ja kontrollige olekut.
# tulemüüri-cmd-lisage-rikas-reegli 'reeglite perekond = "ipv4" lähteaadress = "192.168.0.0/24" teenuse nimi = "http" nõustuge = "ipv4" allikas address = "192.168.0.0/24" teenuse nimi = "http" nõustu "-püsiv # tulemüür-cmd-lisage-rikas-reegel 'reeglite perekond =" ipv4 "allika aadress =" 192.168.0.0/24 "teenuse nimi = "https" vastu võtma ' # firewall-cmd --add-rich-rule 'rule family = "ipv4" allika aadress = "192.168.0.0/24" teenuse nimi = "https" nõustu " --permanent # firewall-cmd --add-rich-rule 'rule family = "ipv4" allika aadress = "192.168.0.0/24" teenuse nimi = "vnc-server" vastu võtma ' # firewall-cmd --add-rich-rule 'reeglite perekond = "ipv4" allika aadress = "192.168.0.0/24" teenuse nimi = "vnc-server" aktsepteeri' --permanent # firewall-cmd --add-rich-rule 'rule family = "ipv4" allika aadress = "192.168.0.0/24" teenuse nimi = "postgresql" vastu võtma ' # firewall-cmd --add-rich-rule 'reeglite perekond = "ipv4" allika aadress = "192.168.0.0/24" teenuse nimi = "postgresql" nõustu'-püsiv.
Nüüd võrgu vahemik 192.168.0.0/24 saab kasutada ülaltoodud teenust minu serverist. Valik - alaline saab kasutada igas reeglis, kuid peame reegli määratlema ja pärast seda kliendi juurdepääsuga kontrollima, et muuta see püsivaks.
20. Pärast ülaltoodud reeglite lisamist ärge unustage tulemüüri reegleid uuesti laadida ja reeglid loetleda, kasutades järgmist.
# tulemüür-cmd-uuesti laadimine. # tulemüür-cmd-list-all.
Lisateavet tulemüüri kohta.
# mees tulemüür.
See on kõik, oleme näinud, kuidas võrgufiltrit Firewalld abil seadistada RHEL/CentOS ja Fedora.
Net-filter on tulemüüri raamistik iga Linuxi distributsiooni jaoks. Igasse tagasi RHEL ja CentOS väljaandeid, kasutasime iptables kuid uuemates versioonides on nad kasutusele võtnud Tulemüür. Tulemüüri on lihtsam mõista ja kasutada. Loodan, et teile meeldis kirjutamine.