Articles

Cum să configurați un Firewall folosind FirewallD pe CentOS 7

admin

Introducere

Firewalld este o soluție de gestionare a firewall-ului disponibilă pentru multe distribuții Linux, care acționează ca o interfață pentru sistemul de filtrare a pachetelor iptables furnizat de kernel-ul Linux. În acest ghid, vom acoperi modul de configurare a unui firewall pentru serverul dvs. și vă vom arăta elementele de bază ale gestionării firewall-ului cu instrumentul administrativ firewall-cmd (dacă preferați să utilizați iptables cu CentOS, urmați acest ghid).

notă: Există șansa să lucrați cu o versiune mai nouă de firewalld decât era disponibilă la momentul scrierii acestui articol sau ca serverul dvs. să fie configurat ușor diferit de serverul de exemplu utilizat în acest ghid. Astfel, comportamentul unora dintre comenzile explicate în acest ghid poate varia în funcție de configurația dvs. specifică.

concepte de bază în Firewalld

înainte de a începe să vorbim despre cum să utilizați utilitarul firewall-cmd pentru a gestiona configurația firewall-ului, ar trebui să ne familiarizăm cu câteva concepte de bază pe care instrumentul le introduce.

zone

demonul firewalld gestionează grupuri de reguli folosind entități numite „zone”. Zonele sunt practic seturi de reguli care dictează ce trafic ar trebui permis în funcție de nivelul de încredere pe care îl aveți în rețelele la care este conectat computerul. Interfețelor de rețea li se atribuie o zonă pentru a dicta comportamentul pe care firewall-ul ar trebui să îl permită.

pentru computerele care se pot deplasa frecvent între rețele (cum ar fi laptopurile), acest tip de flexibilitate oferă o metodă bună de a vă schimba regulile în funcție de mediul dvs. Este posibil să aveți reguli stricte care interzic majoritatea traficului atunci când operați pe o rețea WiFi publică, permițând în același timp restricții mai relaxate atunci când sunteți conectat la rețeaua de domiciliu. Pentru un server, aceste zone nu sunt la fel de importante imediat, deoarece mediul de rețea rareori, dacă vreodată, se schimbă.

indiferent de cât de dinamic poate fi mediul dvs. de rețea, este totuși util să vă familiarizați cu ideea generală din spatele fiecărei zone predefinite pentru firewalld. Pentru a trece de la cel mai puțin de încredere la cel mai de încredere, zonele predefinite din firewalld sunt:

  • picătură: Cel mai scăzut nivel de încredere. Toate conexiunile de intrare sunt abandonate fără răspuns și numai conexiunile de ieșire sunt posibile.
  • block: Similar cu cele de mai sus, dar în loc să renunțe pur și simplu la conexiuni, cererile primite sunt respinse cu un mesaj icmp-host-prohibited sau icmp6-adm-prohibited.
  • public: reprezintă rețele publice, de încredere. Nu aveți încredere în alte computere, dar puteți permite conexiuni de intrare selectate de la caz la caz.
  • extern: rețele externe în cazul în care utilizați paravanul de protecție ca gateway. Acesta este configurat pentru Nat masquerading, astfel încât rețeaua internă rămâne privat, dar accesibil.
  • intern: cealaltă parte a zonei externe, utilizată pentru porțiunea internă a unui gateway. Computerele sunt destul de încredere și unele servicii suplimentare sunt disponibile.
  • dmz: utilizat pentru computerele situate într-un DMZ (computere izolate care nu vor avea acces la restul rețelei dvs.). Numai anumite conexiuni de intrare sunt permise.
  • lucru: folosit pentru mașini de lucru. Aveți încredere în majoritatea computerelor din rețea. Câteva alte servicii ar putea fi permise.
  • acasă: un mediu de acasă. În general, implică faptul că aveți încredere în majoritatea celorlalte computere și că vor fi acceptate alte câteva servicii.
  • trusted: aveți încredere în toate mașinile din rețea. Cea mai deschisă dintre opțiunile disponibile și ar trebui utilizată cu ușurință.

pentru a utiliza paravanul de protecție, putem crea reguli și modifica proprietățile zonelor noastre și apoi atribuim interfețele noastre de rețea zonelor care sunt cele mai potrivite.

permanența regulii

în firewalld, regulile pot fi desemnate ca permanente sau imediate. Dacă o regulă este adăugată sau modificată, în mod implicit, comportamentul paravanului de protecție care rulează în prezent este modificat. La următoarea pornire, vechile reguli vor fi returnate.

