Introducere
Firewalld este o soluție de gestionare a firewall-ului disponibilă pentru multe distribuții Linux, care acționează ca o interfață pentru sistemul de filtrare a pachetelor iptables furnizat de kernel-ul Linux. În acest ghid, vom acoperi modul de configurare a unui firewall pentru serverul dvs. și vă vom arăta elementele de bază ale gestionării firewall-ului cu instrumentul administrativ firewall-cmd
(dacă preferați să utilizați iptables
cu CentOS, urmați acest ghid).
notă: Există șansa să lucrați cu o versiune mai nouă de firewalld decât era disponibilă la momentul scrierii acestui articol sau ca serverul dvs. să fie configurat ușor diferit de serverul de exemplu utilizat în acest ghid. Astfel, comportamentul unora dintre comenzile explicate în acest ghid poate varia în funcție de configurația dvs. specifică.
concepte de bază în Firewalld
înainte de a începe să vorbim despre cum să utilizați utilitarul firewall-cmd
pentru a gestiona configurația firewall-ului, ar trebui să ne familiarizăm cu câteva concepte de bază pe care instrumentul le introduce.
zone
demonul firewalld
gestionează grupuri de reguli folosind entități numite „zone”. Zonele sunt practic seturi de reguli care dictează ce trafic ar trebui permis în funcție de nivelul de încredere pe care îl aveți în rețelele la care este conectat computerul. Interfețelor de rețea li se atribuie o zonă pentru a dicta comportamentul pe care firewall-ul ar trebui să îl permită.
pentru computerele care se pot deplasa frecvent între rețele (cum ar fi laptopurile), acest tip de flexibilitate oferă o metodă bună de a vă schimba regulile în funcție de mediul dvs. Este posibil să aveți reguli stricte care interzic majoritatea traficului atunci când operați pe o rețea WiFi publică, permițând în același timp restricții mai relaxate atunci când sunteți conectat la rețeaua de domiciliu. Pentru un server, aceste zone nu sunt la fel de importante imediat, deoarece mediul de rețea rareori, dacă vreodată, se schimbă.
indiferent de cât de dinamic poate fi mediul dvs. de rețea, este totuși util să vă familiarizați cu ideea generală din spatele fiecărei zone predefinite pentru firewalld
. Pentru a trece de la cel mai puțin de încredere la cel mai de încredere, zonele predefinite din firewalld
sunt:
- picătură: Cel mai scăzut nivel de încredere. Toate conexiunile de intrare sunt abandonate fără răspuns și numai conexiunile de ieșire sunt posibile.
- block: Similar cu cele de mai sus, dar în loc să renunțe pur și simplu la conexiuni, cererile primite sunt respinse cu un mesaj
icmp-host-prohibited
sauicmp6-adm-prohibited
. - public: reprezintă rețele publice, de încredere. Nu aveți încredere în alte computere, dar puteți permite conexiuni de intrare selectate de la caz la caz.
- extern: rețele externe în cazul în care utilizați paravanul de protecție ca gateway. Acesta este configurat pentru Nat masquerading, astfel încât rețeaua internă rămâne privat, dar accesibil.
- intern: cealaltă parte a zonei externe, utilizată pentru porțiunea internă a unui gateway. Computerele sunt destul de încredere și unele servicii suplimentare sunt disponibile.
- dmz: utilizat pentru computerele situate într-un DMZ (computere izolate care nu vor avea acces la restul rețelei dvs.). Numai anumite conexiuni de intrare sunt permise.
- lucru: folosit pentru mașini de lucru. Aveți încredere în majoritatea computerelor din rețea. Câteva alte servicii ar putea fi permise.
- acasă: un mediu de acasă. În general, implică faptul că aveți încredere în majoritatea celorlalte computere și că vor fi acceptate alte câteva servicii.
