Centos 7 firewall cmd açıq port

Quraşdırılmışdır əməliyyat sistemi Firewall icazəsiz trafikin aralarından keçməsinin qarşısını almaq üçün istifadə olunur kompüter şəbəkələri. Firewall üçün xüsusi qaydalar əl ilə və ya avtomatik olaraq yaradılır, bunlar girişə nəzarət üçün cavabdehdir. Linux nüvəsində hazırlanmış ƏS, CentOS 7 daxili təhlükəsizlik divarına malikdir və o, təhlükəsizlik divarından istifadə etməklə idarə olunur. FirewallD defolt olaraq aktivdir və biz bu gün onun qurulması haqqında danışmaq istərdik.

Yuxarıda qeyd edildiyi kimi, CentOS 7-də standart firewall FirewallD yardım proqramıdır. Buna görə də bu alətdən nümunə kimi istifadə edərək firewall qurmaq müzakirə olunacaq. Eyni iptables istifadə edərək filtrləmə qaydalarını təyin edə bilərsiniz, lakin bu bir az fərqli şəkildə edilir. Aşağıdakı linkə klikləməklə qeyd olunan yardım proqramının konfiqurasiyası ilə tanış olmağı tövsiyə edirik və biz FirewallD-ni təhlil etməyə başlayacağıq.

Firewall Əsasları

Bir neçə zona var - şəbəkələrə inam əsasında trafikin idarə edilməsi üçün qaydalar dəsti. Onların hamısına öz siyasətləri verilir, onların məcmusu firewall konfiqurasiyasını təşkil edir. Hər bir zonaya bir və ya daha çox şəbəkə interfeysi təyin edilir ki, bu da filtrləməni tənzimləməyə imkan verir. Tətbiq olunan qaydalar birbaşa istifadə olunan interfeysdən asılıdır. Məsələn, ictimai Wi-Fi şəbəkəsinə qoşulduqda firewall nəzarət səviyyəsini yüksəldəcək və in ev şəbəkəsi zəncir iştirakçıları üçün əlavə giriş açacaq. Sözügedən firewall aşağıdakı zonaları ehtiva edir:

• etibarlı — bütün şəbəkə cihazlarında maksimum etibar səviyyəsi;
• ev - qrup yerli şəbəkə. Ətraf mühitə inam var, lakin daxil olan əlaqələr yalnız müəyyən maşınlar üçün mövcuddur;
• iş - iş sahəsi. Əksər cihazlarda inam var və əlavə xidmətlər aktivləşdirilir;
• dmz təcrid olunmuş kompüterlər üçün zonadır. Bu cür qurğular şəbəkənin qalan hissəsindən ayrılır və yalnız müəyyən daxil olan trafikə icazə verir;
• daxili — daxili şəbəkələrin zonası. Bütün maşınlara güvən tətbiq edilir, əlavə xidmətlər açılır;
• xarici — zona əvvəlkinə əks. Xarici şəbəkələrdə NAT maskaradlığı aktivdir, daxili şəbəkəni bağlayır, lakin giriş əldə etmək imkanına mane olmur;
• ictimai - bütün cihazlara inamsızlıq və daxil olan trafikin fərdi qəbulu ilə ictimai şəbəkələr zonası;
• blok - bütün daxil olan sorğular göndərilən bir səhvlə sıfırlanır icmp-host qadağandır və ya icmp6-adm qadağandır;
• düşmə - minimum etibar səviyyəsi. Gələn əlaqələr heç bir bildiriş olmadan kəsilir.

Siyasətlərin özləri müvəqqəti və ya daimi ola bilər. Parametrlər görünəndə və ya redaktə edildikdə, firewall hərəkəti yenidən başlamağa ehtiyac olmadan dərhal dəyişir. Əgər müvəqqəti qaydalar tətbiq edilibsə, onlar FirewallD yenidən işə salındıqdan sonra sıfırlanacaq. Buna görə də daimi qayda belə adlanır - onun üçün qorunacaqdır daimi əsas-permanent arqumentindən istifadə edərkən.

FirewallD aktivləşdirilir

Əvvəlcə FirewallD-ni işə salmalı və ya onun aktiv vəziyyətdə olduğundan əmin olmalısınız. Yalnız işləyən bir demon (işləyən proqram fon) firewall qaydalarını tətbiq edəcək. Aktivləşdirmə bir neçə kliklə həyata keçirilir:

1. Klassik işə salın "Terminal" hər hansı bir rahat üsul, məsələn, menyu vasitəsilə "Tətbiqlər".



2. Sudo systemctl start firewalld.service əmrini daxil edin və düyməni basın Daxil edin.



3. Utilit super istifadəçi adından idarə olunur, ona görə də parol daxil etməklə orijinallığınızı təsdiq etməli olacaqsınız.



4. Xidmətin işlədiyinə əmin olmaq üçün firewall-cmd --state təyin edin.



5. Açılanda qrafik pəncərə yenidən autentifikasiya edin.



6. Yeni bir xətt görünəcək. Məna "qaçış" təhlükəsizlik divarının işlədiyini göstərir.

Əgər siz nə vaxtsa firewall-u müvəqqəti və ya həmişəlik deaktiv etməlisinizsə, aşağıdakı linkdə digər məqaləmizdə təqdim olunan təlimatlardan istifadə etməyi məsləhət görürük.

Defolt qaydalara və mövcud zonalara baxın

Hətta normal işləyən bir firewall da öz xüsusi qaydalarına və əlçatan zonalarına malikdir. Siyasətləri redaktə etməyə başlamazdan əvvəl cari konfiqurasiya ilə tanış olmağı tövsiyə edirik. Bu sadə əmrlərdən istifadə etməklə edilir:

1. Firewall-cmd --get-default-zone əmri sizə standart zonanı təyin etməyə kömək edəcək.



2. Onu aktivləşdirdikdən sonra tələb olunan parametrin göstəriləcəyi yeni sətir görəcəksiniz. Məsələn, aşağıdakı ekran görüntüsündə zona aktiv hesab olunur "ictimai".



3. Bununla belə, bir neçə zona eyni anda aktiv ola bilər və onlar ayrıca interfeys ilə əlaqələndirilir. Bu məlumatı firewall-cmd --get-active-zones vasitəsilə tapın.



4. Firewall-cmd --list-all əmri standart zona üçün konfiqurasiya edilmiş qaydaları göstərəcək. Aşağıdakı ekran görüntüsünə nəzər salın. Siz aktiv zona olduğunu görürsünüz "ictimai" qayda təyin edilir "defolt"- standart əməliyyat, interfeys "enp0s3" və iki xidmət əlavə edildi.



5. Bütün mövcud firewall zonalarını öyrənmək istəyirsinizsə, firewall-cmd --get-zones daxil edin.



6. Xüsusi zonanın parametrləri firewall-cmd --zone=name --list-all vasitəsilə müəyyən edilir. ad- zona adı.

Lazımi parametrləri təyin etdikdən sonra onları dəyişdirməyə və əlavə etməyə davam edə bilərsiniz. Ən populyar konfiqurasiyalardan bir neçəsini daha ətraflı nəzərdən keçirək.

