Hoe een Firewall in te stellen met FirewallD op CentOS 7

Inleiding

Firewalld is een firewall management oplossing beschikbaar voor veel Linux distributies die fungeert als een frontend voor het iptables packet filtering systeem geleverd door de Linux kernel. In deze handleiding gaan we in op het instellen van een firewall voor uw server en laten we u de basisprincipes zien van het beheren van de firewall met het beheerprogramma firewall-cmd (als u liever iptables gebruikt met CentOS, volg dan deze handleiding).

Noot: Er is een kans dat u werkt met een nieuwere versie van firewalld dan beschikbaar was op het moment van dit schrijven, of dat uw server iets anders is ingesteld dan de voorbeeldserver die in deze gids wordt gebruikt. Het gedrag van sommige van de commando ‘ s die in deze handleiding worden uitgelegd, kan dus variëren afhankelijk van uw specifieke configuratie.

basisconcepten in Firewalld

voordat we beginnen te praten over hoe we het firewall-cmd hulpprogramma daadwerkelijk kunnen gebruiken om uw firewall configuratie te beheren, moeten we vertrouwd raken met een paar basisconcepten die het hulpprogramma introduceert.

Zones

de firewalld daemon beheert groepen regels met behulp van entiteiten genaamd “zones”. Zones zijn in principe sets van regels dicteren welk verkeer moet worden toegestaan, afhankelijk van het niveau van vertrouwen u hebt in de netwerken van uw computer is aangesloten. Netwerkinterfaces krijgen een zone toegewezen om het gedrag te bepalen dat de firewall moet toestaan.

voor computers die vaak tussen netwerken kunnen bewegen (zoals laptops), biedt dit soort flexibiliteit een goede methode om uw regels te wijzigen afhankelijk van uw omgeving. U kunt strenge regels hebben die het meeste verkeer verbieden wanneer u op een openbaar WiFi-netwerk werkt, terwijl u meer ontspannen beperkingen toestaat wanneer u verbinding maakt met uw thuisnetwerk. Voor een server zijn deze zones niet zo direct belangrijk omdat de netwerkomgeving zelden of nooit verandert.

ongeacht hoe dynamisch uw netwerkomgeving kan zijn, is het nog steeds nuttig om vertrouwd te zijn met het algemene idee achter elk van de vooraf gedefinieerde zones voor firewalld. In volgorde van minst vertrouwd naar meest vertrouwd, zijn de vooraf gedefinieerde zones binnen firewalld :

drop: Het laagste niveau van vertrouwen. Alle inkomende verbindingen worden verwijderd zonder antwoord en alleen uitgaande verbindingen zijn mogelijk.
blok: vergelijkbaar met het bovenstaande, maar in plaats van gewoon verbindingen te laten vallen, worden binnenkomende verzoeken afgewezen met een icmp-host-prohibited of icmp6-adm-prohibited bericht.
publiek: vertegenwoordigt publieke, niet-vertrouwde netwerken. U vertrouwt andere computers niet, maar u kunt wel van geval tot geval geselecteerde inkomende verbindingen toestaan.
extern: externe netwerken in het geval dat u de firewall als uw gateway gebruikt. Het is geconfigureerd voor NAT masquerading zodat uw interne netwerk privé blijft, maar bereikbaar.
intern: de andere kant van de externe zone, gebruikt voor het interne gedeelte van een gateway. De computers zijn redelijk betrouwbaar en sommige extra diensten zijn beschikbaar.
dmz: wordt gebruikt voor computers in een DMZ (geïsoleerde computers die geen toegang hebben tot de rest van uw netwerk). Alleen bepaalde binnenkomende verbindingen zijn toegestaan.
werk: gebruikt voor machines. Vertrouw de meeste computers in het netwerk. Een paar meer diensten kunnen worden toegestaan.
thuis: een thuisomgeving. Het impliceert over het algemeen dat u de meeste andere computers vertrouwt en dat een paar meer diensten zullen worden geaccepteerd.
vertrouwd: vertrouw alle machines in het netwerk. De meest open van de beschikbare opties en moet spaarzaam worden gebruikt.

om de firewall te gebruiken, kunnen we regels maken en de eigenschappen van onze zones wijzigen en vervolgens onze netwerkinterfaces toewijzen aan de zones die het meest geschikt zijn.

