Koti › Navigaattorit › Centos 7 palomuuri cmd avoin portti

Centos 7 palomuuri cmd avoin portti

Asennettu sisään käyttöjärjestelmä Palomuuria käytetään estämään luvaton liikenteen kulkeminen välillä Tietokoneverkot. Palomuurille luodaan manuaalisesti tai automaattisesti erityiset säännöt, jotka vastaavat kulunvalvonnasta. Linux-ytimelle kehitetyssä käyttöjärjestelmässä CentOS 7:ssä on sisäänrakennettu palomuuri, ja sitä hallitaan palomuurin avulla. FirewallD on oletuksena käytössä, ja haluaisimme puhua sen määrittämisestä tänään.

Kuten edellä mainittiin, CentOS 7:n vakiopalomuuri on FirewallD-apuohjelma. Siksi palomuurin määrittämistä käsitellään tämän työkalun avulla esimerkkinä. Voit asettaa suodatussäännöt samoilla iptablesilla, mutta tämä tehdään hieman eri tavalla. Suosittelemme, että tutustut mainitun apuohjelman kokoonpanoon napsauttamalla seuraavaa linkkiä, niin aloitamme FirewallD:n analysoinnin.

Palomuurin perusteet

On olemassa useita vyöhykkeitä - sääntöjoukkoja liikenteen hallintaan, joka perustuu luottamukseen verkkoihin. Kaikille niille on annettu omat käytäntönsä, joiden kokonaisuus muodostaa palomuurikokoonpanon. Jokaiselle vyöhykkeelle on määritetty yksi tai useampi verkkoliitäntä, jonka avulla voit myös säätää suodatusta. Sovellettavat säännöt riippuvat suoraan käytetystä käyttöliittymästä. Esimerkiksi ollessaan yhteydessä julkiseen Wi-Fi-verkkoon palomuuri lisää hallinnan tasoa ja sisään kotiverkko avaa lisää pääsyä ketjun osallistujille. Kyseinen palomuuri sisältää seuraavat vyöhykkeet:

luotettu — kaikkien verkkolaitteiden enimmäisluottamustaso;
koti - ryhmä paikallinen verkko. Ympäristöön luotetaan, mutta saapuvat yhteydet ovat vain tiettyjen koneiden käytettävissä;
työ - työalue. Useimpiin laitteisiin luotetaan ja lisäpalvelut otetaan käyttöön;
dmz on eristetyille tietokoneille tarkoitettu vyöhyke. Tällaiset laitteet on irrotettu muusta verkosta ja sallivat vain tietyn saapuvan liikenteen;
sisäinen — sisäisten verkkojen vyöhyke. Kaikkiin koneisiin sovelletaan luottamusta, lisäpalveluita avataan;
ulkoinen — vyöhyke käänteinen edelliseen verrattuna. Ulkoisissa verkoissa NAT-naamiointi on aktiivinen ja sulkee sisäisen verkon, mutta ei estä pääsyä.
julkinen - julkisten verkkojen vyöhyke, jossa ei ole luottamusta kaikkiin laitteisiin ja tulevan liikenteen yksilöllinen vastaanotto;
esto - kaikki saapuvat pyynnöt nollataan ja lähetetään virhe icmp-host-prohibited tai icmp6-adm-kielletty;
pudota - vähimmäisluottamustaso. Saapuvat yhteydet katkeavat ilman ilmoitusta.

Itse käytännöt voivat olla väliaikaisia tai pysyviä. Kun parametrit tulevat näkyviin tai niitä muokataan, palomuuritoiminto muuttuu välittömästi ilman uudelleenkäynnistystä. Jos väliaikaisia sääntöjä sovellettiin, ne nollataan, kun FirewallD käynnistetään uudelleen. Siksi pysyvää sääntöä kutsutaan sellaiseksi - se säilytetään pysyvä perusta käytettäessä -permanent-argumenttia.

FirewallD:n käyttöönotto

Ensin sinun on käynnistettävä FirewallD tai varmistettava, että se on aktiivisessa tilassa. Vain toimiva demoni (ohjelma, joka on käynnissä tausta) soveltaa palomuurisääntöjä. Aktivointi tapahtuu muutamalla napsautuksella:

Käynnistä klassikko "Terminaali" millä tahansa kätevällä menetelmällä, esimerkiksi valikon kautta "Sovellukset".

Anna komento sudo systemctl start firewalld.service ja paina -näppäintä Tulla sisään.

Apuohjelmaa hallitaan pääkäyttäjän puolesta, joten sinun on vahvistettava aitoutesi antamalla salasana.

Varmista palvelun toimivuus määrittämällä firewall-cmd --state .

Avatussa grafiikkaikkuna todentaa uudelleen.

Uusi rivi tulee näkyviin. Merkitys "juoksu" ilmaisee, että palomuuri toimii.

Jos joudut joskus poistamaan palomuurin käytöstä väliaikaisesti tai pysyvästi, suosittelemme noudattamaan toisessa artikkelissamme seuraavassa linkissä olevia ohjeita.

Näytä oletussäännöt ja käytettävissä olevat vyöhykkeet

Normaalisti toimivallakin palomuurilla on omat erityiset säännöt ja saavutettavat alueet. Ennen kuin aloitat käytäntöjen muokkaamisen, suosittelemme, että tutustut nykyiseen kokoonpanoon. Tämä tehdään yksinkertaisilla komennoilla:

Komento firewall-cmd --get-default-zone auttaa sinua määrittämään oletusvyöhykkeen.

Kun olet aktivoinut sen, näet uuden rivin, jossa vaadittu parametri näytetään. Esimerkiksi alla olevassa kuvakaappauksessa vyöhykettä pidetään aktiivisena "julkinen".

Useita vyöhykkeitä voi kuitenkin olla aktiivisia kerralla, ja ne on liitetty erilliseen käyttöliittymään. Selvitä nämä tiedot Firewall-cmd --get-active-zones -toiminnolla.

Firewall-cmd --list-all -komento näyttää oletusvyöhykkeelle määritetyt säännöt. Katso alla olevaa kuvakaappausta. Näet, että aktiivinen vyöhyke "julkinen" määrätty sääntö "oletus"- oletustoiminto, käyttöliittymä "enp0s3" ja kaksi palvelua lisättiin.

Jos haluat selvittää kaikki käytettävissä olevat palomuurivyöhykkeet, kirjoita firewall-cmd --get-zones .

Tietyn vyöhykkeen parametrit määritetään komennolla firewall-cmd --zone=name --list-all , jossa nimi- alueen nimi.