- trusted: aveți încredere în toate mașinile din rețea. Cea mai deschisă dintre opțiunile disponibile și ar trebui utilizată cu ușurință.
pentru a utiliza paravanul de protecție, putem crea reguli și modifica proprietățile zonelor noastre și apoi atribuim interfețele noastre de rețea zonelor care sunt cele mai potrivite.
permanența regulii
în firewalld, regulile pot fi desemnate ca permanente sau imediate. Dacă o regulă este adăugată sau modificată, în mod implicit, comportamentul paravanului de protecție care rulează în prezent este modificat. La următoarea pornire, vechile reguli vor fi returnate.
majoritatea operațiunilor firewall-cmd
pot lua steagul --permanent
pentru a indica faptul că firewall-ul non-efemer ar trebui vizat. Acest lucru va afecta setul de reguli care este reîncărcat la pornire. Această separare înseamnă că puteți testa Regulile în instanța firewall activă și apoi reîncărcați dacă există probleme. De asemenea, puteți utiliza steagul --permanent
pentru a construi un întreg set de reguli în timp, care vor fi aplicate simultan la emiterea comenzii de reîncărcare.
instalați și activați Firewall-ul pentru a porni de la Boot
firewalld
este instalat în mod implicit pe unele distribuții Linux, inclusiv multe imagini de CentOS 7. Cu toate acestea, poate fi necesar să instalați singur firewalld:
- sudo yum install firewalld
după ce instalați firewalld
, puteți activa serviciul și reporniți serverul. Rețineți că activarea firewalld va determina pornirea serviciului la pornire. Este cea mai bună practică să vă creați regulile firewall-ului și să profitați de ocazie pentru a le testa înainte de a configura acest comportament pentru a evita problemele potențiale.
- sudo systemctl enable firewalld
- sudo reboot
când serverul repornește, firewall-ul dvs. ar trebui să fie adus, interfețele dvs. de rețea ar trebui să fie introduse în zonele pe care le-ați configurat (sau să revină la zona implicită configurată) și orice reguli asociate zonei(zonelor) vor fi aplicate interfețelor asociate.
putem verifica dacă serviciul funcționează și poate fi accesat tastând:
- sudo firewall-cmd --state
outputrunning
acest lucru indică faptul că paravanul nostru de protecție funcționează cu configurația implicită.
familiarizarea cu regulile firewallului actuale
înainte de a începe să facem modificări, ar trebui să ne familiarizăm cu mediul și regulile implicite furnizate de daemon.
explorarea valorilor implicite
putem vedea ce zonă este selectată în prezent ca valoare implicită tastând:
- firewall-cmd --get-default-zone
outputpublic
deoarece nu am dat firewalld
nicio comandă pentru a se abate de la zona implicită și niciuna dintre interfețele noastre nu este configurată să se lege de o altă zonă, acea zonă va fi, de asemenea, singura zonă „activă” (zona care controlează traficul pentru interfețele noastre). Putem verifica acest lucru tastând:
- firewall-cmd --get-active-zones
outputpublic interfaces: eth0 eth1
aici, putem vedea că serverul nostru de exemplu are două interfețe de rețea controlate de firewall (eth0
și eth1
). Ambele sunt gestionate în prezent în conformitate cu regulile definite pentru zona publică.
cum știm ce reguli sunt asociate cu zona publică, deși? Putem imprima configurația zonei implicite tastând:
- sudo firewall-cmd --list-all
outputpublic (default, active) target: default icmp-block-inversion: no interfaces: eth0 eth1 sources: services: ssh dhcpv6-client ports: protocols: masquerade: no forward-ports: source-ports: icmp-blocks: rich rules:
putem spune din Ieșire că această zonă este atât implicită, cât și activă și că interfețele eth0
și eth1
sunt asociate cu această zonă (știam deja toate acestea din întrebările noastre anterioare). Cu toate acestea, putem vedea, de asemenea, că această zonă permite operațiunile normale asociate cu un client DHCP (pentru atribuirea adresei IP) și SSH (pentru administrarea la distanță).
explorarea zonelor Alternative
acum avem o idee bună despre configurația pentru zona implicită și activă. Putem afla informații și despre alte zone.
pentru a obține o listă a zonelor disponibile, tastați:
- firewall-cmd --get-zones
outputblock dmz drop external home internal public trusted work
putem vedea configurația specifică asociată cu o zonă prin includerea parametrului --zone=
în comanda noastră --list-all
:
- sudo firewall-cmd --zone=home --list-all
outputhome interfaces: sources: services: dhcpv6-client ipp-client mdns samba-client ssh ports: masquerade: no forward-ports: icmp-blocks: rich rules:
puteți afișa toate definițiile zonei utilizând opțiunea --list-all-zones
. Probabil veți dori să țeavă de ieșire într-un pager pentru vizualizare mai ușoară:
- sudo firewall-cmd --list-all-zones | less
selectarea zonelor pentru interfețele dvs.
