Articles

Kuinka luoda palomuuri käyttäen FirewallD CentOS 7

admin

Johdanto

Firewalld on monille Linux-jakeluille saatavilla oleva palomuurinhallintaratkaisu, joka toimii Linux-ytimen tarjoaman iptables-pakettisuodatusjärjestelmän etuohjelmana. Tässä oppaassa käsitellään palomuurin luomista palvelimellesi ja näytetään palomuurin hallinnan perusteet firewall-cmd hallinnollisella työkalulla (jos haluat mieluummin käyttää iptables CentOS: ia, seuraa tätä opasta).

Huom.: On mahdollista, että käytät uudempaa firewalld-versiota kuin oli saatavilla tätä kirjoitettaessa, tai että palvelimesi on perustettu hieman eri tavalla kuin tässä oppaassa käytetty esimerkkipalvelin. Näin joidenkin tässä oppaassa selitettyjen komentojen käyttäytyminen voi vaihdella riippuen asetuksistasi.

peruskäsitteet Firewalldissa

ennen kuin alamme puhua siitä, miten itse asiassa käyttää firewall-cmd – apuohjelmaa palomuurikokoonpanon hallintaan, meidän pitäisi tutustua muutamiin peruskäsitteisiin, jotka työkalu esittelee.

Zones

firewalld daemon hallinnoi sääntöryhmiä käyttäen ”zones” – nimisiä entiteettejä. Vyöhykkeet ovat periaatteessa sääntökokonaisuuksia, joissa määrätään, mitä liikennettä on sallittava riippuen siitä, kuinka paljon luotat verkkoihin, joihin tietokoneesi on yhteydessä. Verkkoliittymille on määritetty vyöhyke, joka sanelee palomuurin salliman käyttäytymisen.

tietokoneissa, jotka saattavat liikkua usein verkkojen välillä (kuten kannettavat tietokoneet), tällainen joustavuus tarjoaa hyvän tavan muuttaa sääntöjä ympäristön mukaan. Sinulla saattaa olla tiukat säännöt, jotka kieltävät suurimman osan liikenteestä, kun toimit julkisessa WiFi-verkossa, ja sallivat rennommat rajoitukset, kun olet yhteydessä kotiverkkoon. Palvelimelle nämä alueet eivät ole yhtä välittömästi tärkeitä, koska Verkkoympäristö muuttuu harvoin, jos koskaan.

riippumatta siitä, kuinka dynaaminen verkkoympäristösi voi olla, on silti hyödyllistä tuntea kunkin ennalta määritellyn alueen yleinen ajatus firewalld: lle. firewalld ennalta määritellyt alueet ovat järjestyksessä vähiten luotetuista luotettavimpiin:

  • pudota: Alhaisin luottamustaso. Kaikki saapuvat yhteydet pudotetaan ilman vastausta ja vain lähtevät yhteydet ovat mahdollisia.
  • block: samanlainen kuin edellä, mutta pelkän yhteyksien pudottamisen sijaan saapuvat pyynnöt hylätään icmp-host-prohibited tai icmp6-adm-prohibited – viestillä.
  • Julkinen: edustaa julkisia, epäluotettavia verkkoja. Et luota muihin tietokoneisiin, mutta voit sallia valitut saapuvat yhteydet tapauskohtaisesti.
  • ulkoinen: ulkoiset verkot, jos käytät palomuuria yhdyskäytävänä. Se on määritetty Nat naamioitumaan niin, että sisäinen verkko pysyy yksityisenä, mutta tavoitettavissa.
  • sisäinen: ulkovyöhykkeen toinen puoli, jota käytetään yhdyskäytävän sisäisenä osuutena. Tietokoneet ovat melko luotettavia ja joitakin lisäpalveluita on saatavilla.
  • dmz: käytetään DMZ: ssä sijaitseviin tietokoneisiin (erillisiin tietokoneisiin, joilla ei ole pääsyä muuhun verkkoon). Vain tietyt saapuvat yhteydet ovat sallittuja.
  • työ: käytetään työkoneissa. Luota useimpiin verkon tietokoneisiin. Muutama lisäpalvelu saatetaan sallia.
  • koti: kotiympäristö. Se tarkoittaa yleensä, että luotat useimpiin muihin tietokoneisiin ja että muutama muu palvelu hyväksytään.
  • luotettu: luota kaikkiin verkon koneisiin. Tarjolla olevista vaihtoehdoista avoimin ja niitä tulisi käyttää säästeliäästi.