Rule Permanence

in firewalld kunnen regels worden aangeduid als permanent of onmiddellijk. Als een regel wordt toegevoegd of gewijzigd, wordt standaard het gedrag van de momenteel actieve firewall gewijzigd. Bij de volgende opstart worden de oude regels teruggedraaid.

de meeste firewall-cmd operaties kunnen de --permanent vlag gebruiken om aan te geven dat de niet-kortstondige firewall moet worden gericht. Dit heeft invloed op de regelset die opnieuw geladen wordt bij het opstarten. Deze scheiding betekent dat je regels kunt testen in je actieve firewall instantie en vervolgens kunt herladen als er problemen zijn. U kunt ook de --permanent – vlag gebruiken om een hele reeks regels in de loop van de tijd op te bouwen die allemaal in één keer zullen worden toegepast wanneer het herlaadcommando wordt uitgegeven.

install and Enable Your Firewall to Start at Boot

firewalld is standaard geïnstalleerd op sommige Linux distributies, waaronder veel images van CentOS 7. Het kan echter nodig zijn dat u firewalld zelf installeert:

sudo yum install firewalld

nadat u firewalld hebt geïnstalleerd, kunt u de service inschakelen en uw server opnieuw opstarten. Houd er rekening mee dat het inschakelen van firewalld ervoor zal zorgen dat de service opstart tijdens het opstarten. Het is het beste om uw firewall regels te maken en de gelegenheid te gebruiken om ze te testen voordat u dit gedrag configureert om potentiële problemen te voorkomen.

 sudo systemctl enable firewalld
 sudo reboot

wanneer de server opnieuw wordt opgestart, moet uw firewall worden geopend, moeten uw netwerkinterfaces worden geplaatst in de zones die u hebt geconfigureerd (of terugvallen op de geconfigureerde standaardzone), en alle regels die zijn gekoppeld aan de zone(s) worden toegepast op de bijbehorende interfaces.

we kunnen controleren of de service draait en bereikbaar is door te typen:

sudo firewall-cmd --state

output
running

dit geeft aan dat onze firewall actief is met de standaard configuratie.

vertrouwd raken met de huidige Firewall regels

voordat we beginnen met het maken van wijzigingen, moeten we ons vertrouwd maken met de standaard omgeving en regels van de daemon.

de standaardwaarden

verkennen we kunnen zien welke zone momenteel als standaard is geselecteerd door te typen:

firewall-cmd --get-default-zone

output
public

omdat we firewalld geen commando ‘ s hebben gegeven om af te wijken van de standaard zone, en geen van onze interfaces is geconfigureerd om te binden aan een andere zone, zal die zone ook de Enige “Actieve” zone zijn (de zone die het verkeer Voor Onze interfaces regelt). We kunnen dat controleren door te typen:

firewall-cmd --get-active-zones

output
public interfaces: eth0 eth1

hier kunnen we zien dat onze voorbeeldserver twee netwerkinterfaces heeft die door de firewall worden bestuurd (eth0 en eth1). Beide worden momenteel beheerd volgens de regels die zijn vastgesteld voor de openbare zone.

hoe weten we echter welke regels geassocieerd zijn met de publieke zone? We kunnen de configuratie van de standaardzone afdrukken door te typen:

sudo firewall-cmd --list-all

output
public (default, active) target: default icmp-block-inversion: no interfaces: eth0 eth1 sources: services: ssh dhcpv6-client ports: protocols: masquerade: no forward-ports: source-ports: icmp-blocks: rich rules:

we kunnen aan de uitvoer zien dat deze zone zowel de standaard als actief is en dat de eth0 en eth1 interfaces geassocieerd zijn met deze zone (we wisten dit al van onze eerdere onderzoeken). We kunnen echter ook zien dat deze zone de normale bewerkingen mogelijk maakt die zijn gekoppeld aan een DHCP-client (voor IP-adrestoewijzing) en SSH (voor extern beheer).

het verkennen van alternatieve Zones

nu hebben we een goed idee over de configuratie voor de standaard en actieve zone. We kunnen ook informatie vinden over andere zones.

om een lijst van de beschikbare zones te krijgen, typt u:

firewall-cmd --get-zones

output
block dmz drop external home internal public trusted work

we kunnen de specifieke configuratie zien die geassocieerd is met een zone door de parameter --zone= op te nemen in ons --list-all Commando:

sudo firewall-cmd --zone=home --list-all

output
home interfaces: sources: services: dhcpv6-client ipp-client mdns samba-client ssh ports: masquerade: no forward-ports: icmp-blocks: rich rules:

u kunt alle zonedefinities uitvoeren met de optie --list-all-zones. U zult waarschijnlijk willen pijp de uitvoer in een pager voor gemakkelijker bekijken:

sudo firewall-cmd --list-all-zones | less

Zones selecteren voor uw Interfaces

tenzij u uw netwerkinterfaces anders hebt geconfigureerd, zal elke interface in de standaardzone worden gezet wanneer de firewall wordt opgestart.