İnterfeys zonalarının qurulması

Yuxarıdakı məlumatlardan bildiyiniz kimi, hər bir interfeysin öz standart zonası var. Parametrlər istifadəçi tərəfindən və ya proqramlı şəkildə dəyişdirilənə qədər orada qalacaq. Bir seans üçün interfeysi zonaya əl ilə köçürmək mümkündür və bu, sudo firewall-cmd --zone=home --change-interface=eth0 əmrini aktivləşdirməklə həyata keçirilir. Nəticə "uğur" transferin uğurlu olduğunu göstərir. Nəzərinizə çatdıraq ki, bu cür parametrlər firewall yenidən işə salındıqdan dərhal sonra sıfırlanır.

Bu kimi parametrləri dəyişdirərkən, xidmətlərin sıfırlana biləcəyini nəzərə almalısınız. Bəziləri müəyyən zonalarda əməliyyatı dəstəkləmir, məsələn, SSH-də mövcud olsa da "ev", lakin xüsusi və ya xüsusi olanlarda xidmət işləməkdən imtina edəcək. Siz firewall-cmd --get-active-zones daxil etməklə interfeysin yeni filialla uğurla əlaqələndirildiyini yoxlaya bilərsiniz.

Əgər əvvəllər etdiyiniz parametrləri yenidən qurmaq istəyirsinizsə, sadəcə olaraq firewall-u yenidən başladın: sudo systemctl firewalld.service yenidən başladın.

Bəzən sadəcə bir seans üçün interfeys zonasını dəyişmək həmişə əlverişli olmur. Bu halda, bütün parametrlərin daimi olaraq daxil edilməsi üçün konfiqurasiya faylını redaktə etməlisiniz. Bunun üçün mətn redaktorundan istifadə etməyi məsləhət görürük nano, sudo yum install nano ilə rəsmi depodan quraşdırılmışdır. Bundan sonra, yalnız aşağıdakıları etmək qalır:

1. Sudo nano /etc/sysconfig/network-scripts/ifcfg-eth0 yazaraq redaktor vasitəsilə konfiqurasiya faylını açın, burada et0— tələb olunan interfeysin adı.



2. Həqiqiliyi təsdiq edin hesab sonrakı hərəkətləri yerinə yetirmək üçün.



3. Parametri tapın "ZONA" və dəyərini istədiyinizə dəyişdirin, məsələn, ictimai və ya ev .



4. Düymələri basıb saxlayın Ctrl+O dəyişiklikləri saxlamaq üçün.



5. Fayl adını dəyişməyin, sadəcə üzərinə klikləyin Daxil edin.



6. Çıx mətn redaktoru vasitəsilə Ctrl+X.

İndi interfeys zonası konfiqurasiya faylını növbəti dəfə redaktə edənə qədər qeyd etdiyiniz kimi olacaq. Yenilənmiş parametrlərin qüvvəyə minməsi üçün sudo systemctl restart network.service və sudo systemctl restart firewalld.service .

Standart zonanın qurulması

Yuxarıda, biz artıq standart zonanı tapmağa imkan verən bir əmr nümayiş etdirdik. Seçdiyiniz parametri təyin etməklə də dəyişdirilə bilər. Bunun üçün konsolda sudo firewall-cmd --set-default-zone=name yazın. ad— tələb olunan zonanın adı.

Əmrin müvəffəqiyyəti yazı ilə göstəriləcək "uğur" ayrı bir xətt üzrə. Bundan sonra, konfiqurasiya fayllarında başqa hal nəzərdə tutulmayıbsa, bütün cari interfeyslər göstərilən zonaya bağlanacaq.

Proqramlar və utilitlər üçün qaydaların yaradılması

Məqalənin əvvəlində hər bir zonanın hərəkətindən danışdıq. Belə filiallarda xidmətlərin, kommunal xidmətlərin və proqramların müəyyən edilməsi sizə hər bir istifadəçinin ehtiyaclarına uyğun olaraq onların hər biri üçün fərdi parametrlər tətbiq etməyə imkan verəcək. Başlamaq üçün, mövcud olanların tam siyahısı ilə tanış olmağı tövsiyə edirik Bu an xidmətlər: firewall-cmd --get-services .

Nəticə birbaşa konsolda göstəriləcək. Hər bir server boşluqla ayrılır və siz maraqlandığınız aləti siyahıda asanlıqla tapa bilərsiniz. Tələb olunan xidmət mövcud deyilsə, əlavə olaraq quraşdırılmalıdır. Rəsmi proqram sənədlərində quraşdırma qaydaları haqqında oxuyun.

Yuxarıdakı əmr yalnız xidmət adlarını göstərir. Onların hər biri üçün ətraflı məlumat /usr/lib/firewalld/services yolu boyunca yerləşən fərdi fayl vasitəsilə əldə edilir. Bu cür sənədlər XML formatındadır, məsələn, SSH-ə gedən yol belə görünür: /usr/lib/firewalld/services/ssh.xml və sənəd aşağıdakı məzmuna malikdir:

SSH
Secure Shell (SSH) uzaq maşınlara daxil olmaq və əmrləri yerinə yetirmək üçün bir protokoldur. Təhlükəsiz şifrələnmiş rabitə təmin edir. Əgər siz firewall interfeysi üzərindən SSH vasitəsilə maşınınıza uzaqdan daxil olmağı planlaşdırırsınızsa, bu seçimi aktiv edin. Bu seçimin faydalı olması üçün sizə openssh-server paketi quraşdırılmalıdır.

Müəyyən bir zonada xidmət dəstəyi əl ilə aktivləşdirilir. IN "Terminal"əmrini verməlisiniz sudo firewall-cmd --zone=public --add-service=http, burada --zone=ictimai- aktivləşdirmə zonası və --add-service=http— xidmətin adı. Nəzərə alın ki, belə dəyişiklik yalnız bir seansa şamil ediləcək.

Daimi əlavə sudo firewall-cmd --zone=public --permanent --add-service=http vasitəsilə həyata keçirilir və nəticə "uğur"əməliyyatın uğurla başa çatdığını göstərir.

Baxın tam siyahı Siyahını ayrıca konsol sətirində göstərməklə xüsusi zona üçün daimi qaydalar yarada bilərsiniz: sudo firewall-cmd --zone=public --permanent --list-services .

Xidmətə çıxışın olmaması probleminin həlli

Varsayılan olaraq, firewall qaydaları icazə verilən ən populyar və təhlükəsiz xidmətləri sıralayır, lakin bəzi standart və ya üçüncü tərəf proqramları bloklayır. Bu halda, istifadəçi giriş problemini həll etmək üçün parametrləri əl ilə dəyişməli olacaq. Bu iki fərqli şəkildə edilə bilər.

Port yönləndirmə

Bildiyiniz kimi, bütün şəbəkə xidmətləri müəyyən bir portdan istifadə edir. Firewall tərəfindən asanlıqla aşkar edilir və bloklama ondan istifadə edilə bilər. Firewalldan bu cür hərəkətlərin qarşısını almaq üçün sudo firewall-cmd --zone=public --add-port=0000/tcp əmri ilə tələb olunan portu açmalısınız, burada --zone=ictimai- liman sahəsi, --add-port=0000/tcp— port nömrəsi və protokol. Firewall-cmd --list-ports seçimi açıq portların siyahısını göstərəcək.

