itthon › Navigátorok › Centos 7 tűzfal cmd nyitott port

Centos 7 tűzfal cmd nyitott port

Telepítve operációs rendszer A tűzfalat arra használják, hogy megakadályozzák az illetéktelen forgalom áthaladását közöttük számítógépes hálózatok. A tűzfal speciális szabályai manuálisan vagy automatikusan jönnek létre, amelyek felelősek a hozzáférés szabályozásáért. A Linux kernelre fejlesztett operációs rendszer, a CentOS 7 beépített tűzfallal rendelkezik, és tűzfallal kezelhető. A FirewallD alapértelmezés szerint engedélyezve van, és ma szeretnénk beszélni a beállításáról.

Mint fentebb említettük, a CentOS 7 szabványos tűzfala a FirewallD segédprogram. Ez az oka annak, hogy a tűzfal beállítását ennek az eszköznek a példaként való felhasználásával tárgyaljuk. Ugyanazon iptables használatával is beállíthat szűrési szabályokat, de ez kissé eltérő módon történik. Javasoljuk, hogy a következő hivatkozásra kattintva ismerkedjen meg az említett segédprogram konfigurációjával, és megkezdjük a FirewallD elemzését.

A tűzfal alapjai

Számos zóna létezik - szabálykészlet a forgalom kezelésére a hálózatokba vetett bizalom alapján. Mindegyiknek saját szabályzata van, amelyek összessége alkotja a tűzfal konfigurációját. Minden zónához egy vagy több hálózati interfész van hozzárendelve, amely lehetővé teszi a szűrés beállítását is. Az alkalmazott szabályok közvetlenül függenek a használt interfésztől. Például, ha nyilvános Wi-Fi-hálózathoz csatlakozik tűzfal növeli az ellenőrzés szintjét, és be otthoni hálózat további hozzáférést nyit meg a lánc résztvevői számára. A szóban forgó tűzfal a következő zónákat tartalmazza:

megbízható – a maximális bizalom minden hálózati eszközben;
otthon - csoport helyi hálózat. Megvan a bizalom a környezetben, de a bejövő kapcsolatok csak bizonyos gépek számára érhetők el;
munka - munkaterület. A legtöbb eszközben bizalom van, és további szolgáltatások aktiválva vannak;
A dmz egy zóna elszigetelt számítógépek számára. Az ilyen eszközök le vannak választva a hálózat többi részétől, és csak bizonyos bejövő forgalmat engedélyeznek;
belső — belső hálózatok zónája. A bizalom minden gépre vonatkozik, további szolgáltatásokat nyitnak meg;
külső – zóna fordított az előzőhöz. Külső hálózatokban a NAT maszkolás aktív, bezárja a belső hálózatot, de nem blokkolja a hozzáférést;
nyilvános - nyilvános hálózatok zónája, ahol nem bíznak minden eszközben és egyénileg fogadják a bejövő forgalmat;
blokk - minden bejövő kérés visszaállításra kerül, hibaüzenettel icmp-host-inhibited vagy icmp6-adm-tilos;
drop – minimális bizalomszint. A bejövő kapcsolatok értesítés nélkül megszakadnak.

Maguk a szabályzatok lehetnek ideiglenesek vagy állandóak. Amikor a paraméterek megjelennek vagy szerkesztenek, a tűzfalművelet azonnal megváltozik, újraindítás nélkül. Ha ideiglenes szabályokat alkalmaztak, akkor azok a FirewallD újraindítása után visszaállnak. Így hívják az állandó szabályt – megőrzik állandó bázis a -permanent argumentum használatakor.

A FirewallD engedélyezése

Először el kell indítania a FirewallD-t, vagy meg kell győződnie arról, hogy aktív állapotban van. Csak egy működő démon (egy befutó program háttér) fogja alkalmazni a tűzfalszabályokat. Az aktiválás néhány kattintással megtörténik:

Indítsa el a klasszikust "Terminál" bármilyen kényelmes módszert, például a menün keresztül "Alkalmazások".

Írja be a sudo systemctl start firewalld.service parancsot, és nyomja meg a gombot Belép.