Kun olet määrittänyt tarvittavat parametrit, voit siirtyä muuttamaan ja lisäämään niitä. Tarkastellaanpa tarkemmin muutamia suosituimpia kokoonpanoja.

Liitäntäalueiden asettaminen

Kuten yllä olevista tiedoista tiedät, jokaisella käyttöliittymällä on oma oletusvyöhyke. Se pysyy siellä, kunnes käyttäjä muuttaa asetuksia tai ohjelmallisesti. On mahdollista manuaalisesti siirtää rajapinta vyöhykkeelle yhden istunnon ajaksi, ja tämä tehdään aktivoimalla komento sudo firewall-cmd --zone=home --change-interface=eth0 . Tulos "menestys" osoittaa, että siirto onnistui. Muistutetaan, että tällaiset asetukset nollataan heti palomuurin uudelleenkäynnistyksen jälkeen.

Kun muutat tämän kaltaisia parametreja, sinun tulee ottaa huomioon, että palvelut voivat nollata. Jotkut niistä eivät esimerkiksi tue toimintaa tietyillä vyöhykkeillä, vaikka SSH on saatavilla "Koti", mutta mukautetuissa tai erityisissä palveluissa palvelu kieltäytyy toimimasta. Voit varmistaa, että käyttöliittymä on yhdistetty onnistuneesti uuteen haaraan kirjoittamalla firewall-cmd --get-active-zones .

Jos haluat nollata aiemmin tekemäsi asetukset, käynnistä palomuuri uudelleen: sudo systemctl restart firewalld.service .

Joskus ei ole aina kätevää vaihtaa käyttöliittymävyöhykettä vain yhden istunnon ajaksi. Tässä tapauksessa sinun on muokattava asetustiedostoa niin, että kaikki asetukset syötetään pysyvästi. Tätä varten suosittelemme tekstieditorin käyttöä nano, joka asennetaan virallisesta arkistosta sudo yum install nano -sovelluksella. Seuraavaksi sinun tarvitsee vain tehdä seuraava:

Avaa asetustiedosto editorin kautta kirjoittamalla sudo nano /etc/sysconfig/network-scripts/ifcfg-eth0 , jossa eth0— vaaditun liitännän nimi.

Vahvista aitous tili suorittaa lisätoimia.

Etsi parametri "ZONE" ja muuta sen arvo haluttuun arvoon, esimerkiksi julkinen tai koti .

Pidä näppäimiä painettuna Ctrl+O tallentaaksesi muutokset.

Älä muuta tiedoston nimeä, napsauta vain Tulla sisään.

Poistu tekstieditori kautta Ctrl+X.

Nyt käyttöliittymävyöhyke on määrittämäsi mukainen, kunnes seuraavan kerran muokkaat asetustiedostoa. Päivitetyt asetukset tulevat voimaan suorittamalla sudo systemctl restart network.service ja sudo systemctl restart firewalld.service .

Oletusvyöhykkeen asettaminen

Yllä esitimme jo komennon, jonka avulla saimme selville oletusvyöhykkeen. Sitä voidaan myös muuttaa asettamalla haluamasi parametri. Voit tehdä tämän kirjoittamalla konsoliin sudo firewall-cmd --set-default-zone=name, jossa nimi— vaaditun alueen nimi.

Komennon onnistuminen ilmaistaan merkinnällä "menestys" erillisellä rivillä. Tämän jälkeen kaikki nykyiset liitännät sidotaan määritettyyn vyöhykkeeseen, ellei asetustiedostoissa toisin mainita.

Sääntöjen luominen ohjelmille ja apuohjelmille

Aivan artikkelin alussa puhuimme kunkin vyöhykkeen toiminnasta. Palvelujen, apuohjelmien ja ohjelmien määrittäminen tällaisissa haaroissa antaa sinun soveltaa kullekin niistä yksittäisiä parametreja kunkin käyttäjän tarpeiden mukaan. Aloitaksesi suosittelemme, että tutustut täydelliseen luetteloon saatavilla olevista Tämä hetki palvelut: firewall-cmd --get-services .

Tulos näkyy suoraan konsolissa. Jokainen palvelin on erotettu välilyönnillä, ja löydät helposti sinua kiinnostavan työkalun luettelosta. Jos tarvittavaa palvelua ei ole saatavilla, se tulee asentaa lisäksi. Lue asennussäännöt virallisesta ohjelmiston dokumentaatiosta.

Yllä oleva komento näyttää vain palveluiden nimet. Yksityiskohtaiset tiedot jokaisesta niistä saadaan yksittäisestä tiedostosta, joka sijaitsee polulla /usr/lib/firewalld/services. Tällaiset asiakirjat ovat XML-muodossa, polku esimerkiksi SSH:hon näyttää tältä: /usr/lib/firewalld/services/ssh.xml, ja asiakirjalla on seuraava sisältö:

SSH
Secure Shell (SSH) on protokolla kirjautumiseen ja komentojen suorittamiseen etäkoneissa. Se tarjoaa suojatun salatun viestinnän. Jos aiot käyttää konettasi etäyhteyden kautta SSH:n kautta palomuurin kautta, ota tämä vaihtoehto käyttöön. Sinun on asennettava openssh-server-paketti, jotta tämä asetus olisi hyödyllinen.

Palvelutuki tietyllä vyöhykkeellä aktivoidaan manuaalisesti. SISÄÄN "Terminaali" sinun tulee antaa komento sudo firewall-cmd --zone=public --add-service=http , missä --zone=julkinen- aktivointivyöhyke ja --add-service=http— palvelun nimi. Huomaa, että tällainen muutos koskee vain yhtä istuntoa.

Pysyvä lisäys tehdään sudo firewall-cmd --zone=public --permanent --add-service=http kautta ja tulos "menestys" osoittaa toimenpiteen onnistuneen loppuunsaattamisen.

Näytä täydellinen lista Voit luoda pysyviä sääntöjä tietylle vyöhykkeelle näyttämällä luettelon erillisellä konsolin rivillä: sudo firewall-cmd --zone=public --permanent --list-services .

Palvelun puutteen ongelman ratkaiseminen

Oletusarvoisesti palomuurisäännöissä luetellaan suosituimmat ja turvallisimmat palvelut sallittuina, mutta jotkin standardi- tai kolmannen osapuolen sovelluksia hän estää. Tässä tapauksessa käyttäjän on muutettava asetuksia manuaalisesti pääsyongelman ratkaisemiseksi. Tämä voidaan tehdä kahdella eri tavalla.