de Zone van een Interface veranderen

u kunt tijdens een sessie een interface tussen zones wisselen door de parameter --zone= te gebruiken in combinatie met de parameter --change-interface=. Zoals bij alle commando ‘ s die de firewall wijzigen, moet u sudogebruiken.

bijvoorbeeld, we kunnen onze eth0 interface omzetten naar de” home ” zone door dit te typen:

sudo firewall-cmd --zone=home --change-interface=eth0

output
success

opmerking

wanneer u een interface naar een nieuwe zone overschakelt, moet u zich ervan bewust zijn dat u waarschijnlijk de services aanpast die operationeel zullen zijn. Bijvoorbeeld, hier gaan we naar de “home” zone, die SSH beschikbaar heeft. Dit betekent dat onze verbinding niet mag verdwijnen. In sommige andere zones is SSH standaard niet ingeschakeld en als uw verbinding wordt verbroken terwijl u een van deze zones gebruikt, kunt u zich mogelijk niet meer aanmelden.

we kunnen controleren of dit succesvol was door opnieuw om de actieve zones te vragen:

firewall-cmd --get-active-zones

output
home interfaces: eth0public interfaces: eth1

het aanpassen van de standaard Zone

als al uw interfaces het beste door een enkele zone kunnen worden afgehandeld, is het waarschijnlijk gemakkelijker om gewoon de beste standaardzone te selecteren en die vervolgens te gebruiken voor uw configuratie.

u kunt de standaardzone wijzigen met de parameter --set-default-zone=. Dit zal onmiddellijk elke interface die was teruggevallen op de standaard naar de nieuwe zone te veranderen:

sudo firewall-cmd --set-default-zone=home

output
success

regels instellen voor uw toepassingen

de basis manier om firewalluitzonderingen te definiëren voor de services die u beschikbaar wilt maken is eenvoudig. We nemen het basisidee even door.

een Service toevoegen aan uw Zones

de eenvoudigste methode is om de services of poorten die u nodig hebt toe te voegen aan de zones die u gebruikt. Nogmaals, u kunt een lijst krijgen van de beschikbare services met de --get-services optie:

firewall-cmd --get-services

output
RH-Satellite-6 amanda-client amanda-k5-client bacula bacula-client bitcoin bitcoin-rpc bitcoin-testnet bitcoin-testnet-rpc ceph ceph-mon cfengine condor-collector ctdb dhcp dhcpv6 dhcpv6-client dns docker-registry dropbox-lansync elasticsearch freeipa-ldap freeipa-ldaps freeipa-replication freeipa-trust ftp ganglia-client ganglia-master high-availability http https imap imaps ipp ipp-client ipsec iscsi-target kadmin kerberos kibana klogin kpasswd kshell ldap ldaps libvirt libvirt-tls managesieve mdns mosh mountd ms-wbt mssql mysql nfs nrpe ntp openvpn ovirt-imageio ovirt-storageconsole ovirt-vmconsole pmcd pmproxy pmwebapi pmwebapis pop3 pop3s postgresql privoxy proxy-dhcp ptp pulseaudio puppetmaster quassel radius rpc-bind rsh rsyncd samba samba-client sane sip sips smtp smtp-submission smtps snmp snmptrap spideroak-lansync squid ssh synergy syslog syslog-tls telnet tftp tftp-client tinc tor-socks transmission-client vdsm vnc-server wbem-https xmpp-bosh xmpp-client xmpp-local xmpp-server

opmerking

u kunt meer informatie krijgen over elk van deze services door te kijken naar het bijbehorende .xml bestand in de /usr/lib/firewalld/services map. Bijvoorbeeld, de SSH service is als volgt gedefinieerd:

/usr/lib/firewalld/services / ssh.xml

<?xml version="1.0" encoding="utf-8"?><service> <short>SSH</short> <description>Secure Shell (SSH) is a protocol for logging into and executing commands on remote machines. It provides secure encrypted communications. If you plan on accessing your machine remotely via SSH over a firewalled interface, enable this option. You need the openssh-server package installed for this option to be useful.</description> <port protocol="tcp" port="22"/></service>

u kunt een service voor een zone inschakelen met de parameter --add-service=. De bewerking zal zich richten op de standaard zone of welke zone dan ook die is opgegeven door de --zone= parameter. Standaard past dit alleen de huidige firewallsessie aan. U kunt de permanente firewallconfiguratie aanpassen door de vlag --permanent op te nemen.