käyttääksemme palomuuria voimme luoda sääntöjä ja muuttaa vyöhykkeidemme ominaisuuksia ja sitten määrittää verkkoliittymämme niille alueille, jotka ovat tarkoituksenmukaisimpia.

säännön pysyvyys

firewalldissa säännöt voidaan määritellä joko pysyviksi tai välittömiksi. Jos sääntöä lisätään tai muokataan, oletuksena, käynnissä olevan palomuurin käyttäytymistä muutetaan. Seuraavassa lähdössä vanhat säännöt palautuvat.

useimmissa firewall-cmd operaatioissa voidaan käyttää --permanent – lippua osoittamaan, että ei-hetkellinen palomuuri on kohdistettava. Tämä vaikuttaa sääntöjoukkoon, joka ladataan uudelleen käynnistyksen yhteydessä. Tämä erottaminen tarkoittaa, että voit testata sääntöjä aktiivisen palomuurin tapauksessa ja lataa sitten, jos ongelmia. Voit myös käyttää --permanent – lippua rakentaaksesi kokonaisen sääntöjoukon ajan kuluessa, jota kaikkia sovelletaan kerralla, kun reload-komento annetaan.

Asenna ja ota palomuuri käyttöön käynnistyksessä

firewalld on asennettu oletusarvoisesti joihinkin Linux-jakeluihin, kuten moniin CentOS 7: n kuviin. Saatat kuitenkin joutua asentamaan firewalldin itse:

  • sudo yum install firewalld

kun olet asentanut firewalld, voit ottaa palvelun käyttöön ja käynnistää palvelimen uudelleen. Muista, että firewalldin käyttöönotto aiheuttaa Palvelun käynnistymisen käynnistyksen yhteydessä. On parasta luoda palomuurisäännöt ja käyttää tilaisuutta testata niitä ennen tämän käyttäytymisen määrittämistä mahdollisten ongelmien välttämiseksi.

     
  • sudo systemctl enable firewalld
    •  
  • sudo reboot
    •

kun palvelin käynnistyy uudelleen, palomuurisi tulee ottaa esiin, verkkoliittymäsi tulee sijoittaa määrittämiisi vyöhykkeisiin (tai palata määritettyyn oletusvyöhykkeeseen) ja kaikkia vyöhykkeisiin liittyviä sääntöjä sovelletaan niihin liittyviin rajapintoihin.

voimme tarkistaa, että palvelu on käynnissä ja saavutettavissa kirjoittamalla:

  • sudo firewall-cmd --state
output
running

tämä osoittaa, että palomuurimme on käytössä oletusasetuksilla.

tutustutaan nykyisiin Palomuurisääntöihin

ennen kuin aletaan tehdä muutoksia, kannattaa tutustua taustaprosessin oletusympäristöön ja sääntöihin.

tutkimalla oletuksia

voimme nähdä, mikä alue on tällä hetkellä valittu oletukseksi kirjoittamalla:

  • firewall-cmd --get-default-zone
output
public

koska emme ole antaneet firewalld mitään komentoja poikkeamaan oletusvyöhykkeestä, eikä yhtäkään rajapintaamme ole määritetty sitoutumaan toiseen vyöhykkeeseen, kyseinen vyöhyke on myös ainoa ”aktiivinen” vyöhyke (vyöhyke, joka ohjaa rajapintojemme liikennettä). Voimme varmistaa sen kirjoittamalla:

  • firewall-cmd --get-active-zones
output
public interfaces: eth0 eth1

Tässä näkyy, että esimerkkipalvelimessamme on kaksi verkkoliitäntää, joita palomuuri ohjaa (eth0 ja eth1). Molempia hoidetaan tällä hetkellä yleisövyöhykkeelle määriteltyjen sääntöjen mukaan.