Əgər diapazona daxil edilmiş portları açmaq lazımdırsa, sudo firewall-cmd --zone=public --add-port=0000-9999/udp xəttini istifadə edin, burada --add-port=0000-9999/udp— portların diapazonu və onların protokolu.

Yuxarıdakı əmrlər yalnız belə parametrlərin istifadəsini sınamağa imkan verəcəkdir. Uğurlu olarsa, eyni portları daimi parametrlərə əlavə etməlisiniz və bu, sudo firewall-cmd --zone=public --permanent --add-port=0000/tcp və ya sudo firewall-cmd -- daxil etməklə həyata keçirilir. zona=public --permanent --add-port=0000-9999/udp . Açıq daimi portların siyahısı belə görünür: sudo firewall-cmd --zone=public --permanent --list-ports .

Xidmət Tərifi

Gördüyünüz kimi, portların əlavə edilməsi heç bir çətinlik yaratmır, lakin çox sayda proqram istifadə edildikdə prosedur daha mürəkkəbləşir. İstifadə olunan bütün portları izləmək çətinləşir, ona görə də xidməti müəyyən etmək daha yaxşı seçim olardı:

Sizə yetərli olan şey xidmətə girişlə bağlı problemlərin həlli üçün ən uyğun metodu seçmək və verilən təlimatlara əməl etməkdir. Gördüyünüz kimi, bütün hərəkətlər olduqca asanlıqla həyata keçirilir və heç bir çətinlik yaranmamalıdır.

Fərdi zonaların yaradılması

Artıq bilirsiniz ki, FirewallD əvvəlcə müəyyən qaydalarla çoxlu sayda müxtəlif zonalar yaratmışdır. Ancaq vəziyyətlər var ki sistem administratoru kimi xüsusi zona yaratmalısınız "ictimai şəbəkə" quraşdırılmış veb server üçün və ya "özəl DNS"— DNS serveri üçün. Bu iki nümunədən istifadə edərək filialların əlavə edilməsinə baxacağıq:

Bu yazıda siz xüsusi zonalar yaratmağı və onlara xidmətlər əlavə etməyi öyrəndiniz. Onları standart olaraq təyin etmək və interfeyslərin təyin edilməsi haqqında yuxarıda danışdıq; yalnız düzgün adları göstərmək kifayətdir. Hər hansı daimi dəyişiklik etdikdən sonra firewallınızı yenidən başlatmağı unutmayın.

Gördüyünüz kimi, FirewallD firewall ən çevik firewall konfiqurasiyasını yaratmağa imkan verən kifayət qədər əhatəli bir vasitədir. Qalan şey, yardım proqramının sistemdən başlamasına və göstərilən qaydaların dərhal işə başlamasına əmin olmaqdır. Bunu sudo systemctl enable firewalld əmri ilə edin.

Serveri xarici təhdidlərdən qorumaq üçün ilk addım gələn və gedən trafiki süzgəcdən keçirən firewalldır. Bu yazıda mən CentOS-da xüsusi bir firewall olan iptables-in qurulmasını müzakirə etmək, həmçinin onu quraşdırmaq və söndürmək haqqında danışmaq istəyirəm. Bələdçim hərtərəfli olmayacaq, mən yalnız ən vacib hesab etdiyim və öz işimdə istifadə etdiyim cəhətləri nəzərdən keçirəcəyəm.

Bu məqalə server haqqında bir sıra məqalələrin bir hissəsidir.

Giriş

IPtables hazırda müasir Linux paylamaları arasında faktiki standartdır. Firewall kimi başqa nəyin istifadə edildiyini dərhal xatırlaya bilmirəm. Beləliklə, hər hansı bir Linux administratoru öz işində bu firewall qurmaqla məşğul olmalıdır.

Bu firewallla daha "rahat" konfiqurasiya üçün istifadə edilən müxtəlif bağlantılar var. Ubuntu var ufw, sentosla - firewalld, digərlərini tanımıram. Şəxsən mən bu vasitələrdən istifadə etməkdə heç bir rahatlıq görmürəm. Mən işimin ən əvvəlində öyrəndiyim kimi köhnə üsulla Linux firewall qurmağa öyrəşmişəm. Düşünürəm ki, bu, ən sadə və rahat yoldur, onu sizinlə bölüşəcəyəm. Onun mahiyyəti ondan ibarətdir ki, skript firewall qaydaları ilə yaradılır. Bu skript ehtiyaclarınıza uyğun olaraq asanlıqla redaktə edilə və serverdən serverə köçürülə bilər.

Firewalld deaktiv edilir

Mən artıq mövzuda firewalld-un söndürülməsi məsələsinə toxunmuşam. Əvvəlcə quraşdırmadan dərhal sonra standart olaraq centos 7-də mövcud olan firewalld-u söndürək:

# systemctl firewalld dayandırın

İndi onu başlanğıcdan çıxaraq ki, yenidən başladıqdan sonra yenidən işə düşməsin:

# systemctl firewalldu söndürün

Bundan sonra serverdəki firewall parametrləri tamamilə açıq olur. Komanda ilə iptables qaydalarına baxa bilərsiniz:

iptables quraşdırılması

Əslində, serverimizdə artıq bir firewall var və o işləyir, sadəcə qaydalar yoxdur, hər şey açıqdır. Əlavə idarəetmə proqramları quraşdırmalıyıq, onsuz iptables konfiqurasiya etmək mümkün deyil. Məsələn, təhlükəsizlik duvarını yenidən başlatmaq mümkün olmayacaq:

# systemctl yenidən başladın iptables.service Metod çağırışı vermək uğursuz oldu: Vahid iptables.service yüklənə bilmədi: Belə fayl və ya kataloq yoxdur.

Yoxsa onu autorun-a əlavə edə bilməyəcəksiniz:

# systemctl enable iptables.service Metod çağırışı vermək alınmadı: Belə fayl və ya kataloq yoxdur

Bu cür səhvlərin qarşısını almaq üçün lazımi paketi kommunallarla quraşdırın:

# yum -y iptables-xidmətlərini quraşdırın

İndi siz işə salmaq və işə salmaq üçün iptables əlavə edə bilərsiniz:

# systemctl iptables.service'i aktivləşdirin # systemctl iptables.service'i işə salın

Təhlükəsizlik divarının qurulması

Mən firewall qaydalarını idarə etmək üçün skriptdən istifadə edirəm. Gəlin onu yaradaq:

# mcedit /etc/iptables.sh

Sonra onu lazımi qaydalarla dolduracağıq. Skriptin bütün əhəmiyyətli hissələrini təhlil edəcəyəm və Tam formada verim mətn faylı məqalənin sonunda. Kopyalama və yapışdırmağı qadağan etmək üçün qaydalar şəkillər şəklində hazırlanmışdır. Bu, məqaləni hazırlayarkən özüm də qarşılaşdığım qaydaların işində səhvlərə səbəb ola bilər.