A segédprogramot a szuperfelhasználó nevében kezelik, így hitelességét jelszó megadásával kell megerősítenie.

A szolgáltatás működésének ellenőrzéséhez adja meg a firewall-cmd --state paramétert.

A nyitottban grafikus ablakújra hitelesíteni.

Megjelenik egy új sor. Jelentése "futás" azt jelzi, hogy a tűzfal működik.

Ha valaha is ideiglenesen vagy véglegesen le kell tiltania a tűzfalat, javasoljuk, hogy kövesse az alábbi hivatkozáson található másik cikkünkben található utasításokat.

Az alapértelmezett szabályok és az elérhető zónák megtekintése

Még a normálisan működő tűzfalnak is megvannak a maga sajátos szabályai és elérhető zónái. A házirendek szerkesztésének megkezdése előtt javasoljuk, hogy ismerkedjen meg az aktuális konfigurációval. Ez egyszerű parancsokkal történik:

A firewall-cmd --get-default-zone parancs segít meghatározni az alapértelmezett zónát.

Aktiválása után egy új sort fog látni, ahol a kívánt paraméter jelenik meg. Például az alábbi képernyőképen a zóna aktívnak tekinthető "nyilvános".

Egyszerre azonban több zóna is aktív lehet, és ezek külön interfésszel vannak társítva. Ezt az információt a firewall-cmd --get-active-zones segítségével találja meg.

A firewall-cmd --list-all parancs megjeleníti az alapértelmezett zónához konfigurált szabályokat. Tekintse meg az alábbi képernyőképet. Látod, hogy az aktív zóna "nyilvános" szabály hozzárendelve "alapértelmezett"- alapértelmezett működés, interfész "enp0s3"és két szolgáltatást adtak hozzá.

Ha meg szeretné tudni az összes elérhető tűzfalzónát, írja be a firewall-cmd --get-zones parancsot.

Egy adott zóna paramétereit a firewall-cmd --zone=name --list-all segítségével határozza meg, ahol név- zóna neve.

A szükséges paraméterek meghatározása után folytathatja azok módosítását és hozzáadását. Nézzünk meg közelebbről néhányat a legnépszerűbb konfigurációk közül.

Interfész zónák beállítása

Amint azt a fenti információkból tudja, minden interfésznek saját alapértelmezett zónája van. Ott marad mindaddig, amíg a felhasználó vagy programozottan meg nem változtatja a beállításokat. Lehetőség van manuálisan egy interfészt egy munkamenetre átvinni egy zónába, és ez a sudo firewall-cmd --zone=home --change-interface=eth0 parancs aktiválásával történik. Eredmény "siker" jelzi, hogy az átvitel sikeres volt. Emlékeztetjük, hogy az ilyen beállítások a tűzfal újraindítása után azonnal visszaállnak.

Az ilyen paraméterek megváltoztatásakor figyelembe kell venni, hogy a szolgáltatások visszaállhatnak. Néhányuk például nem támogatja a működést bizonyos zónákban, bár az SSH elérhető "itthon", de az egyedi vagy speciális esetekben a szolgáltatás megtagadja a működést. A firewall-cmd --get-active-zones beírásával ellenőrizheti, hogy az interfész sikeresen kapcsolódott-e az új ághoz.

Ha vissza szeretné állítani a korábban megadott beállításokat, egyszerűen indítsa újra a tűzfalat: sudo systemctl restart firewalld.service .

Néha nem mindig kényelmes az interfész zónát csak egy munkamenetre módosítani. Ebben az esetben szerkesztenie kell a konfigurációs fájlt, hogy minden beállítás állandó jelleggel legyen megadva. Ehhez javasoljuk egy szövegszerkesztő használatát nano, amely a hivatalos tárolóból van telepítve a sudo yum install nano segítségével. Ezután már csak a következőket kell tennie:

Nyissa meg a konfigurációs fájlt egy szerkesztőn keresztül a sudo nano /etc/sysconfig/network-scripts/ifcfg-eth0 beírásával, ahol eth0— a szükséges interfész neve.

Erősítse meg a hitelességet fiókot további műveletek elvégzésére.