dacă nu ați configurat altfel interfețele de rețea, fiecare interfață va fi plasată în zona implicită atunci când firewall-ul este pornit.
schimbarea zonei unei interfețe
puteți trece o interfață între zone în timpul unei sesiuni utilizând parametrul --zone=
în combinație cu parametrul --change-interface=
. Ca și în cazul tuturor comenzilor care modifică firewall-ul, va trebui să utilizați sudo
.
de exemplu, putem trece interfața noastră eth0
în zona” acasă ” tastând acest lucru:
- sudo firewall-cmd --zone=home --change-interface=eth0
outputsuccess
ori de câte ori treceți o interfață într-o zonă nouă, rețineți că probabil modificați serviciile care vor fi operaționale. De exemplu, aici ne mutăm în zona” acasă”, care are SSH disponibil. Aceasta înseamnă că conexiunea noastră nu ar trebui să scadă. Unele alte zone nu au SSH activat în mod implicit și dacă conexiunea dvs. este abandonată în timp ce utilizați una dintre aceste zone, vă puteți găsi incapabil să vă conectați din nou.
putem verifica dacă acest lucru a avut succes solicitând din nou zonele active:
- firewall-cmd --get-active-zones
outputhome interfaces: eth0public interfaces: eth1
ajustarea zonei implicite
dacă toate interfețele dvs. pot fi gestionate cel mai bine de o singură zonă, este probabil mai ușor să selectați cea mai bună zonă implicită și apoi să o utilizați pentru configurația dvs.
puteți schimba zona implicită cu parametrul --set-default-zone=
. Acest lucru se va schimba imediat orice interfață care a căzut din nou pe implicit la noua zonă:
- sudo firewall-cmd --set-default-zone=home
outputsuccess
setarea regulilor pentru aplicațiile dvs.
modul de bază de definire a excepțiilor de firewall pentru serviciile pe care doriți să le puneți la dispoziție este ușor. Vom trece prin ideea de bază aici.
adăugarea unui serviciu în zonele dvs.
cea mai ușoară metodă este să adăugați serviciile sau porturile de care aveți nevoie în zonele pe care le utilizați. Din nou, puteți obține o listă a serviciilor disponibile cu opțiunea --get-services
:
- firewall-cmd --get-services
outputRH-Satellite-6 amanda-client amanda-k5-client bacula bacula-client bitcoin bitcoin-rpc bitcoin-testnet bitcoin-testnet-rpc ceph ceph-mon cfengine condor-collector ctdb dhcp dhcpv6 dhcpv6-client dns docker-registry dropbox-lansync elasticsearch freeipa-ldap freeipa-ldaps freeipa-replication freeipa-trust ftp ganglia-client ganglia-master high-availability http https imap imaps ipp ipp-client ipsec iscsi-target kadmin kerberos kibana klogin kpasswd kshell ldap ldaps libvirt libvirt-tls managesieve mdns mosh mountd ms-wbt mssql mysql nfs nrpe ntp openvpn ovirt-imageio ovirt-storageconsole ovirt-vmconsole pmcd pmproxy pmwebapi pmwebapis pop3 pop3s postgresql privoxy proxy-dhcp ptp pulseaudio puppetmaster quassel radius rpc-bind rsh rsyncd samba samba-client sane sip sips smtp smtp-submission smtps snmp snmptrap spideroak-lansync squid ssh synergy syslog syslog-tls telnet tftp tftp-client tinc tor-socks transmission-client vdsm vnc-server wbem-https xmpp-bosh xmpp-client xmpp-local xmpp-server
puteți obține mai multe detalii despre fiecare dintre aceste servicii uitându-vă la Fișierul asociat .xml
din Directorul /usr/lib/firewalld/services
. De exemplu, serviciul SSH este definit astfel:
<?xml version="1.0" encoding="utf-8"?><service> <short>SSH</short> <description>Secure Shell (SSH) is a protocol for logging into and executing commands on remote machines. It provides secure encrypted communications. If you plan on accessing your machine remotely via SSH over a firewalled interface, enable this option. You need the openssh-server package installed for this option to be useful.</description> <port protocol="tcp" port="22"/></service>
puteți activa un serviciu pentru o zonă utilizând parametrul --add-service=
. Operația va viza zona implicită sau orice zonă este specificată de parametrul --zone=
. În mod implicit, aceasta va ajusta doar sesiunea firewall curentă. Puteți ajusta configurația permanentă a firewall-ului prin includerea steagului --permanent
.