Serverin yerli şəbəkə üçün İnternetə giriş qapısı olduğu bir vəziyyəti nəzərdən keçirəcəyik.

Əvvəlcə skriptdə istifadə edəcəyimiz bütün dəyişənləri təyin edək. Bu lazım deyil, lakin parametrləri serverdən serverə köçürmək rahat olduğu üçün tövsiyə olunur. Sadəcə dəyişənləri yenidən təyin etmək kifayətdir.

Yeni qaydaları tətbiq etməzdən əvvəl bütün zəncirləri təmizləyirik:

Qaydalardan heç birinə uyğun gəlməyən bütün trafiki bloklayırıq:

Bütün localhost və yerli trafikə icazə verin:

Pingə icazə veririk:

Buna ehtiyacınız yoxdursa, icmp üçün icazə qaydaları əlavə etməyin.

Serverin özünə İnternetə çıxışı açırıq:

Bütün daxil olan server bağlantılarını açmaq istəyirsinizsə, aşağıdakı qaydanı əlavə edin:

İndi ən çox yayılmış şəbəkə hücumlarına qarşı qorunma əlavə edək. Əvvəlcə statusu olmayan bütün paketləri ləğv edək:

Null paketlərin bloklanması:

Özünüzü sinxron daşqın hücumlarından qorumaq:

Əgər siz yerli şəbəkədən girişə məhdudiyyət qoymursunuzsa, onda biz hamıya İnternetə daxil olmağa icazə veririk:

Sonra İnternetdən yerli şəbəkəyə girişi qadağan edirik:

Yerli şəbəkəmizin İnternetdən istifadə etməsi üçün biz nat-ı aktiv edirik:

Serverə girişi itirməmək üçün qaydaları tətbiq etdikdən sonra ssh vasitəsilə əlaqə yaratmağa icazə veririk:

Və sonunda qaydaları yazırıq ki, yenidən başladıqdan sonra tətbiq olunsun:

Biz ssh istisna olmaqla, bütün daxil olan əlaqələri bloklayan və yerli şəbəkədən İnternetə çıxışa imkan verən sadə konfiqurasiya tərtib etdik. Eyni zamanda özümüzü bəzi şəbəkə hücumlarından qorumuşuq.

Skripti yadda saxlayın, onu icra edilə bilən hala gətirin və işə salın:

# chmod 0740 /etc/iptables.sh # /etc/iptables.sh

Qaydaları nəzərdən keçirək və bütün qaydaların yerində olub olmadığını yoxlayaq:

# iptables -L -v -n

Nəzərə alın ki, qaydaları yalnız server konsoluna girişiniz olduqda tətbiq etməlisiniz. Parametrlərdə xəta olarsa, girişi itirə bilərsiniz. Fövqəladə vəziyyətdə təhlükəsizlik duvarını söndürə və parametrləri düzəldə bildiyinizə əmin olun.

Portların açılması

İndi konfiqurasiyamızı bir az genişləndirək və bəzi xidmətlər üçün iptables-də portları açaq. Tutaq ki, bizim veb serverimiz işləyir və ona internetdən girişi açmalıyıq. Veb trafiki üçün qaydalar əlavə edin:

Veb serverin öz işində istifadə etdiyi 80 və 443 nömrəli portlarda daxil olan bağlantılar üçün icazə əlavə edilmişdir.

Əgər quraşdırmısınızsa poçt serveri, sonra bütün istifadə olunan portlarda ona daxil olan bağlantılara icazə verməlisiniz:

Düzgün işləmək üçün DNS serverləri, UDP 53 portunu açmalısınız

Port yönləndirmə

Portları xarici interfeysdən yerli şəbəkədəki bəzi kompüterlərə yönləndirmək lazım olduğu bir vəziyyəti nəzərdən keçirək. Tutaq ki, almaq lazımdır rdp girişiİnternetdən 10.1.3.50 kompüterinə. 3389 TCP portunu yönləndiririk:

Kənardan məlum portu ifşa etmək istəmirsinizsə, qeyri-standart portdan hədəf kompüterin rdp portuna yönləndirə bilərsiniz:

Əgər portu xaricdən yerli şəbəkəyə yönləndirirsinizsə, xarici şəbəkədən daxili şəbəkəyə girişi bloklayan qaydanı şərh etməyi unutmayın. Mənim nümunəmdə bu qayda belədir: $IPT -A FORWARD -i $WAN -o $LAN1 -j REJECT

Və ya bu qaydadan əvvəl daxili xidmətə xarici giriş üçün icazə verən qayda yaradın, məsələn, bu kimi:

$IPT -A FORWARD -i $WAN -d 10.1.3.50 -p tcp -m tcp --dport 3389 -j QƏBUL EDİN

Qeydlərin aktivləşdirilməsi

Quraşdırma zamanı bloklanmış paketləri izləmək üçün qeydləri aktivləşdirmək və artıq açmış kimi görünən lazımi xidmətlərə niyə çıxışın olmadığını öyrənmək faydalıdır. Mən bütün bloklanmış paketləri trafikin istiqamətinə uyğun olan ayrı-ayrı zəncirlərə (block_in, block_out, block_fw) göndərirəm və loglarda hər istiqaməti qeyd edirəm. Bu, debrifinq aparmağı daha rahat edir. Parametrləri saxlamazdan əvvəl skriptin sonuna aşağıdakı qaydaları əlavə edin:

Siz bütün bloklanmış paketləri /var/log/messages faylında izləyə bilərsiniz.

Quraşdırmanı bitirdikdən sonra bu sətirləri şərh edin və girişi söndürün. Bunu mütləq etməyə dəyər, çünki loglar çox tez böyüyür. Mən şəxsən bu cür məlumatların saxlanmasında heç bir praktik məna görmürəm.

iptables-i necə söndürmək olar

Birdən firewall-a ehtiyacınız olmadığına qərar versəniz, onu aşağıdakı kimi söndürə bilərsiniz:

# systemctl iptables.service-i dayandırın

Bu əmr təhlükəsizlik duvarını dayandırır. Və aşağıdakılar onu başlanğıcdan çıxarır:

# systemctl iptables.service'i söndürün

Firewall-u deaktiv etməklə biz bütün əlaqələrə icazə verdik.

Nəticə

Söz verdiyimiz kimi, nəzərdən keçirdiyimiz əsas qaydalar dəsti ilə bitmiş skript göndərirəm

Bir daha qeyd etmək istəyirəm ki, iptables qurarkən son dərəcə diqqətli olmaq lazımdır. Server konsoluna girişiniz yoxdursa, bu biznesə başlamayın. Hətta bu yazını yazarkən qaydalardakı gülünc səhvə görə serverə girişi itirdim. Bu səhv kopyalama və ikiqat tire itməsi səbəbindən yarandı - o, tək ilə əvəz olundu.