Keresse meg a paramétert "ZÓNA"és módosítsa az értékét a kívánt értékre, például nyilvános vagy otthoni .

Tartsa lenyomva a gombokat Ctrl+O a változtatások mentéséhez.

Ne változtassa meg a fájl nevét, csak kattintson rá Belép.

Kijárat szöveg szerkesztő keresztül Ctrl+X.

Mostantól az interfész zóna az Ön által megadott lesz a konfigurációs fájl következő szerkesztéséig. A frissített beállítások érvénybe léptetéséhez futtassa a sudo systemctl restart network.service és a sudo systemctl restart firewalld.service parancsot.

Az alapértelmezett zóna beállítása

Fentebb már bemutattunk egy parancsot, amely lehetővé tette az alapértelmezett zóna kiderítését. Ez egy tetszőleges paraméter beállításával is módosítható. Ehhez írja be a sudo firewall-cmd --set-default-zone=name a konzolba, ahol név— a szükséges zóna neve.

A parancs sikerességét a felirat jelzi "siker" külön sorban. Ezt követően az összes jelenlegi interfész a megadott zónához lesz kötve, hacsak a konfigurációs fájlok másként nem rendelkeznek.

Szabályok létrehozása programok és segédprogramok számára

A cikk legelején az egyes zónák működéséről beszéltünk. A szolgáltatások, segédprogramok és programok ilyen ágakban történő meghatározása lehetővé teszi, hogy mindegyikhez egyedi paramétereket alkalmazzon az egyes felhasználók igényeinek megfelelően. A kezdéshez azt javasoljuk, hogy ismerkedjen meg az elérhető termékek teljes listájával Ebben a pillanatban szolgáltatások: firewall-cmd --get-services.

Az eredmény közvetlenül a konzolon jelenik meg. Minden szerver szóközzel van elválasztva, és a listában könnyen megtalálhatja az Önt érdeklő eszközt. Ha a szükséges szolgáltatás nem érhető el, akkor azt külön kell telepíteni. Olvassa el a telepítési szabályokat a hivatalos szoftverdokumentációban.

A fenti parancs csak a szolgáltatásneveket mutatja. Mindegyikre vonatkozó részletes információ egy külön fájlból érhető el, amely az /usr/lib/firewalld/services útvonalon található. Az ilyen dokumentumok XML formátumúak, az SSH elérési útja például így néz ki: /usr/lib/firewalld/services/ssh.xml, és a dokumentum tartalma a következő:

SSH
A Secure Shell (SSH) egy protokoll a távoli gépekre való bejelentkezéshez és parancsok végrehajtásához. Biztonságos, titkosított kommunikációt biztosít. Ha azt tervezi, hogy távolról szeretné elérni a gépet SSH-n keresztül, tűzfalas felületen keresztül, engedélyezze ezt a lehetőséget. Ahhoz, hogy ez a beállítás hasznos legyen, telepítenie kell az openssh-server csomagot.

A szolgáltatástámogatás egy adott zónában manuálisan aktiválódik. BAN BEN "Terminál" ki kell adnia a sudo firewall-cmd --zone=public --add-service=http parancsot, ahol --zone=nyilvános- aktiválási zóna, és --add-service=http— a szolgáltatás neve. Felhívjuk figyelmét, hogy egy ilyen változás csak egy munkamenetre vonatkozik.

Az állandó hozzáadás a sudo firewall-cmd --zone=public --permanent --add-service=http segítségével történik, és az eredmény "siker" a művelet sikeres befejezését jelzi.

Kilátás teljes listaÁllandó szabályokat hozhat létre egy adott zónához, ha a listát egy külön konzolsorban jeleníti meg: sudo firewall-cmd --zone=public --permanent --list-services .

A szolgáltatáshoz való hozzáférés hiányának problémájának megoldása

A tűzfalszabályok alapértelmezés szerint a legnépszerűbb és legbiztonságosabb szolgáltatásokat listázzák, mint megengedett, de egyes szabványos ill harmadik féltől származó alkalmazások blokkolja. Ebben az esetben a felhasználónak manuálisan kell módosítania a beállításokat a hozzáférési probléma megoldásához. Ezt két különböző módon lehet megtenni.