bijvoorbeeld, als we een webserver draaien die conventioneel HTTP-verkeer bedient, kunnen we dit verkeer toestaan voor interfaces in onze” publieke ” zone voor deze sessie Door te typen:

sudo firewall-cmd --zone=public --add-service=http

u kunt --zone= weglaten als u de standaardzone wilt wijzigen. We kunnen controleren of de operatie succesvol was met de operaties --list-all of --list-services :

sudo firewall-cmd --zone=public --list-services

output
dhcpv6-client http ssh

als je eenmaal hebt getest dat alles werkt zoals het zou moeten, zul je waarschijnlijk de permanente firewall regels willen aanpassen zodat je service nog steeds beschikbaar is na een reboot. We kunnen onze” publieke ” zoneverandering permanent maken door te typen:

sudo firewall-cmd --zone=public --permanent --add-service=http

output
success

u kunt controleren of dit gelukt is door de vlag --permanent toe te voegen aan de operatie --list-services. U moet sudo gebruiken voor alle --permanent bewerkingen:

sudo firewall-cmd --zone=public --permanent --list-services

output
dhcpv6-client http ssh

uw “publieke” zone zal nu HTTP webverkeer toestaan op poort 80. Als uw webserver is geconfigureerd om SSL/TLS te gebruiken, Wilt u ook de service https toevoegen. We kunnen dat toevoegen aan de huidige sessie en de permanente regel-ingesteld door te typen:

 sudo firewall-cmd --zone=public --add-service=https
 sudo firewall-cmd --zone=public --permanent --add-service=https

wat als er geen passende Service beschikbaar is?

de firewallservices die bij de firewalld-installatie worden meegeleverd, vertegenwoordigen veel van de meest voorkomende vereisten voor toepassingen waartoe u toegang wilt verlenen. Er zullen echter waarschijnlijk scenario ‘ s zijn waar deze diensten niet aan uw eisen voldoen.

in deze situatie hebt u twee opties.

een poort openen voor uw Zones

de eenvoudigste manier om ondersteuning toe te voegen voor uw specifieke toepassing is door de poorten te openen die het gebruikt in de juiste zone(s). Dit is net zo eenvoudig als het opgeven van de poort of het poortbereik, en het bijbehorende protocol voor de poorten die je moet openen.

bijvoorbeeld, als onze applicatie draait op poort 5000 en TCP gebruikt, kunnen we dit toevoegen aan de “public” zone voor deze sessie met behulp van de --add-port= parameter. Protocollen kunnen tcp of udp:

sudo firewall-cmd --zone=public --add-port=5000/tcp

output
success

we kunnen controleren of dit succesvol was met de --list-ports operatie:

sudo firewall-cmd --zone=public --list-ports

output
5000/tcp

het is ook mogelijk om een sequentieel bereik van poorten te specificeren door de begin-en eindpoort in het bereik te scheiden met een streepje. Als onze applicatie bijvoorbeeld UDP-poorten 4990 tot 4999 gebruikt, kunnen we deze openen op “openbaar” door te typen:

sudo firewall-cmd --zone=public --add-port=4990-4999/udp

na het testen zouden we deze waarschijnlijk willen toevoegen aan de permanente firewall. U kunt dat doen door te typen:

 sudo firewall-cmd --zone=public --permanent --add-port=5000/tcp
 sudo firewall-cmd --zone=public --permanent --add-port=4990-4999/udp
 sudo firewall-cmd --zone=public --permanent --list-ports

output
successsuccess5000/tcp 4990-4999/udp

het definiëren van een Service

het openen van poorten voor uw zones is eenvoudig, maar het kan moeilijk zijn om bij te houden waar elke Dienst voor is. Als je ooit een service op je server uitschakelt, kan het moeilijk zijn om te onthouden welke poorten die geopend zijn nog steeds nodig zijn. Om deze situatie te voorkomen, is het mogelijk om een dienst te definiëren.

diensten zijn gewoon verzamelingen van poorten met een bijbehorende naam en beschrijving. Het gebruik van services is makkelijker te beheren dan ports, maar vereist een beetje vooraf werk. De makkelijkste manier om te beginnen is om een bestaand script (gevonden in /usr/lib/firewalld/services) te kopiëren naar de /etc/firewalld/services map waar de firewall zoekt naar niet-standaard definities.