OTUS-da “Linux Administrator” onlayn kursu. Kurs yeni başlayanlar üçün deyil, qəbul üçün sizə şəbəkələr və əsas biliklər lazımdır Linux quraşdırılması virtual maşına. Təlim 5 ay davam edir, bundan sonra kursu müvəffəqiyyətlə bitirənlər tərəfdaşlarla müsahibədən keçə biləcəklər. Bu kurs sizə nə verəcək:

• Linux arxitekturasını bilmək.
• İnkişaf müasir üsullar və məlumatların təhlili və emalı alətləri.
• Tələb olunan tapşırıqlar üçün konfiqurasiya seçmək, prosesləri idarə etmək və sistemin təhlükəsizliyini təmin etmək bacarığı.
• Sistem administratorunun əsas iş alətlərində bacarıqlıdır.
• Linux üzərində qurulmuş şəbəkələrin yerləşdirilməsi, konfiqurasiyası və saxlanmasının xüsusiyyətlərini başa düşmək.
• Yaranan problemləri tez həll etmək və sistemin sabit və fasiləsiz işləməsini təmin etmək bacarığı.

Qəbul imtahanında özünüzü sınayın və daha ətraflı məlumat üçün proqrama baxın.

FirewallD standart olaraq CentOS 7 serverlərində mövcud olan firewall idarəetmə vasitəsidir.O, əsasən IPTables ətrafında sarğıdır və qrafik konfiqurasiya aləti, firewall-config və firewall-konfiqurasiya aləti ilə gəlir. komanda xətti firewall-cmd. IPtables xidməti ilə hər dəyişiklik köhnə qaydaların silinməsini və ` faylında yeni qaydaların yaradılmasını tələb edir /etc/sysconfig/iptables` və firewall ilə yalnız fərqlər tətbiq olunur.

FirewallD zonaları

FirewallD, Iptables-də qaydalar və zəncirlər əvəzinə xidmətlər və zonalardan istifadə edir. Varsayılan olaraq, aşağıdakı zonalar mövcuddur:

• damcı– Bütün gələn şəbəkə paketlərini cavabsız buraxın, yalnız gedən paketləri şəbəkə əlaqələri mövcuddur.
• blok– icmp-host-prohibited mesajı ilə bütün daxil olan şəbəkə paketlərini rədd edin, yalnız gedən şəbəkə bağlantılarına icazə verilir.
• ictimai– ictimai yerlərdə istifadə üçün yalnız seçilmiş daxil olan bağlantılar qəbul edilir
• xarici– Maskadlı xarici şəbəkələr üçün yalnız seçilmiş daxil olan bağlantılar qəbul edilir.
• dmz– demilitarizasiya zonası DMZ, ictimaiyyət üçün əlçatandır məhdud giriş daxili şəbəkəyə yalnız seçilmiş daxil olan bağlantılar qəbul edilir.
• iş
• ev– Ev zonasındakı kompüterlər üçün yalnız seçilmiş daxil olan bağlantılar qəbul edilir.
• daxili– Daxili şəbəkənizdəki kompüterlər üçün yalnız seçilmiş daxil olan bağlantılar qəbul edilir.
• güvənilir– Bütün şəbəkə əlaqələri qəbul edilir.

Bütün mövcud zonaların siyahısını əldə etmək üçün:

# firewall-cmd --get-zones iş düşməsi daxili xarici etibarlı ev dmz ictimai bloku

Standart zonaların siyahısını görmək üçün:

# firewall-cmd --get-default-zone public

Standart zonanı dəyişdirmək üçün:

Firewall Xidmətləri

FirewallD xidmətləri firewalld üçün xidmət giriş məlumatını ehtiva edən XML konfiqurasiya fayllarıdır. Bütün mövcud xidmətlərin siyahısını əldə etmək üçün:

# firewall-cmd --get-services amanda-client amanda-k5-client bacula bacula-client ceph ceph-mon dhcp dhcpv6 dhcpv6-client dns docker-registr dropbox-lansync freeipa-ldap freeipa-ldaps freeipa-replikasiya qabiliyyəti ft http https imap imaps ipp ipp-müştəri ipsec iscsi-target kadmin kerberos kpasswd ldap ldaps libvirt libvirt-tls mdns mosh mountd ms-wbt mysql nfs ntp openvpn pmcd pmproxy pmwebahlp3 proxy pmwebahlp3 ptp pulseaudio kukla ustası radius rpc-bind rsyncd samba samba-müştəri sane smtp smtps snmp snmptrap squid ssh sinergiya syslog syslog-tls telnet tftp tftp-müştəri tinc tor-corab ötürülməsi-klient vdsm vnc-server wbem-https xmpp-bosh xmpp-server xmpp-server

XML konfiqurasiya faylları qovluqlarda saxlanılır /usr/lib/firewalld/services/ Və /etc/firewalld/services/.

FirewallD ilə təhlükəsizlik divarının qurulması

Nümunə olaraq, veb server, 7022 portda SSH və poçt serveri işlədirsinizsə, FirewallD ilə firewall necə konfiqurasiya edə bilərsiniz.

Əvvəlcə DMZ üçün standart zonanı təyin edəcəyik.

# firewall-cmd --set-default-zone=dmz # firewall-cmd --get-default-zone dmz

DMZ-də HTTP və HTTPS üçün davamlı xidmət qaydaları əlavə etmək üçün aşağıdakı əmri yerinə yetirin:

# firewall-cmd --zone=dmz --add-service=http --permanent # firewall-cmd --zone=dmz --add-service=https --daimi

Açıq port 25 (SMTP) və port 465 (SMTP):

Firewall-cmd --zone=dmz --add-service=smtp --permanent firewall-cmd --zone=dmz --add-service=smtps --daimi

Açıq, IMAP, IMAPS, POP3 və POP3S portları:

Firewall-cmd --zone=dmz --add-service=imap --permanent firewall-cmd --zone=dmz --add-service=immaps --permanent firewall-cmd --zone=dmz --add-service= pop3 --permanent firewall-cmd --zone=dmz --add-service=pop3s --daimi

SSH portu 7022-yə dəyişdirildiyi üçün biz SSH xidmətini (port 22) siləcəyik və 7022 portunu açacağıq.

Firewall-cmd --remove-service=ssh --permanent firewall-cmd --add-port=7022/tcp --daimi

Dəyişiklikləri həyata keçirmək üçün firewall-u yenidən başlatmalıyıq:

Firewall-cmd - yenidən yükləyin

Nəhayət, qaydaları sadalaya bilərsiniz.

FirewallD standart olaraq CentOS 7 serverlərində mövcud olan firewall idarəetmə vasitəsidir.O, əsasən IPTables ətrafında sarğıdır və qrafik konfiqurasiya aləti, firewall-config və komanda xətti aləti, firewall-cmd ilə gəlir. IPtables xidməti ilə hər dəyişiklik köhnə qaydaların silinməsini və ` faylında yeni qaydaların yaradılmasını tələb edir /etc/sysconfig/iptables` və firewall ilə yalnız fərqlər tətbiq olunur.