majoritatea operațiunilor firewall-cmd pot lua steagul --permanent pentru a indica faptul că firewall-ul non-efemer ar trebui vizat. Acest lucru va afecta setul de reguli care este reîncărcat la pornire. Această separare înseamnă că puteți testa Regulile în instanța firewall activă și apoi reîncărcați dacă există probleme. De asemenea, puteți utiliza steagul --permanent pentru a construi un întreg set de reguli în timp, care vor fi aplicate simultan la emiterea comenzii de reîncărcare.

instalați și activați Firewall-ul pentru a porni de la Boot

firewalld este instalat în mod implicit pe unele distribuții Linux, inclusiv multe imagini de CentOS 7. Cu toate acestea, poate fi necesar să instalați singur firewalld:

  • sudo yum install firewalld

după ce instalați firewalld, puteți activa serviciul și reporniți serverul. Rețineți că activarea firewalld va determina pornirea serviciului la pornire. Este cea mai bună practică să vă creați regulile firewall-ului și să profitați de ocazie pentru a le testa înainte de a configura acest comportament pentru a evita problemele potențiale.

     
  • sudo systemctl enable firewalld
    •  
  • sudo reboot
    •

când serverul repornește, firewall-ul dvs. ar trebui să fie adus, interfețele dvs. de rețea ar trebui să fie introduse în zonele pe care le-ați configurat (sau să revină la zona implicită configurată) și orice reguli asociate zonei(zonelor) vor fi aplicate interfețelor asociate.

putem verifica dacă serviciul funcționează și poate fi accesat tastând:

  • sudo firewall-cmd --state
output
running

acest lucru indică faptul că paravanul nostru de protecție funcționează cu configurația implicită.

familiarizarea cu regulile firewallului actuale

înainte de a începe să facem modificări, ar trebui să ne familiarizăm cu mediul și regulile implicite furnizate de daemon.

explorarea valorilor implicite

putem vedea ce zonă este selectată în prezent ca valoare implicită tastând:

  • firewall-cmd --get-default-zone
output
public

deoarece nu am dat firewalld nicio comandă pentru a se abate de la zona implicită și niciuna dintre interfețele noastre nu este configurată să se lege de o altă zonă, acea zonă va fi, de asemenea, singura zonă „activă” (zona care controlează traficul pentru interfețele noastre). Putem verifica acest lucru tastând:

  • firewall-cmd --get-active-zones
output
public interfaces: eth0 eth1

aici, putem vedea că serverul nostru de exemplu are două interfețe de rețea controlate de firewall (eth0 și eth1). Ambele sunt gestionate în prezent în conformitate cu regulile definite pentru zona publică.

cum știm ce reguli sunt asociate cu zona publică, deși? Putem imprima configurația zonei implicite tastând:

  • sudo firewall-cmd --list-all
output
public (default, active) target: default icmp-block-inversion: no interfaces: eth0 eth1 sources: services: ssh dhcpv6-client ports: protocols: masquerade: no forward-ports: source-ports: icmp-blocks: rich rules:

putem spune din Ieșire că această zonă este atât implicită, cât și activă și că interfețele eth0 și eth1 sunt asociate cu această zonă (știam deja toate acestea din întrebările noastre anterioare). Cu toate acestea, putem vedea, de asemenea, că această zonă permite operațiunile normale asociate cu un client DHCP (pentru atribuirea adresei IP) și SSH (pentru administrarea la distanță).

explorarea zonelor Alternative

acum avem o idee bună despre configurația pentru zona implicită și activă. Putem afla informații și despre alte zone.

pentru a obține o listă a zonelor disponibile, tastați:

  • firewall-cmd --get-zones
output
block dmz drop external home internal public trusted work

putem vedea configurația specifică asociată cu o zonă prin includerea parametrului --zone= în comanda noastră --list-all :

  • sudo firewall-cmd --zone=home --list-all
output
home interfaces: sources: services: dhcpv6-client ipp-client mdns samba-client ssh ports: masquerade: no forward-ports: icmp-blocks: rich rules:

puteți afișa toate definițiile zonei utilizând opțiunea --list-all-zones. Probabil veți dori să țeavă de ieșire într-un pager pentru vizualizare mai ușoară:

  • sudo firewall-cmd --list-all-zones | less

selectarea zonelor pentru interfețele dvs.

dacă nu ați configurat altfel interfețele de rețea, fiecare interfață va fi plasată în zona implicită atunci când firewall-ul este pornit.