Portin uudelleenohjaus

Kuten tiedät, kaikki verkkopalvelut käyttävät tiettyä porttia. Palomuuri havaitsee sen helposti, ja sen avulla voidaan tehdä esto. Välttääksesi tällaiset palomuurin toimet, sinun on avattava tarvittava portti komennolla sudo firewall-cmd --zone=public --add-port=0000/tcp , jossa --zone=julkinen- satama-alue, --add-port=0000/tcp— portin numero ja protokolla. Firewall-cmd --list-ports -vaihtoehto näyttää luettelon avoimista porteista.

Jos haluat avata portteja, jotka sisältyvät valikoimaan, käytä riviä sudo firewall-cmd --zone=public --add-port=0000-9999/udp , jossa --add-port=0000-9999/udp— porttien valikoima ja niiden protokolla.

Yllä olevat komennot sallivat vain tällaisten parametrien käytön testauksen. Jos se onnistui, sinun tulee lisätä samat portit pysyviin asetuksiin, ja tämä tehdään kirjoittamalla sudo firewall-cmd --zone=public --permanent --add-port=0000/tcp tai sudo firewall-cmd -- zone=public --permanent --add-port=0000-9999/udp . Luettelo avoimista pysyvistä porteista näkyy seuraavasti: sudo firewall-cmd --zone=public --permanent --list-ports .

Palvelun määritelmä

Kuten näette, porttien lisääminen ei aiheuta vaikeuksia, mutta menettely muuttuu monimutkaisemmaksi, kun käytetään suurta määrää sovelluksia. Kaikkia käytössä olevia portteja on vaikea seurata, joten parempi vaihtoehto olisi määritellä palvelu:

Sinun tarvitsee vain valita sopivin menetelmä palvelun käyttöön liittyvien ongelmien ratkaisemiseksi ja seurata annettuja ohjeita. Kuten näet, kaikki toiminnot suoritetaan melko helposti, eikä vaikeuksia pitäisi syntyä.

Mukautettujen vyöhykkeiden luominen

Tiedät jo, että FirewallD loi alun perin suuren määrän erilaisia vyöhykkeitä tietyillä säännöillä. On kuitenkin tilanteita, jolloin Järjestelmänvalvoja sinun on luotava mukautettu vyöhyke, kuten "julkinen web" asennetulle verkkopalvelimelle tai "yksityinen DNS"— DNS-palvelimelle. Näiden kahden esimerkin avulla tarkastelemme haarojen lisäämistä:

Tässä artikkelissa opit luomaan mukautettuja vyöhykkeitä ja lisäämään niihin palveluita. Olemme jo puhuneet niiden oletusasetuksista ja liitäntöjen määrittämisestä yllä; sinun tarvitsee vain ilmoittaa oikeat nimet. Muista käynnistää palomuuri uudelleen pysyvien muutosten tekemisen jälkeen.

Kuten näet, FirewallD-palomuuri on melko kattava työkalu, jonka avulla voit luoda joustavimman palomuurikokoonpanon. Jäljelle jää vain varmistaa, että apuohjelma käynnistyy järjestelmästä ja määritetyt säännöt aloittavat välittömästi toimintansa. Tee tämä komennolla sudo systemctl enable firewalld.

Ensimmäinen askel palvelimen suojaamisessa ulkoisilta uhilta on palomuuri, joka suodattaa saapuvan ja lähtevän liikenteen. Tässä artikkelissa haluan keskustella iptablesin asettamisesta, joka on CentOS:n palomuurin erikoistapaus, ja puhua myös sen asentamisesta ja poistamisesta käytöstä. Oppaani ei ole tyhjentävä, otan huomioon vain ne näkökohdat, joita pidän tärkeimpänä ja joita itse käytän työssäni.

Tämä artikkeli on osa yhtä palvelinta käsittelevää artikkelisarjaa.

Johdanto

Iptables on tällä hetkellä de facto standardi nykyaikaisten Linux-jakelujen joukossa. En edes muista heti, mitä muuta palomuurina käytetään. Joten jokaisen Linuxin järjestelmänvalvojan on tehtävä työssään tämän palomuurin määrittäminen.

Tähän palomuuriin on olemassa erilaisia yhteyksiä, joita käytetään "kätevämpään" määritykseen. Ubuntussa on ufw, sentteinä - palomuuri, en tiedä muita. Henkilökohtaisesti en näe näiden työkalujen käyttömukavuutta. Olen tottunut asettamaan Linux-palomuurin vanhaan tapaan, kuten opin työni alussa. Mielestäni tämä on yksinkertaisin ja kätevin tapa, jonka jaan kanssasi. Sen olemus tiivistyy siihen tosiasiaan, että skripti luodaan palomuurin säännöillä. Tämä skripti voidaan helposti muokata tarpeidesi mukaan ja siirtää palvelimelta palvelimelle.

Palomuurin poistaminen käytöstä

Olen jo käsitellyt palomuurin poistamista käytöstä aiheessa . Ensinnäkin poistetaan käytöstä palomuuri, joka on oletuksena Centos 7:ssä heti asennuksen jälkeen:

# systemctl pysäyttää palomuuri

Nyt poistetaan se käynnistyksestä, jotta se ei käynnisty uudelleen uudelleenkäynnistyksen jälkeen:

# systemctl poista palomuuri käytöstä

Tämän jälkeen palvelimen palomuuriasetukset avautuvat kokonaan. Voit tarkastella iptables-sääntöjä komennolla:

Iptablesin asennus

Itse asiassa meillä on jo palomuuri palvelimellamme ja se toimii, ei yksinkertaisesti ole sääntöjä, kaikki on auki. Meidän on asennettava ylimääräisiä hallintaohjelmia, joita ilman on mahdotonta määrittää iptablesia. Esimerkiksi palomuuria ei voi käynnistää uudelleen:

# systemctl restart iptables.service Menetelmäkutsu epäonnistui: Yksikön iptables.service lataus epäonnistui: Ei tällaista tiedostoa tai hakemistoa.

Tai et voi lisätä sitä automaattiseen käynnistykseen:

# systemctl enable iptables.service Menetelmäkutsu epäonnistui: Ei tällaista tiedostoa tai hakemistoa

Tällaisten virheiden välttämiseksi asenna tarvittava paketti apuohjelmien kanssa:

# yum -y asentaa iptables-services

Nyt voit lisätä iptablesin käynnistykseen ja suorittamiseen:

# systemctl enable iptables.service # systemctl käynnistä iptables.service

Palomuurin määrittäminen

Käytän skriptiä palomuurisääntöjen hallintaan. Luodaan se:

# mcedit /etc/iptables.sh

Seuraavaksi täytämme sen tarvittavilla säännöillä. Jäsensin kaikki käsikirjoituksen tärkeät osat ja Annan sen kokonaisuudessaan muodossa tekstitiedosto artikkelin lopussa. Säännöt on tehty kuvien kopioimisen ja liittämisen kieltämiseksi. Tämä voi johtaa virheisiin sääntöjen toiminnassa, joihin itse törmäsin artikkelia valmistellessa.

