Ugunsmūris nodrošina veidu, kā konfigurēt dinamiskus ugunsmūra noteikumus operētājsistēmā Linux, kurus var lietot uzreiz, bez tiem ugunsmūra restartēšanas nepieciešamība, kā arī tas atbalsta D-BUS un zonas koncepcijas, kas padara konfigurāciju viegli.
Ugunsmūris nomainīja veco Fedora ugunsmūri (Fedora 18 uz priekšu) mehānisms, RHEL/CentOS 7 un citi jaunākie izplatījumi balstās uz šo jauno mehānismu. Viens no lielākajiem jaunās ugunsmūra sistēmas ieviešanas motīviem ir tas, ka vecajam ugunsmūrim pēc katras izmaiņas ir jārestartē, tādējādi pārtraucot visus aktīvos savienojumus. Kā minēts iepriekš, jaunākais ugunsmūris atbalsta dinamiskās zonas, kas ir noderīgas konfigurēšanā atšķirīgs zonu un noteikumu komplekts jūsu birojam vai mājas tīklam, izmantojot komandrindu vai izmantojot GUI metode.
Sākotnēji ugunsmūra koncepciju ir ļoti grūti konfigurēt, taču pakalpojumi un zonas to atvieglo, saglabājot abus kopā, kā aprakstīts šajā rakstā.
Iepriekšējā rakstā, kur mēs esam redzējuši, kā spēlēt ar ugunsmūri un tā zonām, tagad šeit, šajā rakstā mēs redzēsim dažus noderīgus ugunsmūra noteikumus, lai konfigurētu pašreizējās Linux sistēmas, izmantojot komandrindu veidā.
Visi šajā rakstā apskatītie piemēri ir praktiski pārbaudīti CentOS 7 izplatīšanu, kā arī strādā pie RHEL un Fedora izplatīšanas.
Pirms ugunsmūra noteikumu ieviešanas noteikti pārbaudiet, vai ugunsmūra pakalpojums ir iespējots un darbojas.
# systemctl statusa ugunsmūris.
Iepriekš redzamajā attēlā redzams, ka ugunsmūris ir aktīvs un darbojas. Tagad ir pienācis laiks pārbaudīt visas aktīvās zonas un aktīvos pakalpojumus.
# firewall-cmd-get-active-zone. # firewall-cmd-get-services.
Ja tā ir, jūs neesat pazīstams ar komandrindu, varat arī pārvaldīt ugunsmūri no GUI šajā gadījumā jums ir jāinstalē GUI pakotne, ja tā nav instalēta, izmantojot tālāk norādīto komandu.
# yum instalējiet ugunsmūra ugunsmūra konfigurāciju.
Kā minēts iepriekš, šis raksts ir īpaši rakstīts komandrindas mīļotājiem, un visi piemēri, kurus mēs apskatīsim, ir balstīti tikai uz komandrindu, bez GUI veida... atvainojiet… ..
Pirms turpināt, vispirms pārliecinieties, vai esat apstiprinājis, kurā publiskajā zonā konfigurēsit Linux ugunsmūri, un uzskaitiet visus aktīvos pakalpojumus, ostas, bagātīgās publiskās zonas noteikumus, izmantojot šo komandu.
# firewall-cmd --zone = public-list-all.
Iepriekš redzamajā attēlā vēl nav pievienoti aktīvi noteikumi, redzēsim, kā pievienot, noņemt un modificēt kārtulas šī raksta atlikušajā daļā….
Lai atvērtu jebkuru publiskās zonas ostu, izmantojiet šo komandu. Piemēram, ar šādu komandu tiks atvērts 80 ports publiskajai zonai.
# firewall-cmd --permanent --zone = public --add-port = 80/tcp.
Līdzīgi, lai noņemtu pievienoto portu, vienkārši izmantojiet “- noņemtOpcija ar ugunsmūra komandu, kā parādīts zemāk.
# firewall-cmd --zone = public --remove-port = 80/tcp.
Pēc noteiktu portu pievienošanas vai noņemšanas pārliecinieties, vai ports ir pievienots vai noņemts, izmantojot “–Saraksta ostas'Variants.
# firewall-cmd --zone = public --list-ports.
Pēc noklusējuma ugunsmūrim ir iepriekš definēti pakalpojumi, ja vēlaties pievienot konkrētu pakalpojumu sarakstu, jums ir jāizveido jauns xml failu ar visiem failā iekļautajiem pakalpojumiem, vai arī katru pakalpojumu varat definēt vai noņemt manuāli, izpildot tālāk norādīto komandas.
Piemēram, šādas komandas palīdzēs jums pievienot vai noņemt konkrētus pakalpojumus, kā mēs šajā piemērā darījām FTP.
# firewall-cmd --zone = public --add-service = ftp. # firewall-cmd --zone = public --remove-service = ftp. # firewall-cmd --zone = public --list-services.
Ja vēlaties bloķēt ienākošos vai izejošos savienojumus, izmantojiet “panika“Režīms, lai bloķētu šādus pieprasījumus. Piemēram, ar šo kārtulu tiks atcelts jebkurš sistēmā izveidotais savienojums.
# firewall-cmd --panic-on.
Pēc panikas režīma iespējošanas mēģiniet pingēt jebkuru domēnu (teiksim google.com) un pārbaudiet, vai ir panikas režīms IESLĒGTS izmantojot '-vaicājumu panika'Opcija, kā norādīts zemāk.
# ping google.com -c 1. # ugunsmūris-cmd-vaicājumu panika.
Vai iepriekš redzamajā attēlā redzat panikas vaicājumu “Nezināms saimniekdators google.com“. Tagad mēģiniet atspējot panikas režīmu un pēc tam vēlreiz ping un pārbaudiet.
# ugunsmūris-cmd-vaicājumu panika. # ugunsmūris-cmd-panic-off. # ping google.com -c 1.
Šoreiz no google.com tiks nosūtīts ping pieprasījums.