de exemplu, dacă rulăm un server web care servește trafic HTTP convențional, putem permite acest trafic pentru interfețe în zona noastră „publică” pentru această sesiune tastând:
- sudo firewall-cmd --zone=public --add-service=http
puteți lăsa în afara --zone=
dacă doriți să modificați zona implicită. Putem verifica dacă operațiunea a avut succes utilizând operațiunile --list-all
sau --list-services
:
- sudo firewall-cmd --zone=public --list-services
outputdhcpv6-client http ssh
după ce ați testat că totul funcționează așa cum ar trebui, probabil că veți dori să modificați regulile firewall-ului permanent, astfel încât serviciul dvs. să fie disponibil în continuare după repornire. Putem face ca zona noastră” publică ” să se schimbe permanent tastând:
- sudo firewall-cmd --zone=public --permanent --add-service=http
outputsuccess
puteți verifica dacă acest lucru a avut succes adăugând steagul --permanent
la operația --list-services
. Trebuie să utilizați sudo
pentru orice --permanent
operațiuni:
- sudo firewall-cmd --zone=public --permanent --list-services
outputdhcpv6-client http ssh
zona dvs. „publică” va permite acum traficul web HTTP pe portul 80. Dacă serverul dvs. web este configurat să utilizeze SSL/TLS, veți dori, de asemenea, să adăugați serviciul https
. Putem adăuga asta la sesiunea curentă și la regula permanentă setată tastând:
- sudo firewall-cmd --zone=public --add-service=https
- sudo firewall-cmd --zone=public --permanent --add-service=https
ce se întâmplă dacă nu este disponibil niciun serviciu adecvat?
serviciile firewall care sunt incluse în instalarea firewalld reprezintă multe dintre cele mai comune cerințe pentru aplicațiile la care ați putea dori să permiteți accesul. Cu toate acestea, vor exista probabil scenarii în care aceste servicii nu se potrivesc cerințelor dvs.
în această situație, aveți două opțiuni.
deschiderea unui Port pentru zonele dvs.
cel mai simplu mod de a adăuga suport pentru aplicația dvs. specifică este să deschideți porturile pe care le utilizează în zona(zonele) corespunzătoare. Acest lucru este la fel de ușor ca specificarea portului sau a intervalului de porturi și a protocolului asociat pentru porturile pe care trebuie să le deschideți.
de exemplu, dacă aplicația noastră rulează pe portul 5000 și utilizează TCP, am putea adăuga acest lucru în zona „publică” pentru această sesiune folosind parametrul --add-port=
. Protocoalele pot fi tcp
sau udp
:
- sudo firewall-cmd --zone=public --add-port=5000/tcp
outputsuccess
putem verifica dacă acest lucru a avut succes folosind operațiunea --list-ports
:
- sudo firewall-cmd --zone=public --list-ports
output5000/tcp
de asemenea, este posibil să specificați un interval secvențial de porturi prin separarea portului de început și de sfârșit din interval cu o liniuță. De exemplu, dacă aplicația noastră utilizează porturile UDP 4990 la 4999, am putea deschide aceste pe „public” prin tastarea:
- sudo firewall-cmd --zone=public --add-port=4990-4999/udp
după testare, probabil că am dori să le adăugăm la firewall-ul permanent. Puteți face acest lucru tastând:
- sudo firewall-cmd --zone=public --permanent --add-port=5000/tcp
- sudo firewall-cmd --zone=public --permanent --add-port=4990-4999/udp
- sudo firewall-cmd --zone=public --permanent --list-ports
outputsuccesssuccess5000/tcp 4990-4999/udp
definirea unui serviciu
deschiderea porturilor pentru zonele dvs. este ușoară, dar poate fi dificil să urmăriți pentru ce este fiecare. Dacă vreodată dezafectați un serviciu pe serverul dvs., este posibil să aveți dificultăți în a vă aminti ce porturi care au fost deschise sunt încă necesare. Pentru a evita această situație, este posibil să definiți un serviciu.
serviciile sunt pur și simplu colecții de porturi cu un nume și o descriere asociate. Utilizarea serviciilor este mai ușor de administrat decât porturile, dar necesită un pic de lucru în avans. Cel mai simplu mod de a începe este să copiați un script existent (găsit în /usr/lib/firewalld/services
) în directorul /etc/firewalld/services
unde firewall-ul caută definiții non-standard.