Tarkastellaan tilannetta, jossa palvelin on yhdyskäytävä Internetiin paikalliselle verkolle.

Ensinnäkin asetetaan kaikki muuttujat, joita käytämme skriptissä. Tämä ei ole välttämätöntä, mutta on suositeltavaa, koska asetusten siirtäminen palvelimelta palvelimelle on kätevää. Riittää, kun yksinkertaisesti määrität muuttujat uudelleen.

Ennen uusien sääntöjen käyttöönottoa tyhjennämme kaikki ketjut:

Estämme kaiken liikenteen, joka ei vastaa mitään sääntöjä:

Salli kaikki localhost ja paikallinen liikenne:

Sallimme pingin:

Jos et tarvitse tätä, älä lisää sallivia sääntöjä icmp:lle.

Avaamme Internet-yhteyden itse palvelimelle:

Jos haluat avata kaikki saapuvat palvelinyhteydet, lisää seuraava sääntö:

Lisätään nyt suojaus yleisimpiä verkkohyökkäyksiä vastaan. Hylkäämme ensin kaikki paketit, joilla ei ole tilaa:

Nollapakettien estäminen:

Suojaa itsesi syn-tulvahyökkäyksiltä:

Jos et aseta rajoituksia pääsylle paikallisverkosta, sallimme kaikkien pääsyn Internetiin:

Seuraavaksi estämme pääsyn Internetistä paikalliseen verkkoon:

Jotta paikallisverkkomme voi käyttää Internetiä, otamme käyttöön nat:n:

Jotta et menetä pääsyä palvelimeen, sääntöjen soveltamisen jälkeen sallimme yhteydet ssh:n kautta:

Ja lopuksi kirjoitamme säännöt muistiin, jotta niitä sovelletaan uudelleenkäynnistyksen jälkeen:

Olemme laatineet yksinkertaisen konfiguraation, joka estää kaikki saapuvat yhteydet paitsi ssh ja sallii pääsyn paikallisverkosta Internetiin. Samalla suojauduimme joiltakin verkkohyökkäyksiltä.

Tallenna komentosarja, tee siitä suoritettava ja suorita:

# chmod 0740 /etc/iptables.sh # /etc/iptables.sh

Käydään läpi säännöt ja tarkistetaan, ovatko kaikki säännöt paikoillaan:

# iptables -L -v -n

Huomaa, että sinun on sovellettava sääntöjä vain, jos sinulla on pääsy palvelinkonsoliin. Jos asetuksissa on virhe, saatat menettää pääsyn. Varmista, että hätätilanteessa voit poistaa palomuurin käytöstä ja säätää asetuksia.

Porttien avaaminen

Laajennetaan nyt kokoonpanoamme hieman ja avataan portit iptablesissa joillekin palveluille. Oletetaan, että meillä on verkkopalvelin käynnissä ja meidän on avattava pääsy siihen Internetistä. Lisää säännöt verkkoliikenteelle:

Porttien 80 ja 443 saapuville yhteyksille on lisätty lupa, jota web-palvelin käyttää työssään.

Jos olet asentanut sähköpostipalvelin, sinun on sallittava saapuvat yhteydet siihen kaikissa käytetyissä porteissa:

Oikean toiminnan takaamiseksi DNS-palvelimet, sinun on avattava UDP-portti 53

Portin uudelleenohjaus

Tarkastellaan tilannetta, jossa on tarpeen välittää portteja ulkoisesta rajapinnasta johonkin paikallisverkon tietokoneeseen. Oletetaan, että sinun täytyy saada rdp pääsy tietokoneeseen 10.1.3.50 Internetistä. Välitämme TCP-portin 3389:

Jos et halua paljastaa tunnettua porttia ulkopuolelta, voit ohjata epästandardista portista kohdetietokoneen rdp-porttiin:

Jos välität portin ulkopuolelta paikalliseen verkkoon, muista kommentoida sääntöä, joka estää pääsyn ulkoisesta verkosta sisäiseen. Esimerkissäni tämä sääntö on: $IPT -A FORWARD -i $WAN -o $LAN1 -j hylkää

Tai luo ennen tätä sääntöä salliva sääntö sisäisen palvelun ulkoiselle pääsylle, esimerkiksi näin:

$IPT -A ETEENPÄIN -i $WAN -d 10.1.3.50 -p tcp -m tcp --dport 3389 -j HYVÄKSY

Lokien käyttöönotto

Asennuksen aikana on hyödyllistä ottaa lokit käyttöön estettyjen pakettien valvomiseksi ja selvittää, miksi ei ole pääsyä tarvittaviin palveluihin, jotka näytämme jo avanneen. Lähetän kaikki estetyt paketit erillisiin ketjuihin (block_in, block_out, block_fw) liikennesuunnan mukaan ja merkitsen jokaisen suunnan lokeihin. Tämä tekee selvityksen tekemisestä helpompaa. Lisää seuraavat säännöt skriptin loppuun ennen asetusten tallentamista:

Voit seurata kaikkia estettyjä paketteja /var/log/messages-tiedostossa.

Kun olet määrittänyt asetukset, kommentoi nämä rivit ja poista kirjaaminen käytöstä. Tämä kannattaa ehdottomasti tehdä, sillä puut kasvavat erittäin nopeasti. Itse en näe tällaisten tietojen tallentamisessa käytännössä mitään järkeä.

Kuinka poistaa iptables käytöstä

Jos päätät yhtäkkiä, että et enää tarvitse palomuuria, voit poistaa sen käytöstä seuraavasti:

# systemctl stop iptables.service

Tämä komento pysäyttää palomuurin. Ja seuraava poistaa sen käynnistyksestä:

# systemctl poista iptables.service käytöstä

Kun palomuuri poistettiin käytöstä, sallimme kaikki yhteydet.