Mistä tiedämme, mitä sääntöjä julkiseen vyöhykkeeseen kuitenkin liittyy? Voimme tulostaa oletusalueen asetukset kirjoittamalla:

  • sudo firewall-cmd --list-all
output
public (default, active) target: default icmp-block-inversion: no interfaces: eth0 eth1 sources: services: ssh dhcpv6-client ports: protocols: masquerade: no forward-ports: source-ports: icmp-blocks: rich rules:

tulosteesta voi päätellä, että tämä vyöhyke on sekä oletus-että aktiivivyöhyke ja että eth0 ja eth1 rajapinnat liittyvät tähän vyöhykkeeseen (tiesimme tämän jo aiemmista kyselyistämme). Kuitenkin, voimme myös nähdä, että tämä alue mahdollistaa normaalin toiminnan liittyvät DHCP client (IP-osoitteen jakaminen) ja SSH (etähallinta).

vaihtoehtoisten vyöhykkeiden tutkiminen

nyt meillä on hyvä käsitys oletus-ja aktiivivyöhykkeen konfiguraatiosta. Voimme selvittää tietoa myös muista vyöhykkeistä.

saadaksesi luettelon käytettävissä olevista alueista, Kirjoita:

  • firewall-cmd --get-zones
output
block dmz drop external home internal public trusted work

voimme nähdä alueeseen liittyvän tietyn konfiguraation sisällyttämällä --zone= – parametrin --list-all – komentoomme:

  • sudo firewall-cmd --zone=home --list-all
output
home interfaces: sources: services: dhcpv6-client ipp-client mdns samba-client ssh ports: masquerade: no forward-ports: icmp-blocks: rich rules:

voit tulostaa kaikki alueen määritelmät käyttämällä --list-all-zones – asetusta. Haluat luultavasti putkittaa tuotoksen hakulaitteeseen, jotta se on helpompi katsella.:

  • sudo firewall-cmd --list-all-zones | less

valitsemalla vyöhykkeet Rajapinnoillesi

ellet ole määrittänyt verkkoliittymiäsi muulla tavoin, jokainen käyttöliittymä asetetaan oletusvyöhykkeelle, kun palomuuri käynnistetään.

liittymän vyöhykkeen muuttaminen

voit siirtää liittymän vyöhykkeiden välillä istunnon aikana käyttämällä --zone= – parametria yhdessä --change-interface= – parametrin kanssa. Kuten kaikissa palomuuria muokkaavissa komennoissa, sinun on käytettävä sudo.

esimerkiksi eth0 rajapinnan voi siirtää ”koti” – vyöhykkeelle kirjoittamalla tämän:

  • sudo firewall-cmd --zone=home --change-interface=eth0
output
success
huomaa

aina kun siirrät rajapintaa uudelle alueelle, muista, että todennäköisesti muutat toimivia palveluita. Esimerkiksi, täällä olemme siirtymässä ”koti” vyöhyke, joka on SSH saatavilla. Tämä tarkoittaa, että yhteytemme ei pitäisi katketa. Joillakin muilla alueilla SSH ei ole oletusarvoisesti käytössä, ja jos yhteytesi katkeaa, kun käytät jotakin näistä alueista, saatat huomata, ettet pysty kirjautumaan takaisin sisään.

voimme varmistaa, että tämä onnistui kysymällä aktiivisia vyöhykkeitä uudelleen:

  • firewall-cmd --get-active-zones
output
home interfaces: eth0public interfaces: eth1

Oletusalueen

säätäminen jos kaikki käyttöliittymäsi voidaan parhaiten käsitellä yhdellä vyöhykkeellä, on luultavasti helpompaa vain valita paras oletusalue ja käyttää sitä sitten asetuksissasi.

voit muuttaa oletusvyöhykettä parametrilla --set-default-zone=. Tämä muuttaa välittömästi minkä tahansa käyttöliittymän, joka oli laskenut takaisin oletuksena uuden vyöhykkeen:

  • sudo firewall-cmd --set-default-zone=home 
output
success

sääntöjen asettaminen sovelluksillesi

perustapa palomuuripoikkeusten määrittelyyn niille palveluille, jotka haluat asettaa saataville, on helppo. Käymme perusidean läpi tässä.

palvelun lisääminen vyöhykkeille

helpoin tapa on lisätä käyttämiisi vyöhykkeisiin tarvitsemasi palvelut tai portit. Jälleen, voit saada listan saatavilla olevista palveluista --get-services – valinnalla:

  • firewall-cmd --get-services
output
RH-Satellite-6 amanda-client amanda-k5-client bacula bacula-client bitcoin bitcoin-rpc bitcoin-testnet bitcoin-testnet-rpc ceph ceph-mon cfengine condor-collector ctdb dhcp dhcpv6 dhcpv6-client dns docker-registry dropbox-lansync elasticsearch freeipa-ldap freeipa-ldaps freeipa-replication freeipa-trust ftp ganglia-client ganglia-master high-availability http https imap imaps ipp ipp-client ipsec iscsi-target kadmin kerberos kibana klogin kpasswd kshell ldap ldaps libvirt libvirt-tls managesieve mdns mosh mountd ms-wbt mssql mysql nfs nrpe ntp openvpn ovirt-imageio ovirt-storageconsole ovirt-vmconsole pmcd pmproxy pmwebapi pmwebapis pop3 pop3s postgresql privoxy proxy-dhcp ptp pulseaudio puppetmaster quassel radius rpc-bind rsh rsyncd samba samba-client sane sip sips smtp smtp-submission smtps snmp snmptrap spideroak-lansync squid ssh synergy syslog syslog-tls telnet tftp tftp-client tinc tor-socks transmission-client vdsm vnc-server wbem-https xmpp-bosh xmpp-client xmpp-local xmpp-server
Huomautus

voit saada lisätietoja näistä palveluista katsomalla niihin liittyvää .xml – tiedostoa /usr/lib/firewalld/services – hakemistossa. SSH-palvelu määritellään esimerkiksi näin:

/usr/lib/firewalld/services / ssh.xml
<?xml version="1.0" encoding="utf-8"?><service> <short>SSH</short> <description>Secure Shell (SSH) is a protocol for logging into and executing commands on remote machines. It provides secure encrypted communications. If you plan on accessing your machine remotely via SSH over a firewalled interface, enable this option. You need the openssh-server package installed for this option to be useful.</description> <port protocol="tcp" port="22"/></service>

voit ottaa käyttöön alueen palvelun parametrin --add-service= avulla. Toiminto kohdistuu oletusvyöhykkeeseen tai mihin tahansa muuttujassa --zone= määriteltyyn vyöhykkeeseen. Oletusarvoisesti tämä säätää vain nykyistä palomuuristuntoa. Voit säätää pysyvän palomuurin asetuksia ottamalla mukaan --permanent – lipun.

esimerkiksi, jos käytössämme on tavanomaista HTTP-liikennettä palveleva WWW-palvelin, voimme sallia tämän liikenteen ”julkisella” vyöhykkeellämme tätä istuntoa varten kirjoittamalla:

  • sudo firewall-cmd --zone=public --add-service=http

voit jättää --zone= pois, jos haluat muuttaa oletusvyöhykettä. Voimme varmistaa operaation onnistumisen käyttämällä --list-all tai --list-services operaatioita:

  • sudo firewall-cmd --zone=public --list-services
output
dhcpv6-client http ssh

kun olet testannut, että kaikki toimii kuten pitääkin, haluat todennäköisesti muokata pysyviä palomuurisääntöjä niin, että palvelusi on edelleen käytettävissä uudelleenkäynnistyksen jälkeen. Voimme tehdä” julkinen ” alue muutos pysyvä kirjoittamalla:

  • sudo firewall-cmd --zone=public --permanent --add-service=http
output
success

voit varmistaa tämän onnistumisen lisäämällä --permanent – lipun --list-services – operaatioon. Sinun täytyy käyttää sudo mihin tahansa --permanent operaatioon:

  • sudo firewall-cmd --zone=public --permanent --list-services
output
dhcpv6-client http ssh

sinun ”Julkinen” vyöhyke sallii nyt HTTP – verkkoliikenteen porttiin 80. Jos www-palvelimesi on määritetty käyttämään SSL/TLS: ää, haluat myös lisätä https – palvelun. Voimme lisätä sen nykyiseen istuntoon ja pysyvään sääntöön kirjoittamalla:

     
  • sudo firewall-cmd --zone=public --add-service=https
    •  
  • sudo firewall-cmd --zone=public --permanent --add-service=https
    •

entä jos sopivaa palvelua ei ole saatavilla?

