Gagnlegar FirewallD reglur til að stilla og stjórna eldvegg í Linux
Eldveggur býður upp á leið til að stilla kraftmiklar eldveggsreglur í Linux sem hægt er að nota samstundis, án þess að endurræsa eldvegg, og einnig styður það D-BUS og svæðishugtök sem auðvelda uppsetningu.
Firewalld kom í stað eldveggs gamla Fedora (Fedora 18 og áfram) vélbúnaður, RHEL/CentOS 7 og aðrar nýjustu dreifingar treysta á þetta nýja kerfi. Einn stærsti hvatinn til að kynna nýtt eldveggkerfi er að gamli eldveggurinn þarfnast endurræsingar eftir hverja breytingu og rjúfa þannig allar virkar tengingar. Eins og sagt er hér að ofan, að nýjasta eldveggurinn styður kraftmikil svæði sem er gagnlegt við að stilla mismunandi sett af svæðum og reglum fyrir skrifstofuna þína eða heimanetið með skipanalínu eða með GUI aðferð.
Upphaflega virðist eldvegghugtakið mjög erfitt að stilla, en þjónusta og svæði gera það auðveldara með því að halda báðum saman eins og fjallað er um í þessari grein.
Í fyrri greininni okkar, þar sem við höfum séð hvernig á að spila með eldvegg og svæði þess, núna hér, í þessari grein, munum við sjá nokkrar gagnlegar eldveggsreglur til að stilla núverandi Linux kerfin þín með því að nota skipanalínuleiðina.
- Eldveggsstillingar í RHEL/CentOS 7
Öll dæmin sem fjallað er um í þessari grein eru nánast prófuð á CentOS 7 dreifingu og virka einnig á RHEL og Fedora dreifingu.
Áður en eldveggsreglur eru innleiddar skaltu ganga úr skugga um að athuga fyrst hvort eldveggsþjónusta sé virkjuð og í gangi.
# systemctl status firewalld
Myndin hér að ofan sýnir að eldveggurinn er virkur og í gangi. Nú er kominn tími til að athuga öll virku svæðin og virka þjónustuna.
# firewall-cmd --get-active-zones # firewall-cmd --get-services
Ef þú þekkir ekki skipanalínuna, þú getur líka stjórnað eldvegg frá GUI, til þess þarftu að hafa GUI pakka uppsettan á kerfinu, ef ekki setja hann upp með eftirfarandi skipun.
# yum install firewalld firewall-config
Eins og sagt er hér að ofan er þessi grein sérstaklega skrifuð fyrir unnendur skipanalínu og öll dæmin, sem við ætlum að fjalla um, eru eingöngu byggð á skipanalínu, engin GUI leið..því miður…..
Áður en lengra er haldið skaltu fyrst ganga úr skugga um að staðfesta á hvaða opinberu svæði þú ætlar að stilla Linux eldvegg og skrá alla virka þjónustu, höfn, ríkar reglur fyrir almenningssvæði með eftirfarandi skipun.
# firewall-cmd --zone=public --list-all
Á myndinni hér að ofan er engum virkum reglum bætt við ennþá, við skulum sjá hvernig á að bæta við, fjarlægja og breyta reglum í þeim hluta sem eftir er af þessari grein….
1. Bæta við og fjarlægja höfn í Firewalld
Til að opna hvaða höfn sem er fyrir almenningssvæði skaltu nota eftirfarandi skipun. Til dæmis mun eftirfarandi skipun opna höfn 80 fyrir almenningssvæði.
# firewall-cmd --permanent --zone=public --add-port=80/tcp
Að sama skapi, til að fjarlægja bætta höfn, notaðu bara „-fjarlægja“ valkostinn með eldveggsskipuninni eins og sýnt er hér að neðan.
# firewall-cmd --zone=public --remove-port=80/tcp
Eftir að tilteknum höfnum hefur verið bætt við eða fjarlægð, vertu viss um að staðfesta hvort höfninni sé bætt við eða fjarlægt með því að nota valmöguleikann „-list-ports“.
# firewall-cmd --zone=public --list-ports
2. Bæta við og fjarlægja þjónustu í Firewalld
Sjálfgefið er að eldveggurinn fylgir fyrirfram skilgreindri þjónustu, ef þú vilt bæta við lista yfir sérstakar þjónustur þarftu að búa til nýja xml skrá með öllum þjónustum sem eru innifalin í skránni eða annars geturðu líka skilgreint eða fjarlægt hverja þjónustu handvirkt með því að keyra eftirfarandi skipanir.
Til dæmis munu eftirfarandi skipanir hjálpa þér að bæta við eða fjarlægja sérstakar þjónustur, eins og við gerðum fyrir FTP hér í þessu dæmi.
# firewall-cmd --zone=public --add-service=ftp # firewall-cmd --zone=public --remove-service=ftp # firewall-cmd --zone=public --list-services
3. Lokaðu fyrir komandi og útleiðar pakka (lætihamur)
Ef þú vilt loka á komandi eða útleiðar tengingar þarftu að nota „panic-on“ ham til að loka fyrir slíkar beiðnir. Til dæmis mun eftirfarandi regla sleppa öllum núverandi tengingum á kerfinu.
# firewall-cmd --panic-on
Eftir að hafa virkjað lætiham, reyndu að pinga hvaða lén sem er (segðu google.com) og athugaðu hvort lætihamurinn sé ON með því að nota '–query-panic' valkostinn eins og lýst er hér að neðan.
# ping google.com -c 1 # firewall-cmd --query-panic
Sérðu á myndinni hér að ofan segir lætifyrirspurnin „Óþekktur gestgjafi google.com“. Reyndu nú að slökkva á læti ham og smelltu svo aftur og athugaðu.
# firewall-cmd --query-panic # firewall-cmd --panic-off # ping google.com -c 1
Núna að þessu sinni verður pingbeiðni frá google.com..