Johtopäätös

Kuten lupasin, lähetän valmiin käsikirjoituksen, joka sisältää harkitsemamme perussäännöt

Haluan vielä kerran huomauttaa, että iptablesia määrittäessäsi sinun on oltava erittäin varovainen. Älä aloita tätä liiketoimintaa, jos sinulla ei ole pääsyä palvelinkonsoliin. Jopa tätä artikkelia kirjoittaessani menetin pääsyn palvelimeen sääntöjen naurettavan virheen vuoksi. Tämä virhe johtui kopioinnista ja kaksoisviivan katoamisesta - se korvattiin yhdellä.

verkkokurssi "Linux Administrator" OTUS:ssa. Kurssi ei ole aloittelijoille, sisäänpääsyyn vaaditaan perustiedot verkostoista ja Linuxin asennus virtuaalikoneeseen. Koulutus kestää 5 kuukautta, jonka jälkeen kurssin suorittaneet pääsevät haastatteluihin yhteistyökumppaneiden kanssa. Mitä tämä kurssi antaa sinulle:

Linux-arkkitehtuurin tuntemus.
Kehitys nykyaikaisia menetelmiä sekä tietojen analysointi- ja käsittelytyökalut.
Kyky valita tarvittavia tehtäviä varten kokoonpano, hallita prosesseja ja varmistaa järjestelmän turvallisuus.
Hallitset järjestelmänvalvojan perustyövälineet.
Linuxiin rakennettujen verkkojen käyttöönoton, määrittämisen ja ylläpidon erityispiirteiden ymmärtäminen.
Kyky ratkaista nopeasti ilmenevät ongelmat ja varmistaa järjestelmän vakaa ja keskeytymätön toiminta.

Testaa itsesi pääsykokeessa ja katso tarkempi ohjelma.

FirewallD on palomuurin hallintatyökalu, joka on oletuksena saatavilla CentOS 7 -palvelimille. Se on pohjimmiltaan IPTablesin kääre ja mukana tulee graafinen konfigurointityökalu, palomuuriasetus ja palomuuriasetustyökalu. komentorivi palomuuri-cmd. IPtables-palvelussa jokainen muutos edellyttää vanhojen sääntöjen poistamista ja uusien sääntöjen luomista tiedostoon ` /etc/sysconfig/iptables`, ja palomuurin kanssa vain erot otetaan käyttöön.

FirewallD-vyöhykkeet

FirewallD käyttää palveluita ja vyöhykkeitä sääntöjen ja ketjujen sijaan Iptablesissa. Oletuksena seuraavat vyöhykkeet ovat käytettävissä:

pudota– Pudota kaikki saapuvat verkkopaketit ilman vastausta, vain lähtevät verkkoyhteyksiä saatavilla.
lohko– Hylkää kaikki saapuvat verkkopaketit viestillä icmp-host-prohibited, vain lähtevät verkkoyhteydet ovat sallittuja.
julkinen– vain valitut saapuvat yhteydet hyväksytään käytettäväksi yleisissä tiloissa
ulkoinen– Ulkoisissa verkoissa, joissa on naamiointi, vain valitut saapuvat yhteydet hyväksytään.
dmz– demilitarisoitu vyöhyke DMZ, julkisesti saatavilla rajoitettu pääsy sisäiseen verkkoon, vain valitut saapuvat yhteydet hyväksytään.
tehdä työtä
Koti– Kotivyöhykkeellä oleville tietokoneille vain valitut saapuvat yhteydet hyväksytään.
sisäinen– Sisäisen verkon tietokoneissa vain valitut saapuvat yhteydet hyväksytään.
luotettu– Kaikki verkkoyhteydet hyväksytään.

Saat luettelon kaikista käytettävissä olevista vyöhykkeistä:

# palomuuri-cmd --get-zones toimivat pudota sisäisen ulkoisen luotetun kodin dmz julkinen esto

Voit tarkastella oletusvyöhykkeiden luetteloa seuraavasti:

# palomuuri-cmd --get-default-zone julkinen

Oletusvyöhykkeen vaihtaminen:

Palomuuripalvelut

FirewallD-palvelut ovat XML-määritystiedostoja, jotka sisältävät palomuurin palvelun syöttötiedot. Saat luettelon kaikista saatavilla olevista palveluista:

# firewall-cmd --get-services amanda-client amanda-k5-client bacula bacula-client ceph ceph-mon dhcp dhcpv6 dhcpv6-client dns docker-registry dropbox-lansync freeipa-ldap freeipa-ldap freeipp http https imap imaps ipp ipp-client ipsec iscsi-target kadmin kerberos kpasswd ldap ldaps libvirt libvirt-tls mdns mosh mountd ms-wbt mysql nfs ntp openvpn pmcd pmproxy poppc pwes postgrepi pmcd pmproxy pwes postgrepi p ptp pulseaudio puppetmaster säde rpc-bind rsyncd samba samba-client sane smtp smtps snmp snmptrap squid ssh synergia syslog syslog-tls telnet tftp tftp-client tinc tor-socks lähetysasiakas vdsm vnc-palvelin wbem-https xmpp-clocerm-https xmpp-clocerm

XML-määritystiedostot tallennetaan hakemistoihin /usr/lib/firewalld/services/ Ja /etc/firewalld/services/.

Palomuurin määrittäminen FirewallD:llä

Esimerkkinä tästä, kuinka voit määrittää palomuurin FirewallD:llä, jos käytät verkkopalvelinta, SSH:ta portissa 7022 ja sähköpostipalvelinta.

Ensin asetamme oletusvyöhykkeen DMZ:lle.

# firewall-cmd --set-default-zone=dmz # firewall-cmd --get-default-zone dmz

Jos haluat lisätä pysyviä palvelusääntöjä HTTP:lle ja HTTPS:lle DMZ:ssä, suorita seuraava komento:

# firewall-cmd --zone=dmz --add-service=http --pysyvä # firewall-cmd --zone=dmz --add-service=https --permanent

Avaa portti 25 (SMTP) ja portti 465 (SMTPS):

Firewall-cmd --zone=dmz --add-service=smtp --permanent firewall-cmd --zone=dmz --add-service=smtps --permanent

Avoimet, IMAP-, IMAPS-, POP3- ja POP3S-portit:

Firewall-cmd --zone=dmz --add-service=imap --permanent firewall-cmd --zone=dmz --add-service=imaps --permanent firewall-cmd --zone=dmz --add-service= pop3 --permanent firewall-cmd --zone=dmz --add-service=pop3s --pysyvä

Koska SSH-portiksi on muutettu 7022, poistamme SSH-palvelun (portti 22) ja avaamme portin 7022

Firewall-cmd --remove-service=ssh --permanent firewall-cmd --add-port=7022/tcp --permanent

Muutosten toteuttamiseksi meidän on käynnistettävä palomuuri uudelleen:

Firewall-cmd --reload

Lopuksi voit luetella säännöt.