Port továbbítás

Mint tudják, minden hálózati szolgáltatás egy adott portot használ. A tűzfal könnyen észleli, és segítségével blokkolni is lehet. A tűzfal ilyen műveleteinek elkerülése érdekében meg kell nyitnia a szükséges portot a sudo firewall-cmd --zone=public --add-port=0000/tcp paranccsal, ahol --zone=nyilvános- kikötő terület, --add-port=0000/tcp— portszám és protokoll. A firewall-cmd --list-ports opció megjeleníti a nyitott portok listáját.

Ha meg kell nyitnia a tartományban lévő portokat, használja a sudo firewall-cmd --zone=public --add-port=0000-9999/udp sort, ahol --add-port=0000-9999/udp— a portok köre és azok protokollja.

A fenti parancsok csak az ilyen paraméterek használatának tesztelését teszik lehetővé. Ha ez sikerült, akkor ugyanazokat a portokat kell hozzáadnia az állandó beállításokhoz, és ezt a sudo firewall-cmd --zone=public --permanent --add-port=0000/tcp vagy sudo firewall-cmd -- beírásával teheti meg. zone=public --permanent --add-port=0000-9999/udp . A nyitott állandó portok listája így néz ki: sudo firewall-cmd --zone=public --permanent --list-ports .

Szolgáltatás meghatározása

Mint látható, a portok hozzáadása nem okoz nehézséget, de az eljárás bonyolultabbá válik, ha nagyszámú alkalmazást használnak. Nehézsé válik az összes használt port követése, ezért jobb megoldás lenne a szolgáltatás meghatározása:

Csak annyit kell tennie, hogy kiválasztja a legmegfelelőbb módszert a szolgáltatáshoz való hozzáféréssel kapcsolatos problémák megoldására, és kövesse a kapott utasításokat. Amint látja, minden műveletet meglehetősen egyszerűen hajtanak végre, és nem szabadna fellépnie nehézségeknek.

Egyéni zónák létrehozása

Azt már tudja, hogy a FirewallD kezdetben nagyszámú különböző zónát hozott létre bizonyos szabályokkal. Vannak azonban olyan helyzetek, amikor rendszergazda létre kell hoznia egy egyéni zónát, mint pl "nyilvános web" telepített webszerverhez ill "privát DNS"— a DNS-kiszolgálóhoz. A két példa segítségével megvizsgáljuk az ágak hozzáadását:

Ebből a cikkből megtanulta, hogyan hozhat létre egyéni zónákat, és hogyan adhat hozzá szolgáltatásokat. Az alapértelmezett beállításukról és az interfészek hozzárendeléséről fentebb már volt szó, csak a megfelelő neveket kell megadni. Ne felejtse el újraindítani a tűzfalat minden állandó változtatás után.

Mint látható, a FirewallD tűzfal egy meglehetősen átfogó eszköz, amely lehetővé teszi a legrugalmasabb tűzfalkonfiguráció létrehozását. Csak annyit kell tennie, hogy a segédprogram elindul a rendszerrel, és a megadott szabályok azonnal megkezdik a munkájukat. Ezt a sudo systemctl enable firewalld paranccsal teheti meg.

A kiszolgáló külső fenyegetésekkel szembeni védelmének első lépése egy tűzfal, amely kiszűri a bejövő és kimenő forgalmat. Ebben a cikkben az iptables beállításáról szeretnék beszélni, amely a CentOS tűzfalának egy speciális esete, valamint a telepítéséről és letiltásáról. Útmutatóm nem lesz kimerítő, csak azokat a szempontokat veszem figyelembe, amelyeket a legfontosabbnak tartok, és amelyeket magam is felhasználok munkám során.

Ez a cikk a szerverről szóló egyetlen cikksorozat része.

Bevezetés

Az Iptables jelenleg a de facto szabvány a modern Linux disztribúciók között. Nem is emlékszem rögtön, hogy mit használnak még tűzfalként. Tehát minden Linux rendszergazdának meg kell küzdenie a tűzfal beállításával a munkája során.