palomuuripalvelut, jotka sisältyvät firewalld-asennukseen, edustavat monia yleisimpiä vaatimuksia sovelluksille, joiden käyttöoikeus halutaan sallia. Kuitenkin, on todennäköisesti skenaarioita, joissa nämä palvelut eivät täytä vaatimuksia.

tässä tilanteessa on kaksi vaihtoehtoa.

portin avaaminen Vyöhykkeillesi

helpoin tapa lisätä tukea hakemuksellesi on avata portit, joita se käyttää kyseisillä vyöhykkeillä. Tämä on yhtä helppoa kuin määrittämällä portti tai portti alue, ja siihen liittyvän protokollan portit sinun täytyy avata.

esimerkiksi, jos sovelluksemme toimii portilla 5000 ja käyttää TCP: tä, voisimme lisätä tämän istunnon ”julkiseen” vyöhykkeeseen käyttämällä --add-port= – parametria. Protokollat voivat olla joko tcp tai udp:

  • sudo firewall-cmd --zone=public --add-port=5000/tcp
output
success

voimme varmistaa, että tämä onnistui --list-ports – operaatiolla:

  • sudo firewall-cmd --zone=public --list-ports
output
5000/tcp

on myös mahdollista määrittää peräkkäinen porttien valikoima erottamalla alueen alku-ja loppuportti viivalla. Esimerkiksi, jos sovelluksemme käyttää UDP-portteja 4990-4999, voisimme avata nämä ”Julkinen” kirjoittamalla:

  • sudo firewall-cmd --zone=public --add-port=4990-4999/udp

testauksen jälkeen haluaisimme todennäköisesti lisätä nämä pysyvään palomuuriin. Voit tehdä sen kirjoittamalla:

     
  • sudo firewall-cmd --zone=public --permanent --add-port=5000/tcp
    •  
  • sudo firewall-cmd --zone=public --permanent --add-port=4990-4999/udp
    •  
  • sudo firewall-cmd --zone=public --permanent --list-ports
    •  
output
successsuccess5000/tcp 4990-4999/udp

palvelun määrittely

porttien avaaminen omalle vyöhykkeelle on helppoa, mutta voi olla vaikeaa seurata, mitä varten kukin on. Jos joskus poistat palvelimeltasi palvelun, sinun voi olla vaikea muistaa, mitkä portit on vielä avattu. Tämän tilanteen välttämiseksi on mahdollista määritellä palvelu.

palvelut ovat yksinkertaisesti satamien kokoelmia, joihin liittyy nimi ja kuvaus. Palveluiden käyttäminen on helpompaa kuin porttien hallinnointi, mutta vaatii hieman etukäteistyötä. Helpoin tapa aloittaa on kopioida olemassa oleva skripti (löytyy /usr/lib/firewalld/services) /etc/firewalld/services -hakemistoon, jossa palomuuri etsii epätyypillisiä määritelmiä.

voisimme esimerkiksi kopioida SSH-palvelumääritelmän käyttääksemme ”esimerkkipalvelumääritelmäämme” näin. Tiedostonimi miinus .xml – pääte määrää palvelun nimen palomuuripalvelujen luettelossa:

  • sudo cp /usr/lib/firewalld/services/ssh.xml /etc/firewalld/services/example.xml

Nyt, voit säätää määritelmä löytyy tiedoston kopioinut:

sudo vi /etc/firewalld/services/example.xml

aloittaaksesi tiedosto sisältää kopioimasi SSH-määritelmän:

/etc/firewalld/services / example.xml
<?xml version="1.0" encoding="utf-8"?><service> <short>SSH</short> <description>Secure Shell (SSH) is a protocol for logging into and executing commands on remote machines. It provides secure encrypted communications. If you plan on accessing your machine remotely via SSH over a firewalled interface, enable this option. You need the openssh-server package installed for this option to be useful.</description> <port protocol="tcp" port="22"/></service>

suurin osa tästä määritelmästä on todellisuudessa metatietoa. Haluat muuttaa Palvelun lyhyen nimen <short> – tagien sisällä. Tämä on ihmisen luettavissa oleva nimi palvelullesi. Sinun pitäisi myös lisätä kuvaus niin, että sinulla on enemmän tietoa, Jos joskus tarvitse tarkastaa palvelun. Ainoa konfiguraatio, joka todella vaikuttaa palvelun toimivuuteen, on todennäköisesti portin määrittely, jossa tunnistat portin numeron ja protokollan, jonka haluat avata. Tämä voidaan määrittää useita kertoja.