FirewallD zonaları

FirewallD, Iptables-də qaydalar və zəncirlər əvəzinə xidmətlər və zonalardan istifadə edir. Varsayılan olaraq, aşağıdakı zonalar mövcuddur:

• damcı– Bütün gələn şəbəkə paketlərini cavab vermədən buraxın, yalnız gedən şəbəkə bağlantıları mövcuddur.
• blok– icmp-host-prohibited mesajı ilə bütün daxil olan şəbəkə paketlərini rədd edin, yalnız gedən şəbəkə bağlantılarına icazə verilir.
• ictimai– ictimai yerlərdə istifadə üçün yalnız seçilmiş daxil olan bağlantılar qəbul edilir
• xarici– Maskadlı xarici şəbəkələr üçün yalnız seçilmiş daxil olan bağlantılar qəbul edilir.
• dmz– demilitarizasiya zonası DMZ, daxili şəbəkəyə məhdud çıxışı ilə ictimaiyyət üçün açıqdır, yalnız seçilmiş daxil olan əlaqələr qəbul edilir.
• iş
• ev– Ev zonasındakı kompüterlər üçün yalnız seçilmiş daxil olan bağlantılar qəbul edilir.
• daxili– Daxili şəbəkənizdəki kompüterlər üçün yalnız seçilmiş daxil olan bağlantılar qəbul edilir.
• güvənilir– Bütün şəbəkə əlaqələri qəbul edilir.

Bütün mövcud zonaların siyahısını əldə etmək üçün:

# firewall-cmd --get-zones iş düşməsi daxili xarici etibarlı ev dmz ictimai bloku

Standart zonaların siyahısını görmək üçün:

# firewall-cmd --get-default-zone public

Standart zonanı dəyişdirmək üçün:

Firewall Xidmətləri

FirewallD xidmətləri firewalld üçün xidmət giriş məlumatını ehtiva edən XML konfiqurasiya fayllarıdır. Bütün mövcud xidmətlərin siyahısını əldə etmək üçün:

# firewall-cmd --get-services amanda-client amanda-k5-client bacula bacula-client ceph ceph-mon dhcp dhcpv6 dhcpv6-client dns docker-registr dropbox-lansync freeipa-ldap freeipa-ldaps freeipa-replikasiya qabiliyyəti ft http https imap imaps ipp ipp-müştəri ipsec iscsi-target kadmin kerberos kpasswd ldap ldaps libvirt libvirt-tls mdns mosh mountd ms-wbt mysql nfs ntp openvpn pmcd pmproxy pmwebahlp3 proxy pmwebahlp3 ptp pulseaudio kukla ustası radius rpc-bind rsyncd samba samba-müştəri sane smtp smtps snmp snmptrap squid ssh sinergiya syslog syslog-tls telnet tftp tftp-müştəri tinc tor-corab ötürülməsi-klient vdsm vnc-server wbem-https xmpp-bosh xmpp-server xmpp-server

XML konfiqurasiya faylları qovluqlarda saxlanılır /usr/lib/firewalld/services/ Və /etc/firewalld/services/.

FirewallD ilə təhlükəsizlik divarının qurulması

Nümunə olaraq, veb server, 7022 portda SSH və poçt serveri işlədirsinizsə, FirewallD ilə firewall necə konfiqurasiya edə bilərsiniz.

Əvvəlcə DMZ üçün standart zonanı təyin edəcəyik.

# firewall-cmd --set-default-zone=dmz # firewall-cmd --get-default-zone dmz

DMZ-də HTTP və HTTPS üçün davamlı xidmət qaydaları əlavə etmək üçün aşağıdakı əmri yerinə yetirin:

# firewall-cmd --zone=dmz --add-service=http --permanent # firewall-cmd --zone=dmz --add-service=https --daimi

Açıq port 25 (SMTP) və port 465 (SMTP):

Firewall-cmd --zone=dmz --add-service=smtp --permanent firewall-cmd --zone=dmz --add-service=smtps --daimi

Açıq, IMAP, IMAPS, POP3 və POP3S portları:

Firewall-cmd --zone=dmz --add-service=imap --permanent firewall-cmd --zone=dmz --add-service=immaps --permanent firewall-cmd --zone=dmz --add-service= pop3 --permanent firewall-cmd --zone=dmz --add-service=pop3s --daimi

SSH portu 7022-yə dəyişdirildiyi üçün biz SSH xidmətini (port 22) siləcəyik və 7022 portunu açacağıq.

Firewall-cmd --remove-service=ssh --permanent firewall-cmd --add-port=7022/tcp --daimi

Dəyişiklikləri həyata keçirmək üçün firewall-u yenidən başlatmalıyıq:

Firewall-cmd - yenidən yükləyin

Nəhayət, qaydaları sadalaya bilərsiniz.

CentoOS 7-dən başlayaraq, trafik filtrləmə qaydalarını konfiqurasiya etmək üçün yeni bir alət ortaya çıxdı firewalld. İptables qaydalarını idarə etmək üçün ondan istifadə etmək tövsiyə olunur. CentOS 8-də standart iptables filtrləmə paketi əvəzinə indi nftables çərçivəsi istifadə olunur və siz firewall qaydalarını firewalld vasitəsilə konfiqurasiya etdiyiniz zaman əslində nftables-ı konfiqurasiya etmiş olursunuz. Bu yazıda biz CentOS 8 (CentOS 7 eynidir) ilə işləyən serverdə firewalld quraşdırma, əsas anlayışlar və konfiqurasiyaya baxacağıq.

FirewallD– dinamik qaydaların idarə edilməsi (yenidən başlamadan) və daimi firewall qaydalarının həyata keçirilməsi dəstəyi ilə serveri arzuolunmaz trafikdən qorumaq üçün firewall. və nftables üçün interfeys kimi işləyir. FirewallD demək olar ki, bütün Linux paylamalarında istifadə edilə bilər.

Əsas firewalld anlayışları, zonaları və qaydaları

Quraşdırmaya və konfiqurasiyaya başlamazdan əvvəl firewalld, inam səviyyəsini müəyyən etmək üçün istifadə olunan zonalar anlayışını təqdim edəcəyik müxtəlif əlaqələr. Müxtəlif zonalar üçün firewalld müxtəlif filtrləmə qaydalarını tətbiq edə bilərsiniz, qeyd edin aktiv seçimlərəvvəlcədən təyin edilmiş xidmətlər, protokollar və portlar, port yönləndirmə və zəngin qaydalar şəklində firewall.

Firewalld zonaya tətbiq olunan qaydalardan asılı olaraq daxil olan trafiki zonalar üzrə süzür. Əgər IP- sorğu göndərənin ünvanı müəyyən zonanın qaydalarına uyğun gəlir, onda paket bu zona vasitəsilə göndəriləcək. Ünvan serverdə konfiqurasiya edilmiş zonalardan heç birinə uyğun gəlmirsə, paket standart zona tərəfindən işlənəcək. Quraşdırarkən firewalld standart zona adlanır ictimai.