Ehhez a tűzfalhoz különböző kapcsolatok állnak rendelkezésre, amelyeket a „kényelmesebb” konfiguráció érdekében használnak. Az Ubuntunak van ufw, centosban - tűzfal, a többieket nem ismerem. Én személy szerint nem látok kényelmetlenséget ezeknek az eszközöknek a használatában. Hozzászoktam, hogy a Linux tűzfalat a régi módon állítsam be, ahogy azt munkám legelején megtanultam. Szerintem ez a legegyszerűbb és legkényelmesebb módja, amit megosztok veletek. Lényege abban rejlik, hogy a szkript tűzfalszabályokkal jön létre. Ez a szkript könnyen szerkeszthető az Ön igényei szerint, és átvihető szerverről szerverre.

Tűzfal letiltása

A tűzfal letiltásának kérdését már érintettem a témában. Először is tiltsuk le a tűzfalat, amely a centos 7-ben alapértelmezés szerint a telepítés után azonnal jelen van:

# systemctl állítsa le a tűzfalat

Most távolítsuk el az indításból, hogy újraindítás után ne kapcsoljon be újra:

# systemctl letiltja a tűzfalat

Ezt követően a kiszolgáló tűzfalbeállításai teljesen megnyílnak. Az iptables szabályokat a következő paranccsal tekintheti meg:

Az iptables telepítése

Valójában már van tűzfal a szerverünkön, és működik, egyszerűen nincsenek szabályok, minden nyitva van. További felügyeleti segédprogramokat kell telepítenünk, amelyek nélkül lehetetlen az iptables konfigurálása. Például nem lehet újraindítani a tűzfalat:

# systemctl restart iptables.service Nem sikerült a metódushívás kiadása: Az iptables.service egység betöltése nem sikerült: Nincs ilyen fájl vagy könyvtár.

Vagy nem tudja hozzáadni az automatikus futtatáshoz:

# systemctl enable iptables.service Nem sikerült a metódushívás kiadása: Nincs ilyen fájl vagy könyvtár

Az ilyen hibák elkerülése érdekében telepítse a szükséges csomagot a segédprogramokkal:

# yum -y az iptables-services telepítése

Most hozzáadhatja az iptables-t az indításhoz és futtatáshoz:

# systemctl enable iptables.service # systemctl start iptables.service

Tűzfal beállítása

Szkriptet használok a tűzfalszabályok kezelésére. Hozzuk létre:

# mcedit /etc/iptables.sh

Ezután kitöltjük a szükséges szabályokkal. A forgatókönyv minden jelentős részét elemzem, és Teljesen megadom a formában szöveges fájl a cikk végén. A szabályok képek formájában készültek, hogy tiltsák a másolást és beillesztést. Ez hibákhoz vezethet a szabályok működésében, amelyekkel magam is találkoztam a cikk elkészítése során.

Megvizsgáljuk azt a helyzetet, amikor a szerver átjáró az internethez egy helyi hálózat számára.

Először is állítsuk be az összes változót, amelyet használni fogunk a szkriptben. Ez nem szükséges, de ajánlott, mert kényelmes a beállítások átvitele szerverről szerverre. Elég lesz egyszerűen újra hozzárendelni a változókat.

Az új szabályok alkalmazása előtt töröljük az összes láncot:

Minden olyan forgalmat blokkolunk, amely nem felel meg egyik szabálynak sem:

Minden localhost és helyi forgalom engedélyezése:

Engedélyezzük a ping-et:

Ha erre nincs szüksége, akkor ne adjon hozzá engedélyezési szabályokat az icmp-hez.