”esimerkkipalvelussamme” kuvitellaan, että meidän on avattava portti 7777 TCP: lle ja 8888 UDP: lle. Kun siirrymme INSERT-tilaan painamalla i, voimme muuttaa olemassa olevaa määritelmää näin:

/etc/firewalld/services/example.xml
<?xml version="1.0" encoding="utf-8"?><service> <short>Example Service</short> <description>This is just an example service. It probably shouldn't be used on a real system.</description> <port protocol="tcp" port="7777"/> <port protocol="udp" port="8888"/></service>

paina ESC ja kirjoita sitten :x tallentaaksesi ja sulkeaksesi tiedoston.

Lataa palomuurisi uudelleen saadaksesi pääsyn uuteen palveluusi:

  • sudo firewall-cmd --reload

voit nähdä, että se on nyt yksi luettelo saatavilla olevista palveluista:

  • firewall-cmd --get-services
output
RH-Satellite-6 amanda-client amanda-k5-client bacula bacula-client bitcoin bitcoin-rpc bitcoin-testnet bitcoin-testnet-rpc ceph ceph-mon cfengine condor-collector ctdb dhcp dhcpv6 dhcpv6-client dns docker-registry dropbox-lansync elasticsearch example freeipa-ldap freeipa-ldaps freeipa-replication freeipa-trust ftp ganglia-client ganglia-master high-availability http https imap imaps ipp ipp-client ipsec iscsi-target kadmin kerberos kibana klogin kpasswd kshell ldap ldaps libvirt libvirt-tls managesieve mdns mosh mountd ms-wbt mssql mysql nfs nrpe ntp openvpn ovirt-imageio ovirt-storageconsole ovirt-vmconsole pmcd pmproxy pmwebapi pmwebapis pop3 pop3s postgresql privoxy proxy-dhcp ptp pulseaudio puppetmaster quassel radius rpc-bind rsh rsyncd samba samba-client sane sip sips smtp smtp-submission smtps snmp snmptrap spideroak-lansync squid ssh synergy syslog syslog-tls telnet tftp tftp-client tinc tor-socks transmission-client vdsm vnc-server wbem-https xmpp-bosh xmpp-client xmpp-local xmpp-server

voit nyt käyttää tätä palvelua alueillasi normaalisti.

omien vyöhykkeiden luominen

vaikka ennalta määritellyt vyöhykkeet lienevät useimmille käyttäjille enemmän kuin tarpeeksi, voi olla hyödyllistä määritellä omat vyöhykkeet, jotka kuvaavat paremmin niiden toimintaa.

esimerkiksi web-palvelimellesi kannattaa luoda vyöhyke nimeltä ”publicweb”. Kuitenkin, saatat haluta olla toinen alue määritetty DNS palvelun annat omassa verkossa. Sitä varten tarvitaan ”privathns” – niminen alue.

kun lisäät alueen, sinun on lisättävä se pysyvään palomuurikokoonpanoon. Voit sitten ladata uudelleen ja tuoda asetukset käynnissä olevaan istuntoon. Esimerkiksi, voisimme luoda kaksi aluetta käsittelimme edellä kirjoittamalla:

     
  • sudo firewall-cmd --permanent --new-zone=publicweb
    •  
  • sudo firewall-cmd --permanent --new-zone=privateDNS
    •

voit tarkistaa, että nämä ovat läsnä pysyvässä kokoonpanossasi kirjoittamalla:

  • sudo firewall-cmd --permanent --get-zones
output
block dmz drop external home internal privateDNS public publicweb trusted work

kuten aiemmin todettiin, nämä eivät ole saatavilla nykyisessä palomuurin tapauksessa vielä:

  • firewall-cmd --get-zones
output
block dmz drop external home internal public trusted work

Lataa palomuuri uudelleen saadaksesi nämä uudet alueet aktiiviseen asetukseen:

     
  • sudo firewall-cmd --reload
    •  
  • firewall-cmd --get-zones
    •  
output
block dmz drop external home internal privateDNS public publicweb trusted work

nyt, voit aloittaa määrittämällä asianmukaiset palvelut ja satamat Oman alueilla. Se on yleensä hyvä idea säätää aktiivisen esiintymän ja sitten siirtää nämä muutokset pysyvään kokoonpanoon testauksen jälkeen. Esimerkiksi ”publicweb” – vyöhykkeelle kannattaa lisätä SSH -, HTTP-ja HTTPS-palvelut:

     
  • sudo firewall-cmd --zone=publicweb --add-service=ssh
    •  
  • sudo firewall-cmd --zone=publicweb --add-service=http
    •  
  • sudo firewall-cmd --zone=publicweb --add-service=https
    •  
  • sudo firewall-cmd --zone=publicweb --list-all
    •  
output
publicweb target: default icmp-block-inversion: no interfaces: sources: services: ssh http https ports: protocols: masquerade: no forward-ports: source-ports: icmp-blocks: rich rules:

samoin, voimme lisätä DNS palvelu meidän ”privateDNS” vyöhyke:

     
  • sudo firewall-cmd --zone=privateDNS --add-service=dns
    •  
  • sudo firewall-cmd --zone=privateDNS --list-all
    •  
output
privateDNS interfaces: sources: services: dns ports: masquerade: no forward-ports: icmp-blocks: rich rules:

voisimme sitten muuttaa liittymiämme näille uusille vyöhykkeille testataksemme niitä.:

     
  • sudo firewall-cmd --zone=publicweb --change-interface=eth0
    •  
  • sudo firewall-cmd --zone=privateDNS --change-interface=eth1
    •

tässä vaiheessa sinulla on mahdollisuus testata kokoonpanoasi. Jos nämä arvot toimivat sinulle, haluat lisätä samat säännöt pysyvään kokoonpanoon. Voit tehdä sen soveltamalla sääntöjä uudelleen --permanent – lipulla:

     
  • sudo firewall-cmd --zone=publicweb --permanent --add-service=ssh
    •  
  • sudo firewall-cmd --zone=publicweb --permanent --add-service=http
    •  
  • sudo firewall-cmd --zone=publicweb --permanent --add-service=https
    •  
  • sudo firewall-cmd --zone=privateDNS --permanent --add-service=dns
    •

kun olet soveltanut näitä sääntöjäsi pysyvästi, voit käynnistää verkon uudelleen ja ladata palomuuripalvelusi uudelleen:

     
  • sudo systemctl restart network
    •  
  • sudo systemctl reload firewalld
    •

validoi, että oikeat alueet annettiin:

  • firewall-cmd --get-active-zones
output
privateDNS interfaces: eth1publicweb interfaces: eth0

ja vahvistaa, että asianmukaiset palvelut ovat saatavilla molemmille vyöhykkeille:

  • sudo firewall-cmd --zone=publicweb --list-services
output
http https ssh
  • sudo firewall-cmd --zone=privateDNS --list-services
output
dns

olette onnistuneesti perustaneet omat vyöhykkeenne! Jos haluat tehdä jonkin näistä alueista muiden rajapintojen oletukseksi, muista määrittää tämä käyttäytyminen parametrilla --set-default-zone= :

sudo firewall-cmd --set-default-zone=publicweb

johtopäätös

sinulla pitäisi nyt olla melko hyvä käsitys siitä, miten firewalld-palvelua annetaan CentOS-järjestelmässäsi päivittäisessä käytössä.

firewalld-palvelun avulla voit määrittää ylläpidettäviä sääntöjä ja sääntökokonaisuuksia, jotka ottavat huomioon verkkoympäristösi. Sen avulla voit siirtyä saumattomasti eri palomuurikäytäntöjen välillä vyöhykkeiden avulla ja antaa ylläpitäjille mahdollisuuden abstrahoida porttien hallinta ystävällisempiin palvelumäärityksiin. Hankkimalla työ tietoa tämän järjestelmän avulla voit hyödyntää joustavuutta ja voimaa, että tämä työkalu tarjoaa.

Vastaa

Sähköpostiosoitettasi ei julkaista.

Previous post Cefalu, Italia: Täydellinen opas Sisilian rantakaupunkiin
Next post Mystery illallinen ideoita Menu kohteita