de exemplu, am putea copia definiția serviciului SSH pentru a o folosi pentru definiția serviciului „exemplu” ca aceasta. Numele fișierului minus sufixul .xml
va dicta numele serviciului în lista de servicii firewall:
- sudo cp /usr/lib/firewalld/services/ssh.xml /etc/firewalld/services/example.xml
acum, Puteți ajusta definiția Găsită în fișierul pe care l-ați copiat:
sudo vi /etc/firewalld/services/example.xml
pentru a începe, fișierul va conține definiția SSH pe care ați copiat-o:
<?xml version="1.0" encoding="utf-8"?><service> <short>SSH</short> <description>Secure Shell (SSH) is a protocol for logging into and executing commands on remote machines. It provides secure encrypted communications. If you plan on accessing your machine remotely via SSH over a firewalled interface, enable this option. You need the openssh-server package installed for this option to be useful.</description> <port protocol="tcp" port="22"/></service>
majoritatea acestei definiții este de fapt metadate. Veți dori să schimbați numele scurt al Serviciului în cadrul etichetelor <short>
. Acesta este un nume care poate fi citit de om pentru serviciul dvs. De asemenea, ar trebui să adăugați o descriere, astfel încât să aveți mai multe informații dacă aveți nevoie vreodată să auditați serviciul. Singura configurație pe care trebuie să o faceți care afectează de fapt funcționalitatea serviciului va fi probabil definiția portului în care identificați numărul portului și protocolul pe care doriți să îl deschideți. Acest lucru poate fi specificat de mai multe ori.
pentru serviciul nostru „exemplu”, imaginați-vă că trebuie să deschidem portul 7777 pentru TCP și 8888 pentru UDP. Intrând în modul Inserare apăsând i
, putem modifica definiția existentă cu ceva de genul:
<?xml version="1.0" encoding="utf-8"?><service> <short>Example Service</short> <description>This is just an example service. It probably shouldn't be used on a real system.</description> <port protocol="tcp" port="7777"/> <port protocol="udp" port="8888"/></service>
apăsați ESC
, apoi introduceți :x
pentru a salva și a închide fișierul.
reîncarcă firewall-ul pentru a avea acces la noul serviciu:
- sudo firewall-cmd --reload
puteți vedea că este acum printre lista serviciilor disponibile:
- firewall-cmd --get-services
outputRH-Satellite-6 amanda-client amanda-k5-client bacula bacula-client bitcoin bitcoin-rpc bitcoin-testnet bitcoin-testnet-rpc ceph ceph-mon cfengine condor-collector ctdb dhcp dhcpv6 dhcpv6-client dns docker-registry dropbox-lansync elasticsearch example freeipa-ldap freeipa-ldaps freeipa-replication freeipa-trust ftp ganglia-client ganglia-master high-availability http https imap imaps ipp ipp-client ipsec iscsi-target kadmin kerberos kibana klogin kpasswd kshell ldap ldaps libvirt libvirt-tls managesieve mdns mosh mountd ms-wbt mssql mysql nfs nrpe ntp openvpn ovirt-imageio ovirt-storageconsole ovirt-vmconsole pmcd pmproxy pmwebapi pmwebapis pop3 pop3s postgresql privoxy proxy-dhcp ptp pulseaudio puppetmaster quassel radius rpc-bind rsh rsyncd samba samba-client sane sip sips smtp smtp-submission smtps snmp snmptrap spideroak-lansync squid ssh synergy syslog syslog-tls telnet tftp tftp-client tinc tor-socks transmission-client vdsm vnc-server wbem-https xmpp-bosh xmpp-client xmpp-local xmpp-server
acum Puteți utiliza acest serviciu în zonele dvs. așa cum ați face în mod normal.
crearea propriilor zone
în timp ce zonele predefinite vor fi probabil mai mult decât suficiente pentru majoritatea utilizatorilor, poate fi util să vă definiți propriile zone care sunt mai descriptive ale funcției lor.
de exemplu, poate doriți să creați o zonă pentru serverul dvs. web, numită „publicweb”. Cu toate acestea, este posibil să doriți să aveți o altă zonă configurată pentru serviciul DNS pe care îl furnizați în rețeaua dvs. privată. S-ar putea să doriți o zonă numită „privateDNS” pentru asta.