Internet hozzáférést nyitunk magának a szervernek:

Ha meg szeretné nyitni az összes bejövő szerverkapcsolatot, adja hozzá a következő szabályt:

Most adjunk hozzá védelmet a leggyakoribb hálózati támadások ellen. Először is dobjunk el minden olyan csomagot, amelynek nincs állapota:

Null csomagok blokkolása:

Védje magát a syn-Flood támadásoktól:

Ha nem állít be korlátozásokat a helyi hálózatról való hozzáférésre, akkor mindenki számára lehetővé tesszük az internet elérését:

Ezután megtiltjuk a hozzáférést az internetről a helyi hálózathoz:

Annak érdekében, hogy helyi hálózatunk használni tudja az internetet, engedélyezzük a nat:

Annak érdekében, hogy ne veszítse el a szerverhez való hozzáférést, a szabályok alkalmazása után engedélyezzük az ssh-n keresztüli kapcsolatokat:

És a végén leírjuk a szabályokat, hogy azok újraindítás után is érvényesek legyenek:

Összeállítottunk egy egyszerű konfigurációt, amely blokkolja az összes bejövő kapcsolatot, kivéve az ssh-t, és lehetővé teszi a hozzáférést a helyi hálózatról az Internetre. Ugyanakkor megvédtük magunkat néhány hálózati támadástól.

Mentse el a szkriptet, tegye végrehajthatóvá és futtassa:

# chmod 0740 /etc/iptables.sh # /etc/iptables.sh

Tekintsük át a szabályokat, és ellenőrizzük, hogy minden szabály a helyén van-e:

# iptables -L -v -n

Kérjük, vegye figyelembe, hogy csak akkor kell alkalmaznia a szabályokat, ha rendelkezik hozzáféréssel a kiszolgálókonzolhoz. Ha hiba van a beállításokban, elveszítheti a hozzáférést. Győződjön meg arról, hogy vészhelyzetben letilthatja a tűzfalat, és módosíthatja a beállításokat.

Portok nyitása

Most bővítsük egy kicsit a konfigurációnkat, és nyissunk meg portokat az iptables-ban bizonyos szolgáltatásokhoz. Tegyük fel, hogy fut egy webszerverünk, és meg kell nyitnunk a hozzáférést az internetről. Szabályok hozzáadása a webes forgalomhoz:

Engedélyt adtunk a 80-as és 443-as portokon a bejövő kapcsolatokhoz, amelyeket a webszerver a munkája során használ.

Ha telepítette levelezőszerver, akkor engedélyeznie kell a bejövő kapcsolatokat az összes használt porton:

A helyes működés érdekében DNS szerverek, meg kell nyitnia az 53-as UDP-portot

Port továbbítás

Tekintsünk egy olyan helyzetet, amikor szükséges a portokat egy külső interfészről a helyi hálózat valamelyik számítógépére továbbítani. Tegyük fel, hogy meg kell szerezned rdp hozzáférés 10.1.3.50 számítógépre az internetről. Továbbítjuk a 3389-es TCP portot:

Ha nem szeretne egy ismert portot kívülről felfedni, átirányíthat egy nem szabványos portról a célszámítógép rdp portjára:

Ha egy portot kívülről továbbít a helyi hálózatra, feltétlenül írja le azt a szabályt, amely blokkolja a hozzáférést a külső hálózatról a belső hálózatra. Az én példámban ez a szabály: $IPT -A ELŐRE -i $WAN -o $LAN1 -j ELUTASÍTÁS

Vagy e szabály előtt hozzon létre egy engedélyezési szabályt a belső szolgáltatáshoz való külső hozzáféréshez, például így:

$IPT -A ELŐRE -i $WAN -d 10.1.3.50 -p tcp -m tcp --dport 3389 -j ELFOGADÁS

Naplók engedélyezése

A beállítás során hasznos engedélyezni a naplók számára a blokkolt csomagok figyelését, és kideríteni, hogy miért nincs hozzáférés a szükséges szolgáltatásokhoz, amelyeket úgy tűnik, már megnyitottunk. Az összes blokkolt csomagot a forgalom irányának megfelelő külön láncokba (block_in, block_out, block_fw) küldöm, és minden irányt megjelölök a naplókban. Ez kényelmesebbé teszi a tájékoztatást. A beállítások mentése előtt adja hozzá a következő szabályokat a szkript legvégéhez:

Az összes blokkolt csomagot nyomon követheti a /var/log/messages fájlban.