FirewallD on palomuurin hallintatyökalu, joka on oletuksena saatavilla CentOS 7 -palvelimille. Se on pohjimmiltaan IPTablesin kääre ja mukana tulee graafinen konfigurointityökalu, firewall-config ja komentorivityökalu, firewall-cmd. IPtables-palvelussa jokainen muutos edellyttää vanhojen sääntöjen poistamista ja uusien sääntöjen luomista tiedostoon ` /etc/sysconfig/iptables`, ja palomuurin kanssa vain erot otetaan käyttöön.

FirewallD-vyöhykkeet

FirewallD käyttää palveluita ja vyöhykkeitä sääntöjen ja ketjujen sijaan Iptablesissa. Oletuksena seuraavat vyöhykkeet ovat käytettävissä:

pudota– Pudota kaikki saapuvat verkkopaketit ilman vastausta, vain lähtevät verkkoyhteydet ovat käytettävissä.
lohko– Hylkää kaikki saapuvat verkkopaketit viestillä icmp-host-prohibited, vain lähtevät verkkoyhteydet ovat sallittuja.
julkinen– vain valitut saapuvat yhteydet hyväksytään käytettäväksi yleisissä tiloissa
ulkoinen– Ulkoisissa verkoissa, joissa on naamiointi, vain valitut saapuvat yhteydet hyväksytään.
dmz– demilitarisoitu vyöhyke DMZ, julkisesti saatavilla rajoitetulla pääsyllä sisäiseen verkkoon, vain valitut saapuvat yhteydet hyväksytään.
tehdä työtä
Koti– Kotivyöhykkeellä oleville tietokoneille vain valitut saapuvat yhteydet hyväksytään.
sisäinen– Sisäisen verkon tietokoneissa vain valitut saapuvat yhteydet hyväksytään.
luotettu– Kaikki verkkoyhteydet hyväksytään.

Saat luettelon kaikista käytettävissä olevista vyöhykkeistä:

# palomuuri-cmd --get-zones toimivat pudota sisäisen ulkoisen luotetun kodin dmz julkinen esto

Voit tarkastella oletusvyöhykkeiden luetteloa seuraavasti:

# palomuuri-cmd --get-default-zone julkinen

Oletusvyöhykkeen vaihtaminen:

Palomuuripalvelut

FirewallD-palvelut ovat XML-määritystiedostoja, jotka sisältävät palomuurin palvelun syöttötiedot. Saat luettelon kaikista saatavilla olevista palveluista:

XML-määritystiedostot tallennetaan hakemistoihin /usr/lib/firewalld/services/ Ja /etc/firewalld/services/.

Palomuurin määrittäminen FirewallD:llä

Esimerkkinä tästä, kuinka voit määrittää palomuurin FirewallD:llä, jos käytät verkkopalvelinta, SSH:ta portissa 7022 ja sähköpostipalvelinta.

Ensin asetamme oletusvyöhykkeen DMZ:lle.

# firewall-cmd --set-default-zone=dmz # firewall-cmd --get-default-zone dmz

Jos haluat lisätä pysyviä palvelusääntöjä HTTP:lle ja HTTPS:lle DMZ:ssä, suorita seuraava komento:

# firewall-cmd --zone=dmz --add-service=http --pysyvä # firewall-cmd --zone=dmz --add-service=https --permanent

Avaa portti 25 (SMTP) ja portti 465 (SMTPS):

Firewall-cmd --zone=dmz --add-service=smtp --permanent firewall-cmd --zone=dmz --add-service=smtps --permanent

Avoimet, IMAP-, IMAPS-, POP3- ja POP3S-portit:

Koska SSH-portiksi on muutettu 7022, poistamme SSH-palvelun (portti 22) ja avaamme portin 7022

Firewall-cmd --remove-service=ssh --permanent firewall-cmd --add-port=7022/tcp --permanent

Muutosten toteuttamiseksi meidän on käynnistettävä palomuuri uudelleen:

Firewall-cmd --reload

Lopuksi voit luetella säännöt.

CentoOS 7:stä alkaen on ilmestynyt uusi työkalu liikenteen suodatussääntöjen määrittämiseen palomuuri. On suositeltavaa käyttää sitä iptables-sääntöjen hallintaan. CentOS 8:ssa tavallisen iptables-suodatuspaketin sijaan käytetään nyt nftables-kehystä, ja kun määrität palomuurisäännöt palomuurin kautta, määrität itse asiassa nftables-asetuksia. Tässä artikkelissa tarkastellaan asennusta, peruskäsitteitä ja palomuurin määrittämistä palvelimelle, jossa on CentOS 8 (CentOS 7 on sama).

PalomuuriD– palomuuri, joka suojaa palvelinta ei-toivotulta liikenteeltä ja tukee dynaamista sääntöjen hallintaa (ilman uudelleenkäynnistystä) ja pysyvien palomuurisääntöjen käyttöönottoa. Toimii käyttöliittymänä ja nftablesille. FirewallD:tä voidaan käyttää lähes kaikissa Linux-jakeluissa.

Palomuurin peruskäsitteet, vyöhykkeet ja säännöt

Ennen kuin aloitat asennuksen ja määrityksen palomuuri, otamme käyttöön vyöhykkeiden käsitteen, jota käytetään määrittämään luottamustaso erilaisia yhteyksiä. Eri vyöhykkeille palomuuri voit soveltaa erilaisia suodatussääntöjä, määrittää aktiiviset vaihtoehdot palomuuri ennalta määritettyjen palvelujen, protokollien ja porttien, porttien edelleenohjauksen ja monipuolisten sääntöjen muodossa.

Palomuuri suodattaa saapuvan liikenteen vyöhykkeittäin vyöhykkeelle sovellettavien sääntöjen mukaan. Jos IP- pyynnön lähettäjän osoite vastaa tietyn vyöhykkeen sääntöjä, niin paketti lähetetään tämän vyöhykkeen kautta. Jos osoite ei vastaa mitään palvelimelle määritetyistä vyöhykkeistä, paketti käsitellään oletusvyöhykkeellä. Asennettaessa palomuuri oletusvyöhyke kutsutaan julkinen.