Firewalld-da müxtəlif xidmətlər üçün icazələrlə əvvəlcədən konfiqurasiya edilmiş zonalar var. Siz bu parametrlərdən istifadə edə və ya öz zonalarınızı yarada bilərsiniz. Firewalld quraşdırarkən yaradılan standart zonaların siyahısı (/usr/lib/firewalld/zones/ kataloqunda saxlanılır):

damcı	minimum etibar səviyyəsi. Bütün daxil olan əlaqələr cavab vermədən bloklanır, yalnız gedən əlaqələrə icazə verilir;
blok	zona əvvəlkinə bənzəyir, lakin daxil olan sorğular rədd edildikdə, Ipv4 üçün icmp-host-prohibited və ya Ipv6 üçün icmp6-adm-prohibited mesajı göndərilir;
ictimai	ictimai, etibarsız şəbəkələri təmsil edir. Siz fərdi olaraq seçilmiş daxil olan əlaqələrə icazə verə bilərsiniz;
xarici	firewalldan şluz kimi istifadə edərkən xarici şəbəkələr. O, NAT maskalanması üçün konfiqurasiya edilib ki, daxili şəbəkəniz özəl, lakin əlçatan olsun;
daxili	xarici zonanın antonimi. Ev sahibi kifayət qədər etimad səviyyəsinə malikdir, bir sıra əlavə xidmətlər mövcuddur;
dmz	DMZ-də yerləşən kompüterlər üçün istifadə olunur (şəbəkənin qalan hissəsinə çıxışı olmayan təcrid olunmuş kompüterlər). Yalnız müəyyən daxil olan əlaqələrə icazə verilir;
iş	iş maşınları üçün zona (şəbəkədəki əksər kompüterlər etibarlıdır);
ev	ev şəbəkəsi zonası. Əksər kompüterlərə etibar etmək olar, lakin yalnız müəyyən daxil olan bağlantılar dəstəklənir;
güvənilir	şəbəkədəki bütün maşınlara etibar edin. Bütün mövcud variantlardan ən açıq olanı, şüurlu istifadə tələb edir.

IN firewalld iki qaydalar toplusu istifadə olunur - daimi və müvəqqəti. Müvəqqəti qaydalar server yenidən işə salınana qədər işləyir. Standart olaraq, qaydalar əlavə edərkən firewalld, qaydalar müvəqqəti hesab olunur ( icra müddəti). Daimi qayda əlavə etmək üçün bayraqdan istifadə etməlisiniz - daimi. Bu cür qaydalar server yenidən işə salındıqdan sonra tətbiq olunacaq.

CentOS-da firewalld quraşdırılması və işə salınması

CentOS 7/8-də firewalld OS ilə standart olaraq quraşdırılır. Əgər onu silmisinizsə və firewalld quraşdırmaq istəyirsinizsə, standart /dnf menecerindən istifadə edə bilərsiniz:

# yum install firewalld -y - Centos 7 üçün
# dnf quraşdırma firewalld -y - Centos 8 üçün

Şeytana firewalld server işə salındıqda avtomatik başladı, onu əlavə etməlisiniz:

# systemctl firewalldu aktivləşdirir

Və qaç:

# systemctl firewalldı işə salın

Xidmət statusunu yoxlayın:

# systemctl status firewalld

● firewalld.service - firewalld - dinamik firewall demon Yükləndi: yükləndi (/usr/lib/systemd/system/firewalld.service; aktiv; təchizatçının əvvəlcədən təyini: aktivdir) Aktivdir: 14-10-2019 14:54-dən etibarən aktivdir (çalışır). :40 +06; 22s əvvəl Sənədlər: man:firewalld(1) Əsas PID: 13646 (firewalld) CQrup: /system.slice/firewalld.service └─13646 /usr/bin/python2 -Es /usr/sbin/firewalld --noidk 14 oktyabr 14:54:40 server.vpn.ru systemd: Firewalld işə salındı ​​- dinamik firewall demonu... 14 oktyabr 14:54:40 server.vpn.ru systemd: Firewalld başladı - dinamik firewall demon.

Və ya əmrlə:

# firewall-cmd --state

Firewall-cmd əmri nftables/iptables üçün firewalld cəbhəsidir.

# firewall-cmd --state

Firewalld qaydaları ilə işləmək

Defolt qaydalar:

Firewalld qaydalarını qurmazdan əvvəl, standart olaraq hansı zonanın istifadə olunduğunu yoxlamaq lazımdır:

# firewall-cmd --default-zona

Yenicə firewalld quraşdırdığımızdan və onu hələ konfiqurasiya etmədiyimizdən, bizim standart zonamız var ictimai.

Aktiv zonanı yoxlayaq. Bir də var - ictimai:

# firewall-cmd --get-active-zones

İctimai interfeyslər: eth0

Gördüyünüz kimi, eth0 şəbəkə interfeysi zona tərəfindən idarə olunur ictimai.

Əsas qaydaları görmək üçün daxil edin:

# firewall-cmd --hamısı siyahısı

İctimai (aktiv) hədəf: default icmp-block-inversion: interfeys yoxdur: eth0 mənbələri: xidmətlər: dhcpv6-client ssh portları: protokollar: maskarad: irəli portlar yoxdur: mənbə-portlar: icmp-bloklar: zəngin qaydalar:

Siyahıdan DHCP müştərisi və ssh ilə əlaqəli adi əməliyyatların bu zonaya əlavə edildiyini görə bilərsiniz.

Mövcud zonalar

Bütün zonaların siyahısını görmək üçün əmri yerinə yetirməlisiniz:

# firewall-cmd --get-zones

Aşağıdakı siyahını aldım:

Block dmz drop xarici ev daxili ictimai etibarlı iş

Müəyyən bir zonanın qaydalarını yoxlamaq üçün bayraq - zona əlavə etməlisiniz.

# firewall-cmd --zone=home --list-all

Əsas hədəf: default icmp-block-inversion: interfeys yoxdur: mənbələr: xidmətlər: dhcpv6-client mdns samba-client ssh portları: protokollar: maskarad: irəli portlar yoxdur: mənbə-portlar: icmp-bloklar: zəngin qaydalar:

Bütün zonaların qaydalarına komanda ilə baxmaq olar:

# firewall-cmd --bütün zonaların siyahısı

Siyahı olduqca böyük olacaq, çünki bir çox zona ola bilər.

Standart zonanı dəyişdirin.

Defolt hamısıdır şəbəkə interfeysləriərazisində yerləşir ictimai, lakin onlar əmrlə zonaların hər hansı birinə köçürülə bilər:

# firewall-cmd --zone=home -change-interface=eth0

Parametrdən sonra --zon = istədiyiniz zonanı göstərin.

Standart zonanı dəyişdirmək üçün əmrdən istifadə etməlisiniz:

# firewall-cmd --set-default-zone=home

Tətbiq qaydalarının əlavə edilməsi

Tətbiq üçün port açmaq üçün istisnalara xidmət əlavə edə bilərsiniz. Mövcud xidmətlərin siyahısını göstərin:

Çıxışda çoxlu sayda xidmətlər olacaq. ətraflı məlumat xidmət haqqında onun ehtiva edir xml fayl. Bu fayllar kataloqda yerləşir /usr/lib/firewalld/services.

Misal üçün:

# cd /usr/lib/firewalld/services

Poçt (SMTP) Bu seçim daxil olan SMTP poçtunun çatdırılmasına imkan verir. Məktubları çatdırmaq üçün uzaq hostların birbaşa maşınınıza qoşulmasına icazə vermək lazımdırsa, bu seçimi aktivləşdirin. Əgər poçtunuzu ISP-nin serverindən POP3 və ya IMAP vasitəsilə toplayırsınızsa və ya fetchmail kimi alətdən istifadə edirsinizsə, bunu aktivləşdirməyinizə ehtiyac yoxdur. Qeyd edək ki, düzgün qurulmamış SMTP server edə bilər uzaq maşınlara spam göndərmək üçün serverinizdən istifadə etməyə icazə verin.