bijvoorbeeld, we kunnen de SSH service definitie kopiëren om te gebruiken voor onze” voorbeeld ” service definitie als volgt. De bestandsnaam minus het .xml achtervoegsel bepaalt de naam van de service binnen de firewall services lijst:

sudo cp /usr/lib/firewalld/services/ssh.xml /etc/firewalld/services/example.xml

nu kunt u de definitie in het bestand dat u hebt gekopieerd aanpassen:

sudo vi /etc/firewalld/services/example.xml

om te beginnen zal het bestand de SSH definitie bevatten die u gekopieerd hebt:

/etc/firewalld/services / example.xml

<?xml version="1.0" encoding="utf-8"?><service> <short>SSH</short> <description>Secure Shell (SSH) is a protocol for logging into and executing commands on remote machines. It provides secure encrypted communications. If you plan on accessing your machine remotely via SSH over a firewalled interface, enable this option. You need the openssh-server package installed for this option to be useful.</description> <port protocol="tcp" port="22"/></service>

het merendeel van deze definitie is in feite metagegevens. U zult de Korte naam van de service binnen de <short> tags willen wijzigen. Dit is een voor mensen leesbare naam voor uw dienst. U moet ook een beschrijving toe te voegen, zodat u meer informatie als je ooit nodig hebt om de dienst te controleren. De enige configuratie die u moet maken die de functionaliteit van de service daadwerkelijk beïnvloedt, is waarschijnlijk de poortdefinitie waarin u het poortnummer en het protocol identificeert dat u wilt openen. Dit kan meerdere keren worden opgegeven.

voor onze” example ” service, stel je voor dat we poort 7777 voor TCP en 8888 voor UDP moeten openen. Door de invoegmodus in te voeren door op i te drukken, kunnen we de bestaande definitie wijzigen met iets als dit:

/etc/firewalld/services/example.XML

<?xml version="1.0" encoding="utf-8"?><service> <short>Example Service</short> <description>This is just an example service. It probably shouldn't be used on a real system.</description> <port protocol="tcp" port="7777"/> <port protocol="udp" port="8888"/></service>

druk op ESC, voer vervolgens :x in om het bestand op te slaan en te sluiten.

herlaad uw firewall om toegang te krijgen tot uw nieuwe service:

sudo firewall-cmd --reload

u kunt zien dat het nu onder de lijst van beschikbare diensten:

firewall-cmd --get-services

output
RH-Satellite-6 amanda-client amanda-k5-client bacula bacula-client bitcoin bitcoin-rpc bitcoin-testnet bitcoin-testnet-rpc ceph ceph-mon cfengine condor-collector ctdb dhcp dhcpv6 dhcpv6-client dns docker-registry dropbox-lansync elasticsearch example freeipa-ldap freeipa-ldaps freeipa-replication freeipa-trust ftp ganglia-client ganglia-master high-availability http https imap imaps ipp ipp-client ipsec iscsi-target kadmin kerberos kibana klogin kpasswd kshell ldap ldaps libvirt libvirt-tls managesieve mdns mosh mountd ms-wbt mssql mysql nfs nrpe ntp openvpn ovirt-imageio ovirt-storageconsole ovirt-vmconsole pmcd pmproxy pmwebapi pmwebapis pop3 pop3s postgresql privoxy proxy-dhcp ptp pulseaudio puppetmaster quassel radius rpc-bind rsh rsyncd samba samba-client sane sip sips smtp smtp-submission smtps snmp snmptrap spideroak-lansync squid ssh synergy syslog syslog-tls telnet tftp tftp-client tinc tor-socks transmission-client vdsm vnc-server wbem-https xmpp-bosh xmpp-client xmpp-local xmpp-server

u kunt deze service nu in uw zones gebruiken zoals u dat normaal zou doen.

uw eigen Zones aanmaken

hoewel de voorgedefinieerde zones waarschijnlijk meer dan genoeg zullen zijn voor de meeste gebruikers, kan het nuttig zijn om uw eigen zones te definiëren die beter beschrijven wat hun functie is.

u kunt bijvoorbeeld een zone voor uw webserver aanmaken, genaamd “publicweb”. U wilt echter mogelijk een andere zone laten configureren voor de DNS-service die u op uw privénetwerk aanbiedt. Je wilt misschien een zone genaamd “privateDNS” voor dat.