schimbarea zonei unei interfețe

puteți trece o interfață între zone în timpul unei sesiuni utilizând parametrul --zone= în combinație cu parametrul --change-interface=. Ca și în cazul tuturor comenzilor care modifică firewall-ul, va trebui să utilizați sudo.

de exemplu, putem trece interfața noastră eth0 în zona” acasă ” tastând acest lucru:

  • sudo firewall-cmd --zone=home --change-interface=eth0
output
success
notă

ori de câte ori treceți o interfață într-o zonă nouă, rețineți că probabil modificați serviciile care vor fi operaționale. De exemplu, aici ne mutăm în zona” acasă”, care are SSH disponibil. Aceasta înseamnă că conexiunea noastră nu ar trebui să scadă. Unele alte zone nu au SSH activat în mod implicit și dacă conexiunea dvs. este abandonată în timp ce utilizați una dintre aceste zone, vă puteți găsi incapabil să vă conectați din nou.

putem verifica dacă acest lucru a avut succes solicitând din nou zonele active:

  • firewall-cmd --get-active-zones
output
home interfaces: eth0public interfaces: eth1

ajustarea zonei implicite

dacă toate interfețele dvs. pot fi gestionate cel mai bine de o singură zonă, este probabil mai ușor să selectați cea mai bună zonă implicită și apoi să o utilizați pentru configurația dvs.

puteți schimba zona implicită cu parametrul --set-default-zone=. Acest lucru se va schimba imediat orice interfață care a căzut din nou pe implicit la noua zonă:

  • sudo firewall-cmd --set-default-zone=home 
output
success

setarea regulilor pentru aplicațiile dvs.

modul de bază de definire a excepțiilor de firewall pentru serviciile pe care doriți să le puneți la dispoziție este ușor. Vom trece prin ideea de bază aici.

adăugarea unui serviciu în zonele dvs.

cea mai ușoară metodă este să adăugați serviciile sau porturile de care aveți nevoie în zonele pe care le utilizați. Din nou, puteți obține o listă a serviciilor disponibile cu opțiunea --get-services :

  • firewall-cmd --get-services
output
RH-Satellite-6 amanda-client amanda-k5-client bacula bacula-client bitcoin bitcoin-rpc bitcoin-testnet bitcoin-testnet-rpc ceph ceph-mon cfengine condor-collector ctdb dhcp dhcpv6 dhcpv6-client dns docker-registry dropbox-lansync elasticsearch freeipa-ldap freeipa-ldaps freeipa-replication freeipa-trust ftp ganglia-client ganglia-master high-availability http https imap imaps ipp ipp-client ipsec iscsi-target kadmin kerberos kibana klogin kpasswd kshell ldap ldaps libvirt libvirt-tls managesieve mdns mosh mountd ms-wbt mssql mysql nfs nrpe ntp openvpn ovirt-imageio ovirt-storageconsole ovirt-vmconsole pmcd pmproxy pmwebapi pmwebapis pop3 pop3s postgresql privoxy proxy-dhcp ptp pulseaudio puppetmaster quassel radius rpc-bind rsh rsyncd samba samba-client sane sip sips smtp smtp-submission smtps snmp snmptrap spideroak-lansync squid ssh synergy syslog syslog-tls telnet tftp tftp-client tinc tor-socks transmission-client vdsm vnc-server wbem-https xmpp-bosh xmpp-client xmpp-local xmpp-server
notă

puteți obține mai multe detalii despre fiecare dintre aceste servicii uitându-vă la Fișierul asociat .xml din Directorul /usr/lib/firewalld/services. De exemplu, serviciul SSH este definit astfel:

/usr/lib/firewalld/services/ssh.xml
<?xml version="1.0" encoding="utf-8"?><service> <short>SSH</short> <description>Secure Shell (SSH) is a protocol for logging into and executing commands on remote machines. It provides secure encrypted communications. If you plan on accessing your machine remotely via SSH over a firewalled interface, enable this option. You need the openssh-server package installed for this option to be useful.</description> <port protocol="tcp" port="22"/></service>

puteți activa un serviciu pentru o zonă utilizând parametrul --add-service=. Operația va viza zona implicită sau orice zonă este specificată de parametrul --zone=. În mod implicit, aceasta va ajusta doar sesiunea firewall curentă. Puteți ajusta configurația permanentă a firewall-ului prin includerea steagului --permanent.

de exemplu, dacă rulăm un server web care servește trafic HTTP convențional, putem permite acest trafic pentru interfețe în zona noastră „publică” pentru această sesiune tastând:

  • sudo firewall-cmd --zone=public --add-service=http

puteți lăsa în afara --zone= dacă doriți să modificați zona implicită. Putem verifica dacă operațiunea a avut succes utilizând operațiunile --list-all sau --list-services :

  • sudo firewall-cmd --zone=public --list-services
output
dhcpv6-client http ssh

după ce ați testat că totul funcționează așa cum ar trebui, probabil că veți dori să modificați regulile firewall-ului permanent, astfel încât serviciul dvs. să fie disponibil în continuare după repornire. Putem face ca zona noastră” publică ” să se schimbe permanent tastând:

  • sudo firewall-cmd --zone=public --permanent --add-service=http
output
success

puteți verifica dacă acest lucru a avut succes adăugând steagul --permanent la operația --list-services. Trebuie să utilizați sudo pentru orice --permanent operațiuni:

  • sudo firewall-cmd --zone=public --permanent --list-services
output
dhcpv6-client http ssh

zona dvs. „publică” va permite acum traficul web HTTP pe portul 80. Dacă serverul dvs. web este configurat să utilizeze SSL/TLS, veți dori, de asemenea, să adăugați serviciul https. Putem adăuga asta la sesiunea curentă și la regula permanentă setată tastând:

     
  • sudo firewall-cmd --zone=public --add-service=https
    •  
  • sudo firewall-cmd --zone=public --permanent --add-service=https
    •

ce se întâmplă dacă nu este disponibil niciun serviciu adecvat?

serviciile firewall care sunt incluse în instalarea firewalld reprezintă multe dintre cele mai comune cerințe pentru aplicațiile la care ați putea dori să permiteți accesul. Cu toate acestea, vor exista probabil scenarii în care aceste servicii nu se potrivesc cerințelor dvs.

în această situație, aveți două opțiuni.

deschiderea unui Port pentru zonele dvs.

cel mai simplu mod de a adăuga suport pentru aplicația dvs. specifică este să deschideți porturile pe care le utilizează în zona(zonele) corespunzătoare. Acest lucru este la fel de ușor ca specificarea portului sau a intervalului de porturi și a protocolului asociat pentru porturile pe care trebuie să le deschideți.

de exemplu, dacă aplicația noastră rulează pe portul 5000 și utilizează TCP, am putea adăuga acest lucru în zona „publică” pentru această sesiune folosind parametrul --add-port=. Protocoalele pot fi tcp sau udp:

  • sudo firewall-cmd --zone=public --add-port=5000/tcp
output
success

putem verifica dacă acest lucru a avut succes folosind operațiunea --list-ports :

  • sudo firewall-cmd --zone=public --list-ports
output
5000/tcp

de asemenea, este posibil să specificați un interval secvențial de porturi prin separarea portului de început și de sfârșit din interval cu o liniuță. De exemplu, dacă aplicația noastră utilizează porturile UDP 4990 la 4999, am putea deschide aceste pe „public” prin tastarea:

  • sudo firewall-cmd --zone=public --add-port=4990-4999/udp

după testare, probabil că am dori să le adăugăm la firewall-ul permanent. Puteți face acest lucru tastând:

     
  • sudo firewall-cmd --zone=public --permanent --add-port=5000/tcp
    •  
  • sudo firewall-cmd --zone=public --permanent --add-port=4990-4999/udp
    •  
  • sudo firewall-cmd --zone=public --permanent --list-ports
    •  
output
successsuccess5000/tcp 4990-4999/udp

definirea unui serviciu

deschiderea porturilor pentru zonele dvs. este ușoară, dar poate fi dificil să urmăriți pentru ce este fiecare. Dacă vreodată dezafectați un serviciu pe serverul dvs., este posibil să aveți dificultăți în a vă aminti ce porturi care au fost deschise sunt încă necesare. Pentru a evita această situație, este posibil să definiți un serviciu.

serviciile sunt pur și simplu colecții de porturi cu un nume și o descriere asociate. Utilizarea serviciilor este mai ușor de administrat decât porturile, dar necesită un pic de lucru în avans. Cel mai simplu mod de a începe este să copiați un script existent (găsit în /usr/lib/firewalld/services) în directorul /etc/firewalld/services unde firewall-ul caută definiții non-standard.

de exemplu, am putea copia definiția serviciului SSH pentru a o folosi pentru definiția serviciului „exemplu” ca aceasta. Numele fișierului minus sufixul .xml va dicta numele serviciului în lista de servicii firewall:

  • sudo cp /usr/lib/firewalld/services/ssh.xml /etc/firewalld/services/example.xml

acum, Puteți ajusta definiția Găsită în fișierul pe care l-ați copiat:

sudo vi /etc/firewalld/services/example.xml

pentru a începe, fișierul va conține definiția SSH pe care ați copiat-o:

/etc/firewalld/services/example.xml
<?xml version="1.0" encoding="utf-8"?><service> <short>SSH</short> <description>Secure Shell (SSH) is a protocol for logging into and executing commands on remote machines. It provides secure encrypted communications. If you plan on accessing your machine remotely via SSH over a firewalled interface, enable this option. You need the openssh-server package installed for this option to be useful.</description> <port protocol="tcp" port="22"/></service>

majoritatea acestei definiții este de fapt metadate. Veți dori să schimbați numele scurt al Serviciului în cadrul etichetelor <short>. Acesta este un nume care poate fi citit de om pentru serviciul dvs. De asemenea, ar trebui să adăugați o descriere, astfel încât să aveți mai multe informații dacă aveți nevoie vreodată să auditați serviciul. Singura configurație pe care trebuie să o faceți care afectează de fapt funcționalitatea serviciului va fi probabil definiția portului în care identificați numărul portului și protocolul pe care doriți să îl deschideți. Acest lucru poate fi specificat de mai multe ori.

pentru serviciul nostru „exemplu”, imaginați-vă că trebuie să deschidem portul 7777 pentru TCP și 8888 pentru UDP. Intrând în modul Inserare apăsând i, putem modifica definiția existentă cu ceva de genul:

/etc/firewalld/services/example.xml
<?xml version="1.0" encoding="utf-8"?><service> <short>Example Service</short> <description>This is just an example service. It probably shouldn't be used on a real system.</description> <port protocol="tcp" port="7777"/> <port protocol="udp" port="8888"/></service>

apăsați ESC, apoi introduceți :x pentru a salva și a închide fișierul.

reîncarcă firewall-ul pentru a avea acces la noul serviciu:

  • sudo firewall-cmd --reload

puteți vedea că este acum printre lista serviciilor disponibile:

  • firewall-cmd --get-services
output
RH-Satellite-6 amanda-client amanda-k5-client bacula bacula-client bitcoin bitcoin-rpc bitcoin-testnet bitcoin-testnet-rpc ceph ceph-mon cfengine condor-collector ctdb dhcp dhcpv6 dhcpv6-client dns docker-registry dropbox-lansync elasticsearch example freeipa-ldap freeipa-ldaps freeipa-replication freeipa-trust ftp ganglia-client ganglia-master high-availability http https imap imaps ipp ipp-client ipsec iscsi-target kadmin kerberos kibana klogin kpasswd kshell ldap ldaps libvirt libvirt-tls managesieve mdns mosh mountd ms-wbt mssql mysql nfs nrpe ntp openvpn ovirt-imageio ovirt-storageconsole ovirt-vmconsole pmcd pmproxy pmwebapi pmwebapis pop3 pop3s postgresql privoxy proxy-dhcp ptp pulseaudio puppetmaster quassel radius rpc-bind rsh rsyncd samba samba-client sane sip sips smtp smtp-submission smtps snmp snmptrap spideroak-lansync squid ssh synergy syslog syslog-tls telnet tftp tftp-client tinc tor-socks transmission-client vdsm vnc-server wbem-https xmpp-bosh xmpp-client xmpp-local xmpp-server

acum Puteți utiliza acest serviciu în zonele dvs. așa cum ați face în mod normal.

crearea propriilor zone

în timp ce zonele predefinite vor fi probabil mai mult decât suficiente pentru majoritatea utilizatorilor, poate fi util să vă definiți propriile zone care sunt mai descriptive ale funcției lor.

de exemplu, poate doriți să creați o zonă pentru serverul dvs. web, numită „publicweb”. Cu toate acestea, este posibil să doriți să aveți o altă zonă configurată pentru serviciul DNS pe care îl furnizați în rețeaua dvs. privată. S-ar putea să doriți o zonă numită „privateDNS” pentru asta.

când adăugați o zonă, trebuie să o adăugați la configurația firewall permanentă. Apoi puteți reîncărca pentru a aduce configurația în sesiunea de rulare. De exemplu, am putea crea cele două zone pe care le-am discutat mai sus tastând:

     
  • sudo firewall-cmd --permanent --new-zone=publicweb
    •  
  • sudo firewall-cmd --permanent --new-zone=privateDNS
    •

puteți verifica dacă acestea sunt prezente în configurația dvs. permanentă tastând:

  • sudo firewall-cmd --permanent --get-zones
output
block dmz drop external home internal privateDNS public publicweb trusted work

după cum sa menționat anterior, acestea nu vor fi disponibile încă în instanța curentă a firewall-ului:

  • firewall-cmd --get-zones
output
block dmz drop external home internal public trusted work

Reîncărcați firewall-ul pentru a aduce aceste noi zone în configurația activă:

     
  • sudo firewall-cmd --reload
    •  
  • firewall-cmd --get-zones
    •  
output
block dmz drop external home internal privateDNS public publicweb trusted work

acum, Puteți începe să atribuiți serviciile și porturile corespunzătoare zonelor dvs. De obicei, este o idee bună să ajustați instanța activă și apoi să transferați aceste modificări la configurația permanentă după testare. De exemplu, pentru zona „publicweb”, poate doriți să adăugați serviciile SSH, HTTP și HTTPS:

     
  • sudo firewall-cmd --zone=publicweb --add-service=ssh
    •  
  • sudo firewall-cmd --zone=publicweb --add-service=http
    •  
  • sudo firewall-cmd --zone=publicweb --add-service=https
    •  
  • sudo firewall-cmd --zone=publicweb --list-all
    •  
output
publicweb target: default icmp-block-inversion: no interfaces: sources: services: ssh http https ports: protocols: masquerade: no forward-ports: source-ports: icmp-blocks: rich rules:

de asemenea, putem adăuga serviciul DNS în zona noastră ” privateDNS:

     
  • sudo firewall-cmd --zone=privateDNS --add-service=dns
    •  
  • sudo firewall-cmd --zone=privateDNS --list-all
    •  
output
privateDNS interfaces: sources: services: dns ports: masquerade: no forward-ports: icmp-blocks: rich rules:

am putea apoi să ne schimbăm interfețele în aceste noi zone pentru a le testa:

     
  • sudo firewall-cmd --zone=publicweb --change-interface=eth0
    •  
  • sudo firewall-cmd --zone=privateDNS --change-interface=eth1
    •

în acest moment, aveți posibilitatea de a testa configurația. Dacă aceste valori funcționează pentru dvs., veți dori să adăugați aceleași reguli la configurația permanentă. Puteți face acest lucru prin reaplicarea regulilor cu steagul --permanent :

     
  • sudo firewall-cmd --zone=publicweb --permanent --add-service=ssh
    •  
  • sudo firewall-cmd --zone=publicweb --permanent --add-service=http
    •  
  • sudo firewall-cmd --zone=publicweb --permanent --add-service=https
    •  
  • sudo firewall-cmd --zone=privateDNS --permanent --add-service=dns
    •

după aplicarea permanentă a acestor reguli, puteți reporni rețeaua și reîncărca serviciul firewall:

     
  • sudo systemctl restart network
    •  
  • sudo systemctl reload firewalld
    •

validați că zonele corecte au fost atribuite:

  • firewall-cmd --get-active-zones
output
privateDNS interfaces: eth1publicweb interfaces: eth0

și validați că serviciile corespunzătoare sunt disponibile pentru ambele zone:

  • sudo firewall-cmd --zone=publicweb --list-services
output
http https ssh
  • sudo firewall-cmd --zone=privateDNS --list-services
output
dns

ați configurat cu succes propriile zone! Dacă doriți să faceți una dintre aceste zone implicită pentru alte interfețe, nu uitați să configurați acel comportament cu parametrul --set-default-zone= :

sudo firewall-cmd --set-default-zone=publicweb

concluzie

acum ar trebui să aveți o înțelegere destul de bună a modului de administrare a serviciului firewalld pe sistemul dvs.

serviciul firewalld vă permite să configurați reguli de întreținere și seturi de reguli care iau în considerare mediul de rețea. Vă permite să treceți fără probleme între diferite politici de firewall prin utilizarea zonelor și oferă administratorilor posibilitatea de a abstractiza gestionarea porturilor în definiții de servicii mai prietenoase. Dobândirea unei cunoștințe de lucru a acestui sistem vă va permite să profitați de flexibilitatea și puterea pe care le oferă acest instrument.

Lasă un răspuns

Adresa ta de email nu va fi publicată.

Previous post Cefalu, Italia: Un ghid complet pentru orașul sicilian de plajă
Next post Idei Cina mister cu elemente de meniu