… [Trackback]
[…] Read More here to that Topic: blog.neterra.cloud/bg/как-да-конфигурирате-и-управлявате-за/ […]
Защитната стена (firewall) е начин за наблюдение и филтриране на мрежовия трафик. Както входящ, така и изходящ.
Тази статия е за напреднали потребители, които вече знаят какво представлява.
CentOS 8 има софтуер за защитна стена (firewall), наречен firewalld. Ще видим как работи, как да го конфигурираме и как да го управляваме.
Firewalld е решение за защитна стена (firewall), което е вградено в различни Linux дистрибуции (CentOS, RHEL, Fedora, SUSE, OpenSUSE и други). Това е динамично управлявана защитна стена, която може да задава ограничения за различни мрежи и интерфейси. Поддържа IPv4, IPv6, bridge и ipset.
Това, което е страхотно е, че има D-Bus интерфейс за услуги, приложения и потребители. Използвайки го, промените могат да се извършват динамично, без да е необходимо рестартиране.
Можете също така да използвате среда за тестване и да го конфигурирате по желания от вас начин.
Когато използвате средата за тестване, тя действително влиза в сила, но не се запазва за постоянно.
Когато сте сигурни в промените, за да ги направите постоянни, ползвайте командата:
firewall-cmd --runtime-to-permanent
Има лесен за използване интерфейс, в който можете да дефинирате услуги, портове, протоколи, модули и други.
Firewalld работи с предварително зададени зони с различни набори от правила. Можете да използвате тези зони, които вече съществуват, или да добавите персонализирани зони за вашите нужди.
Какво представляват зоните на firewalld? Те са набор от правила, предварително дефинирани, които имат нива на доверие за мрежите, към които сте свързани. Можете да зададете ръчно мрежови интерфейси и източници на определена зона.
Ето списъка на зоните по подразбиране на Firewalld:
• Drop – най-ограничителната. Тя премахва всички входящи връзки и оставя само изходящите.
• Block – Много подобна на Drop, но тук получавате съобщение „icmp-host-prohibited“ за IPv4 и „icmp6-adm- prohibited“ за IPv6.
• Public – Public е ненадежден, така че всички компютри в мрежата са блокирани, освен ако не разрешите връзките.
• External – External (Външна) е, когато използвате компютъра си като гейтуей или рутер. Можете да ограничите входящите връзки само на разрешени от вас.
• Internal – отново системата ви се използва като рутер или гейтуей, но този път за вътрешна мрежа. Останалите системи са предимно надеждни и отново са позволени само входящите връзки.
• Dmz – за устройства в демилитаризирана зона. Разрешени са само избрани входящи връзки.
• Work – за работни машини. Компютрите в мрежата са с доверие. Отново, само избран входящ трафик е разрешен.
• Home – за устройства у дома. Нивото на доверие е високо. Разрешените входящи връзки все още са ограничени само до избрани.
• Trusted – всички устройства и връзки са надеждни.
За да можете да го използвате, трябва да сте потребител с root или с привилегии sudo.
Firewalld трябва да бъде предварително инсталиран на вашия CentOS 8, но ако липсва, можете да го инсталирате с тази команда:
$ sudo dnf install firewalld
След това да го активирате с тази команда:
$ sudo systemctl enable firewalld -now
И накрая, за да проверите дали работи:
$ sudo firewall-cmd --state
По подразбиране е зададена Public зоната. За да се уверите дали това е така, можете да използвате следната команда:
$ sudo firewall-cmd --get-default-zone
За да видите пълния списък на всички зони, използвайте тази:
$ sudo firewall-cmd --get-zones
За да промените на друга зона, вземете името на зоната, която искате, от предишната команда, и използвайте следното:
$ sudo firewall-cmd --set-default-zone=ИМЕ НА НОВА ЗОНА ТУК
За да проверите всички активни зони и мрежови интерфейси, които им съответстват, използвайте тази команда:
$ sudo firewall-cmd --get-active-zones
За да промените основното поведение на зоната (нейното поведение по подразбиране за входящ трафик), можете да използвате едно от следните default, ACCEPT, REJECT и DROP.
Да видим пример с ACCEPT:
$ sudo firewall-cmd --zone=public --set-target=ACCEPT
Можете лесно да зададете интерфейси на определени зони. Първо уточняваме зоната, в този случай тя ще бъде Home, след това използваме модификатора за промяна на интерфейса и уточняваме интерфейса. Вижте примера със зона Home и eth1 интерфейс:
$ sudo firewall-cmd --zone=home --change-interface=eth1
За да видите всички правила и услуги за конкретна зона (Public зона в примера):
$ sudo firewall-cmd --list-all --zone=public
Можете също да използвате следното, за да видите услугите на зоната по подразбиране:
$ sudo firewall-cmd --get-services
За да добавите HTTP услуга използвайте:
$ sudo firewall-cmd --zone=public --add-service=http
Отваряне на порт 80/tcp:
$ sudo firewall-cmd --zone=public --add-port=80/tcp
Ако искате да го направите постоянен, трябва да добавите “–permanent” след “–cmd“.
Източници:
https://www.centos.org/
https://firewalld.org/
https://linuxize.com/post/how-to-configure-and-manage-firewall-on-centos-8/
https://linuxize.com/post/create-a-sudo-user-on-centos/
https://www.digitalocean.com/community/tutorials/how-to-set-up-a-firewall-using-firewalld-on-centos-8
… [Trackback]
[…] Read More here to that Topic: blog.neterra.cloud/bg/как-да-конфигурирате-и-управлявате-за/ […]
… [Trackback]
[…] Here you can find 94575 additional Information to that Topic: blog.neterra.cloud/bg/как-да-конфигурирате-и-управлявате-за/ […]
… [Trackback]
[…] Find More to that Topic: blog.neterra.cloud/bg/как-да-конфигурирате-и-управлявате-за/ […]
… [Trackback]
[…] Read More Information here on that Topic: blog.neterra.cloud/bg/как-да-конфигурирате-и-управлявате-за/ […]
… [Trackback]
[…] Here you will find 43106 more Information on that Topic: blog.neterra.cloud/bg/как-да-конфигурирате-и-управлявате-за/ […]
… [Trackback]
[…] Find More to that Topic: blog.neterra.cloud/bg/как-да-конфигурирате-и-управлявате-за/ […]
… [Trackback]
[…] Find More Information here to that Topic: blog.neterra.cloud/bg/как-да-конфигурирате-и-управлявате-за/ […]
… [Trackback]
[…] Read More Info here to that Topic: blog.neterra.cloud/bg/как-да-конфигурирате-и-управлявате-за/ […]
… [Trackback]
[…] Read More here on that Topic: blog.neterra.cloud/bg/как-да-конфигурирате-и-управлявате-за/ […]
… [Trackback]
[…] Find More here to that Topic: blog.neterra.cloud/bg/как-да-конфигурирате-и-управлявате-за/ […]
… [Trackback]
[…] There you will find 92929 more Information to that Topic: blog.neterra.cloud/bg/как-да-конфигурирате-и-управлявате-за/ […]