Firewalldissa on vyöhykkeitä, jotka on määritetty valmiiksi eri palvelujen käyttöoikeuksilla. Voit käyttää näitä asetuksia tai luoda omia vyöhykkeitäsi. Luettelo oletusvyöhykkeistä, jotka luodaan palomuuria asennettaessa (tallennettu hakemistoon /usr/lib/firewalld/zones/):

pudota	vähimmäisluottamustaso. Kaikki saapuvat yhteydet estetään ilman vastausta, vain lähtevät yhteydet sallitaan;
lohko	vyöhyke on samanlainen kuin edellinen, mutta kun saapuvat pyynnöt hylätään, lähetetään viesti icmp-host-prohibited for Ipv4 tai icmp6-adm-prohibited for Ipv6;
julkinen	edustaa julkisia, epäluotettavia verkkoja. Voit sallia valitut saapuvat yhteydet yksilöllisesti;
ulkoinen	ulkoisia verkkoja käytettäessä palomuuria yhdyskäytävänä. Se on määritetty NAT-naamiointiin, joten sisäinen verkkosi pysyy yksityisenä mutta käytettävissä.
sisäinen	ulkoisen alueen antonyymi. Isännällä on riittävä luottamus, useita lisäpalveluita on saatavilla;
dmz	käytetään tietokoneissa, jotka sijaitsevat DMZ-alueella (eristetyt tietokoneet, joilla ei ole pääsyä muuhun verkkoon). Vain tietyt saapuvat yhteydet ovat sallittuja;
tehdä työtä	vyöhyke työkoneille (useimmat verkon tietokoneet ovat luotettavia);
Koti	kotiverkon vyöhyke. Useimpiin tietokoneisiin voidaan luottaa, mutta vain tiettyjä saapuvia yhteyksiä tuetaan;
luotettu	luottaa kaikkiin verkon koneisiin. Kaikista käytettävissä olevista vaihtoehdoista avoimin, se vaatii tietoista käyttöä.

SISÄÄN palomuuri käytetään kahta sääntöä - pysyviä ja väliaikaisia. Väliaikaiset säännöt toimivat, kunnes palvelin käynnistetään uudelleen. Oletuksena, kun lisäät sääntöjä kohtaan palomuuri, sääntöjä pidetään väliaikaisina ( suoritusaika). Jos haluat lisätä säännön pysyvästi, sinun on käytettävä lippua - pysyvä. Näitä sääntöjä sovelletaan palvelimen uudelleenkäynnistyksen jälkeen.

Palomuurin asentaminen ja käyttöönotto CentOS:ssä

CentOS 7/8:ssa palomuuri asennetaan oletusarvoisesti käyttöjärjestelmän kanssa. Jos olet poistanut sen ja haluat asentaa palomuurin, voit käyttää tavallista /dnf-hallintaa:

# yum asenna palomuuri -y - Centos 7:lle
# dnf asenna palomuuri -y - Centos 8:lle

Demonille palomuuri käynnistyy automaattisesti, kun palvelin käynnistyi, sinun on lisättävä se kohtaan:

# systemctl ota palomuuri käyttöön

Ja juokse:

# systemctl käynnistä palomuuri

Tarkista palvelun tila:

# systemctl status palomuuri

● firewalld.service - firewalld - dynaaminen palomuuridaemon Ladattu: ladattu (/usr/lib/systemd/system/firewalld.service; käytössä; toimittajan esiasetus: käytössä) Aktiivinen: aktiivinen (käynnissä) maanantaista 10.14.2019 14:54 alkaen :40 +06; 22s sitten Docs: man:firewalld(1) Pää-PID: 13646 (palomuuri) CGroup: /system.slice/firewalld.service └─13646 /usr/bin/python2 -Es /usr/sbin/firewalld --nofork --nopid 14. lokakuuta 14:54:40 server.vpn.ru systemd: Käynnistetään palomuuri - dynaaminen palomuuridaemon... 14. lokakuuta 14:54:40 server.vpn.ru systemd: Käynnistettiin palomuuri - dynaaminen palomuuridaemon.

Tai komennolla:

# palomuuri-cmd --tila

Firewall-cmd-komento on palomuurin käyttöliittymä nftables/iptablesille.

# palomuuri-cmd --tila

Työskentely palomuurin sääntöjen kanssa

Oletussäännöt:

Ennen palomuurisääntöjen määrittämistä sinun on tarkistettava, mitä vyöhykettä käytetään oletuksena:

# palomuuri-cmd --get-default-zone

Koska asensimme juuri palomuurin emmekä ole vielä määrittäneet sitä, meillä on oletusvyöhyke julkinen.

Tarkastetaan aktiivinen vyöhyke. On myös yksi - julkinen:

# palomuuri-cmd --get-active-zones

Julkiset rajapinnat: eth0

Kuten näet, eth0-verkkoliitäntää ohjaa vyöhyke julkinen.

Näet perussäännöt kirjoittamalla:

# palomuuri-cmd --list-all

Julkinen (aktiivinen) kohde: oletusarvoinen icmp-block-inversio: ei liitäntöjä: eth0-lähteet: palvelut: dhcpv6-client ssh-portit: protokollat: naamiointi: ei eteenpäinportteja: lähdeportit: icmp-lohkot: rich säännöt:

Listauksesta näet, että tähän vyöhykkeeseen on lisätty tavalliset DHCP-asiakkaaseen ja ssh:hen liittyvät toiminnot.

Käytettävissä olevat vyöhykkeet

Jos haluat nähdä luettelon kaikista vyöhykkeistä, sinun on suoritettava komento:

# palomuuri-cmd --get-zones

Sain seuraavan listan:

Estä dmz pudota ulkoinen koti sisäinen julkinen luotettu työ

Tietyn alueen sääntöjen tarkistamiseksi sinun on lisättävä lippu - vyöhyke.

# firewall-cmd --zone=home --list-all

Kotikohde: oletusarvoinen icmp-block-inversio: ei liitäntöjä: lähteet: palvelut: dhcpv6-client mdns samba-client ssh-portit: protokollat: naamio: ei eteenpäinportteja: lähdeportit: icmp-lohkot: rich säännöt:

Kaikkien vyöhykkeiden sääntöjä voi tarkastella komennolla:

# palomuuri-cmd --list-all-zones

Luettelo tulee olemaan melko suuri, koska vyöhykkeitä voi olla useita.

Vaihda oletusvyöhyke.

Oletus on kaikki verkkoliitännät sijaitsee alueella julkinen, mutta ne voidaan siirtää mille tahansa vyöhykkeelle komennolla:

# firewall-cmd --zone=home -change-interface=eth0

Parametrin jälkeen --vyöhyke= osoittavat halutun alueen.