XML faylında firewalld-da açılacaq xidmətin təsviri, protokol və port nömrəsi var.

Qaydalar əlavə edərkən parametrdən istifadə edə bilərsiniz --xidmət əlavə edin xüsusi xidmətə girişi açmaq üçün:

# firewall-cmd --zone=public --add-service=http

# firewall-cmd --zone=public --add-service=https

Qaydaları əlavə etdikdən sonra xidmətlərin göstərilən zonaya əlavə edilib-edilmədiyini yoxlaya bilərsiniz:

# firewall-cmd --zone=public --list-services

Dhcpv6-müştəri http https ssh

Bu qaydaları daimi etmək istəyirsinizsə, əlavə edərkən parametri əlavə etməlisiniz -daimi.

Xidməti zonadan silmək üçün:

# firewall-cmd --daimi --zone=public --remove-service=http

Dhcpv6-müştəri https ssh testi

Xidmətinizi istisnalara əlavə etmək istəyirsinizsə, fayl yarada bilərsiniz xmlözünüz və doldurun. Siz istənilən xidmətdən məlumatları kopyalaya, adı, təsviri və port nömrəsini dəyişə bilərsiniz.

Faylı kopyalayaq smtp.xml istifadəçi xidmətləri ilə işləmək üçün qovluğa:

# cp /usr/lib/firewalld/services/smtp.xml /etc/firewalld/services

Fayldakı xidmət təsvirini dəyişdirin.

Özüm xml faylı Siz həmçinin onun adını xidmətinizin adı ilə dəyişdirməlisiniz. Bundan sonra, firewalld-u yenidən başlatmalı və xidmətimizin siyahıda olub olmadığını yoxlamalısınız:

Xidmətə zəng etdim test və siyahıda göründü:

Syslog-tls telnet testi tftp

İndi yaradılmış xidməti istənilən zonaya əlavə edə bilərsiniz:

# firewall-cmd --zone=public --add-service=test --daimi

# firewall-cmd --zone=public --permanent --list-services

Dhcpv6-müştəri http https ssh testi

Siyahıda sizə lazım olan xidməti tapmamısınızsa, firewallda lazım olan portu əmrlə aça bilərsiniz:

# firewall-cmd --zone=public -add-port=77/tcp - açıq port 77 tcp
# firewall-cmd --zone=public -add-port=77/udp - açıq port 77 udp
# firewall-cmd --zone=public -add-port=77-88/udp - açıq port diapazonu 77-88 udp
# firewall-cmd --zone=public -list-ports - icazə verilən portların siyahısını yoxlayın

ICMP cavablarını bloklayın/icazə verin:

# firewall-cmd --zone=public --add-icmp-block=echo-reply
# firewall-cmd --zone= public --remove-icmp-block=echo-reply

Əlavə edilmiş portu silin:

# firewall-cmd --zone=public -remove-port=77/udp - müvəqqəti qayda 77 silin udp

# firewall-cmd --permanent --zone=public -remove-port=77/udp - daimi qaydanı silin

Öz zonalarınızı əlavə edin

Öz zonanızı yarada bilərsiniz (mən onu çağıracağam bizim):

# firewall-cmd --permanent --new-zone=bizim

Yeni zona yaratdıqdan sonra, həmçinin xidmət yaratdıqdan sonra yenidən yükləmə tələb olunur firewalld:

# firewall-cmd - yenidən yükləyin

# firewall-cmd --get-zones

Block dmz drop xarici ev daxili ictimai etibarlı işimiz

Zona bizim mövcuddur. Siz ona xidmətlər əlavə edə və ya xüsusi portları aça bilərsiniz.

Firewalld: IP ünvanlarının bloklanması, istisnaların yaradılması

Siz etibarlı IP ünvanlarını firewalld istisnalarına əlavə edə və ya istənməyənləri bloklaya bilərsiniz.

İstisnalara konkret birini əlavə etmək üçün IP ünvanı(məsələn 8.8.8.8) vasitəsilə serverinizdə firewalld, əmrdən istifadə edin:

# firewall-cmd --zone=public --add-rich-rule="qayda ailəsi="ipv4" mənbə ünvanı="8.8.8.8" qəbul edin"

Ərazini yoxlayın və əmin olun IP zəngin qaydalardakı istisnalara əlavə edildi:

İctimai (aktiv) hədəf: default icmp-block-inversion: heç bir interfeys: eth0 mənbələri: xidmətlər: dhcpv6-client http https ssh test portları: protokollar: maskarad: irəli portlar yoxdur: mənbə-portlar: icmp-bloklar: zəngin qaydalar: qayda ailəsi = "ipv4" mənbə ünvanı = "8.8.8.8" qəbul edin

Blok etmək IP, əvəz etmək lazımdır qəbul et haqqında rədd etmək:

# firewall-cmd --zone=public --add-rich-rule="qayda ailəsi="ipv4" mənbə ünvanı="8.8.4.4" rədd et"

# firewall-cmd --zone=public --list-all

İctimai (aktiv) hədəf: default icmp-block-inversion: heç bir interfeys: eth0 mənbələri: xidmətlər: dhcpv6-client http https ssh test portları: protokollar: maskarad: irəli portlar yoxdur: mənbə-portlar: icmp-bloklar: zəngin qaydalar: qayda ailəsi="ipv4" mənbə ünvanı="8.8.8.8" qəbul qaydası ailəsi="ipv4" mənbə ünvanı="8.8.4.4" rədd

Siz xüsusi xidmətə yalnız müəyyən IP ünvanından gələn sorğular üçün icazə verə bilərsiniz:

#firewall-cmd --permanent --add-rich-rule "qayda ailəsi="ipv4" mənbə ünvanı="10.10.1.0/24" xidmət adı="https" qəbul edin"

Əgər təcili olaraq serverə edilən bütün sorğuları bloklamalısınızsa, panik əmrindən istifadə edin:

# firewall-cmd --panic-on

Panik rejimini ya əmrlə söndürə bilərsiniz:

# firewall-cmd --panic-off

Və ya serveri yenidən işə salmaqla.

Siz firewalld konfiqurasiyasını bloklaya bilərsiniz ki, yerli xidmətlər ilə kök hüquqları yaratdığınız firewall qaydalarını dəyişə bilmədi:

# firewall-cmd --lockdown-on

Bloklama rejimini deaktiv edin:

# firewall-cmd --lockdown-off

Firewallda port yönləndirmə

Siz firewallda port yönləndirmə qaydası yarada bilərsiniz. 443 portunu 9090-a yönləndirmək üçün:

# firewall-cmd --zone=public --add-forward-port=port=443:proto=tcp:toport=9090 --daimi

Port yönləndirmə qaydasını silmək üçün:

# firewall-cmd --zone=public --remove-forward-port=port=443:proto=tcp:toport=9090