când adăugați o zonă, trebuie să o adăugați la configurația firewall permanentă. Apoi puteți reîncărca pentru a aduce configurația în sesiunea de rulare. De exemplu, am putea crea cele două zone pe care le-am discutat mai sus tastând:
- sudo firewall-cmd --permanent --new-zone=publicweb
- sudo firewall-cmd --permanent --new-zone=privateDNS
puteți verifica dacă acestea sunt prezente în configurația dvs. permanentă tastând:
- sudo firewall-cmd --permanent --get-zones
outputblock dmz drop external home internal privateDNS public publicweb trusted work
după cum sa menționat anterior, acestea nu vor fi disponibile încă în instanța curentă a firewall-ului:
- firewall-cmd --get-zones
outputblock dmz drop external home internal public trusted work
Reîncărcați firewall-ul pentru a aduce aceste noi zone în configurația activă:
- sudo firewall-cmd --reload
- firewall-cmd --get-zones
outputblock dmz drop external home internal privateDNS public publicweb trusted work
acum, Puteți începe să atribuiți serviciile și porturile corespunzătoare zonelor dvs. De obicei, este o idee bună să ajustați instanța activă și apoi să transferați aceste modificări la configurația permanentă după testare. De exemplu, pentru zona „publicweb”, poate doriți să adăugați serviciile SSH, HTTP și HTTPS:
- sudo firewall-cmd --zone=publicweb --add-service=ssh
- sudo firewall-cmd --zone=publicweb --add-service=http
- sudo firewall-cmd --zone=publicweb --add-service=https
- sudo firewall-cmd --zone=publicweb --list-all
outputpublicweb target: default icmp-block-inversion: no interfaces: sources: services: ssh http https ports: protocols: masquerade: no forward-ports: source-ports: icmp-blocks: rich rules:
de asemenea, putem adăuga serviciul DNS în zona noastră ” privateDNS:
- sudo firewall-cmd --zone=privateDNS --add-service=dns
- sudo firewall-cmd --zone=privateDNS --list-all
outputprivateDNS interfaces: sources: services: dns ports: masquerade: no forward-ports: icmp-blocks: rich rules:
am putea apoi să ne schimbăm interfețele în aceste noi zone pentru a le testa:
- sudo firewall-cmd --zone=publicweb --change-interface=eth0
- sudo firewall-cmd --zone=privateDNS --change-interface=eth1
în acest moment, aveți posibilitatea de a testa configurația. Dacă aceste valori funcționează pentru dvs., veți dori să adăugați aceleași reguli la configurația permanentă. Puteți face acest lucru prin reaplicarea regulilor cu steagul --permanent
:
- sudo firewall-cmd --zone=publicweb --permanent --add-service=ssh
- sudo firewall-cmd --zone=publicweb --permanent --add-service=http
- sudo firewall-cmd --zone=publicweb --permanent --add-service=https
- sudo firewall-cmd --zone=privateDNS --permanent --add-service=dns
după aplicarea permanentă a acestor reguli, puteți reporni rețeaua și reîncărca serviciul firewall:
- sudo systemctl restart network
- sudo systemctl reload firewalld
validați că zonele corecte au fost atribuite:
- firewall-cmd --get-active-zones
outputprivateDNS interfaces: eth1publicweb interfaces: eth0
și validați că serviciile corespunzătoare sunt disponibile pentru ambele zone:
- sudo firewall-cmd --zone=publicweb --list-services
outputhttp https ssh
- sudo firewall-cmd --zone=privateDNS --list-services
outputdns
ați configurat cu succes propriile zone! Dacă doriți să faceți una dintre aceste zone implicită pentru alte interfețe, nu uitați să configurați acel comportament cu parametrul --set-default-zone=
:
sudo firewall-cmd --set-default-zone=publicweb
concluzie
acum ar trebui să aveți o înțelegere destul de bună a modului de administrare a serviciului firewalld pe sistemul dvs.
serviciul firewalld vă permite să configurați reguli de întreținere și seturi de reguli care iau în considerare mediul de rețea. Vă permite să treceți fără probleme între diferite politici de firewall prin utilizarea zonelor și oferă administratorilor posibilitatea de a abstractiza gestionarea porturilor în definiții de servicii mai prietenoase. Dobândirea unei cunoștințe de lucru a acestui sistem vă va permite să profitați de flexibilitatea și puterea pe care le oferă acest instrument.