Jos haluat muuttaa oletusvyöhykettä, sinun on käytettävä komentoa:

# firewall-cmd --set-default-zone=home

Sovellussääntöjen lisääminen

Voit avata portin sovellukselle lisäämällä palvelun poikkeuksiin. Näytä luettelo saatavilla olevista palveluista:

Tuotos sisältää suuren määrän palveluita. yksityiskohtainen tieto palvelusta on sen sisältämä xml tiedosto. Nämä tiedostot sijaitsevat hakemistossa /usr/lib/firewalld/services.

Esimerkiksi:

# cd /usr/lib/firewalld/services

Sähköposti (SMTP) Tämä vaihtoehto sallii saapuvan SMTP-postin toimituksen. Jos haluat antaa etäisäntien muodostaa yhteyden suoraan koneellesi postin toimittamiseksi, ota tämä vaihtoehto käyttöön. Sinun ei tarvitse ottaa tätä käyttöön, jos keräät sähköpostisi Internet-palveluntarjoajan palvelimelta POP3- tai IMAP-protokollalla tai jos käytät työkalua, kuten fetchmail. Huomaa, että väärin määritetty SMTP palvelin voi sallia etäkoneiden käyttää palvelintasi roskapostin lähettämiseen.

XML-tiedosto sisältää kuvauksen palvelusta, protokollasta ja portin numerosta, joka avataan palomuurissa.

Kun lisäät sääntöjä, voit käyttää parametria --lisäpalvelu avataksesi pääsyn tiettyyn palveluun:

# firewall-cmd --zone=public --add-service=http

# firewall-cmd --zone=public --add-service=https

Sääntöjen lisäämisen jälkeen voit tarkistaa, onko palveluita lisätty määritettyyn vyöhykkeeseen:

# palomuuri-cmd --zone=public --list-services

Dhcpv6-asiakas http https ssh

Jos haluat tehdä näistä säännöistä pysyviä, sinun on lisättävä parametri lisäyksen yhteydessä -pysyvä.

Palvelun poistaminen vyöhykkeeltä:

# palomuuri-cmd --permanent --zone=public --remove-service=http

Dhcpv6-asiakas https ssh -testi

Jos haluat lisätä palvelusi poikkeuksiin, voit luoda tiedoston xml itse ja täytä se. Voit kopioida tietoja mistä tahansa palvelusta, muuttaa nimeä, kuvausta ja portin numeroa.

Kopioidaan tiedosto smtp.xml hakemistoon käyttäjäpalveluiden kanssa työskentelyä varten:

# cp /usr/lib/firewalld/services/smtp.xml /etc/firewalld/services

Muuta palvelun kuvaus tiedostossa.

Itse xml-tiedosto Sinun on myös nimettävä se uudelleen palvelusi nimellä. Tämän jälkeen sinun on käynnistettävä palomuuri uudelleen ja tarkistettava, onko palvelumme luettelossa:

Soitin palveluun testata ja se ilmestyi listaan:

Syslog-tls telnet-testi tftp

Nyt voit lisätä luodun palvelun mille tahansa vyöhykkeelle:

# firewall-cmd --zone=public --add-service=test --pysyvä

# firewall-cmd --zone=public --permanent --list-services

Dhcpv6-asiakas http https ssh -testi

Jos et löydä tarvitsemaasi palvelua luettelosta, voit avata vaaditun portin palomuurin komennolla:

# firewall-cmd --zone=public -add-port=77/tcp - avaa portti 77 tcp
# firewall-cmd --zone=public -add-port=77/udp - avaa portti 77 udp
# firewall-cmd --zone=public -add-port=77-88/udp - avoin porttialue 77-88 udp
# firewall-cmd --zone=public -list-ports - tarkista sallittujen porttien luettelo

Estä/salli ICMP-vastaukset:

# firewall-cmd --zone=public --add-icmp-block=echo-reply
# firewall-cmd --zone= julkinen --remove-icmp-block=echo-reply

Poista lisätty portti:

# firewall-cmd --zone=public -remove-port=77/udp - poista väliaikainen sääntö 77 udp

# firewall-cmd --permanent --zone=public -remove-port=77/udp - poista pysyvä sääntö

Omien vyöhykkeiden lisääminen

Voit luoda oman vyöhykkeen (minä kutsun sitä meidän):

# firewall-cmd --permanent --new-zone=our

Uuden vyöhykkeen luomisen ja palvelun luomisen jälkeen vaaditaan uudelleenkäynnistys palomuuri:

# palomuuri-cmd --reload

# palomuuri-cmd --get-zones

Estä dmz pudota ulkoinen koti sisäinen julkinen luotettu työmme

Alue meidän saatavilla. Voit lisätä siihen palveluita tai avata tiettyjä portteja.

Palomuuri: IP-osoitteiden estäminen, poikkeuksien luominen

Voit lisätä luotettavia IP-osoitteita palomuurin poikkeuksiin tai estää ei-toivotut.

Tietyn lisäyksen lisääminen poikkeuksiin IP-osoite(esimerkiksi 8.8.8.8) palvelimellasi kautta palomuuri, käytä komentoa:

# firewall-cmd --zone=public --add-rich-rule="sääntöperhe="ipv4" lähdeosoite="8.8.8.8" hyväksy"

Tarkista alue ja varmista IP lisätty poikkeuksiin monissa säännöissä:

Julkinen (aktiivinen) kohde: oletus icmp-block-inversio: ei liitäntöjä: eth0 lähteet: palvelut: dhcpv6-client http https ssh-testiportit: protokollat: naamio: ei eteenpäinportteja: lähdeportit: icmp-lohkot: rich säännöt: rule family="ipv4" source address="8.8.8.8" hyväksy

Estää IP, täytyy vaihtaa hyväksyä päällä hylätä:

# firewall-cmd --zone=public --add-rich-rule="sääntöperhe="ipv4" lähdeosoite="8.8.4.4" hylkää"

# firewall-cmd --zone=public --list-all

Voit sallia tietyn palvelun vain tietystä IP-osoitteesta tuleville pyynnöille:

#firewall-cmd --permanent --add-rich-rule "sääntöperhe="ipv4" lähdeosoite="10.10.1.0/24" palvelun nimi="https" hyväksy"

Jos sinun on kiireesti estettävä kaikki palvelimelle tulevat pyynnöt, käytä paniikkikomentoa:

# palomuuri-cmd --paniikki päällä

Voit poistaa paniikkitilan käytöstä joko komennolla:

# palomuuri-cmd -- paniikki pois

Tai käynnistämällä palvelimen uudelleen.

Voit estää palomuurin määrityksen niin, että paikalliset palvelut juurioikeudet ei voinut muuttaa luomiasi palomuurisääntöjä:

# palomuuri-cmd --lockdown-on