wanneer u een zone toevoegt, moet u deze toevoegen aan de permanente firewall-configuratie. U kunt dan herladen om de configuratie in uw lopende sessie te brengen. Bijvoorbeeld, wij kunnen het maken van de twee zones die we hierboven besproken door te typen:

 sudo firewall-cmd --permanent --new-zone=publicweb
 sudo firewall-cmd --permanent --new-zone=privateDNS

U kunt controleren of deze aanwezig zijn in uw permanente configuratie door te typen:

sudo firewall-cmd --permanent --get-zones

output
block dmz drop external home internal privateDNS public publicweb trusted work

Zoals eerder vermeld, deze zullen niet in het huidige exemplaar van de firewall nog:

firewall-cmd --get-zones

output
block dmz drop external home internal public trusted work

Herladen van de firewall om deze nieuwe zones in de actieve configuratie:

 sudo firewall-cmd --reload
 firewall-cmd --get-zones

output
block dmz drop external home internal privateDNS public publicweb trusted work

Nu kunt u beginnen met het toewijzen van de juiste diensten en poorten toe aan uw zones. Het is meestal een goed idee om de actieve instantie aan te passen en dan deze wijzigingen over te brengen naar de permanente configuratie na het testen. Bijvoorbeeld, voor de” publicweb “zone, kunt u de SSH, HTTP, en HTTPS diensten toevoegen:

 sudo firewall-cmd --zone=publicweb --add-service=ssh
 sudo firewall-cmd --zone=publicweb --add-service=http
 sudo firewall-cmd --zone=publicweb --add-service=https
 sudo firewall-cmd --zone=publicweb --list-all

output
publicweb target: default icmp-block-inversion: no interfaces: sources: services: ssh http https ports: protocols: masquerade: no forward-ports: source-ports: icmp-blocks: rich rules:

ook kunnen we de DNS-service toevoegen aan onze” privateDNS ” – zone:

 sudo firewall-cmd --zone=privateDNS --add-service=dns
 sudo firewall-cmd --zone=privateDNS --list-all

output
privateDNS interfaces: sources: services: dns ports: masquerade: no forward-ports: icmp-blocks: rich rules:

dan kunnen we onze interfaces overschakelen naar deze nieuwe zones om ze uit te testen:

 sudo firewall-cmd --zone=publicweb --change-interface=eth0
 sudo firewall-cmd --zone=privateDNS --change-interface=eth1

op dit moment heb je de mogelijkheid om je configuratie te testen. Als deze waarden voor u werken, wilt u dezelfde regels toevoegen aan de permanente configuratie. U kunt dat doen door de regels opnieuw toe te passen met de vlag --permanent :

 sudo firewall-cmd --zone=publicweb --permanent --add-service=ssh
 sudo firewall-cmd --zone=publicweb --permanent --add-service=http
 sudo firewall-cmd --zone=publicweb --permanent --add-service=https
 sudo firewall-cmd --zone=privateDNS --permanent --add-service=dns

nadat u deze regels permanent hebt toegepast, kunt u uw netwerk opnieuw opstarten en uw firewallservice opnieuw laden:

 sudo systemctl restart network
 sudo systemctl reload firewalld

valideren dat de juiste zones zijn toegewezen:

firewall-cmd --get-active-zones

output
privateDNS interfaces: eth1publicweb interfaces: eth0

en valideren dat de juiste diensten beschikbaar zijn voor beide zones:

sudo firewall-cmd --zone=publicweb --list-services

output
http https ssh

sudo firewall-cmd --zone=privateDNS --list-services

output
dns

je hebt met succes je eigen zones ingesteld! Als u een van deze zones de standaard wilt maken voor andere interfaces, vergeet dan niet om dat gedrag te configureren met de parameter --set-default-zone= :

sudo firewall-cmd --set-default-zone=publicweb

conclusie

u moet nu een vrij goed begrip hebben van hoe u de firewalld-service op uw CentOS-systeem kunt beheren voor dagelijks gebruik.

met de firewalld-service kunt u onderhoudbare regels en regelsets instellen die rekening houden met uw netwerkomgeving. Het stelt u in staat om naadloos over te schakelen tussen verschillende firewall beleid door het gebruik van zones en geeft beheerders de mogelijkheid om het port management abstract in meer vriendelijke service definities. Het verwerven van een praktische kennis van dit systeem zal u toelaten om te profiteren van de flexibiliteit en de kracht die deze tool biedt.