A beállítás befejezése után írja le ezeket a sorokat, és tiltsa le a naplózást. Ezt mindenképpen érdemes megtenni, mert a rönkök nagyon gyorsan nőnek. Én személy szerint semmi gyakorlati értelmét nem látom az ilyen információk tárolásának.

Hogyan lehet letiltani az iptables-t

Ha hirtelen úgy dönt, hogy már nincs szüksége a tűzfalra, az alábbiak szerint tilthatja le:

# systemctl stop iptables.service

Ez a parancs leállítja a tűzfalat. És a következők eltávolítják az indításból:

# systemctl letiltja az iptables.service-t

A tűzfal letiltásával minden csatlakozást engedélyeztünk.

Következtetés

Ahogy ígértem, egy kész forgatókönyvet teszek közzé az általunk figyelembe vett alapvető szabályokkal

Szeretném még egyszer hangsúlyozni, hogy az iptables beállításakor rendkívül óvatosnak kell lenni. Ne indítsa el ezt a vállalkozást, ha nincs hozzáférése a szerverkonzolhoz. Még a cikk írása közben is elvesztettem a hozzáférést a szerverhez egy nevetséges szabályhiba miatt. Ez a hiba a másolás és a kettős kötőjel elvesztése miatt keletkezett - ezt egyetlenegy váltotta fel.

„Linux rendszergazda” online tanfolyam az OTUS-nál. A kurzus nem kezdőknek való, a felvételhez alapvető hálózati ismeretek szükségesek Linux telepítés a virtuális géphez. A képzés 5 hónapig tart, ezt követően a sikeres tanfolyamot végzettek interjúkon vehetnek részt partnerekkel. Mit nyújt ez a tanfolyam:

Linux architektúra ismerete.
Fejlesztés modern módszerek valamint adatelemző és -feldolgozó eszközök.
Képes konfigurációt választani a szükséges feladatokhoz, folyamatokat kezelni és rendszerbiztonságot biztosítani.
Jártas a rendszergazda alapvető munkaeszközeiben.
A Linuxra épített hálózatok telepítésének, konfigurálásának és karbantartásának sajátosságainak megértése.
A felmerülő problémák gyors megoldásának képessége és a rendszer stabil és zavartalan működése.

Tesztelje magát a felvételi vizsgán, és további részletekért tekintse meg a programot.

A FirewallD egy tűzfalkezelő eszköz, amely alapértelmezés szerint elérhető a CentOS 7 szervereken, alapvetően az IPTables körüli burkolóeszköz, és egy grafikus konfigurációs eszközzel, a tűzfal-konfigurációval és a tűzfal-konfigurációs eszközzel érkezik. parancs sor tűzfal-cmd. Az IPtables szolgáltatásnál minden változtatáshoz törölni kell a régi szabályokat, és új szabályokat kell létrehozni a ` fájlban /etc/sysconfig/iptables`, és tűzfal esetén csak a különbségek érvényesülnek.

FirewallD zónák

A FirewallD szolgáltatásokat és zónákat használ szabályok és láncok helyett az Iptables-ban. Alapértelmezés szerint a következő zónák állnak rendelkezésre:

csepp– Válasz nélkül dobjon el minden bejövő hálózati csomagot, csak a kimenőket hálózati kapcsolatok elérhető.
Blokk– Minden bejövő hálózati csomag elutasítása az icmp-host-prohibited üzenettel, csak a kimenő hálózati kapcsolatok engedélyezettek.
nyilvános– csak kiválasztott bejövő kapcsolatokat fogadunk el, közterületi használatra
külső– Maszkolású külső hálózatok esetén csak a kiválasztott bejövő kapcsolatokat fogadjuk el.
dmz– DMZ demilitarizált zóna, nyilvánosan elérhető innen korlátozott hozzáférés a belső hálózatra csak a kiválasztott bejövő kapcsolatokat fogadja el.
munka
itthon– Az otthoni zónában lévő számítógépek esetében csak a kiválasztott bejövő kapcsolatokat fogadja el a rendszer.
belső– A belső hálózaton lévő számítógépek esetében csak a kiválasztott bejövő kapcsolatokat fogadjuk el.
megbízott– Minden hálózati kapcsolat elfogadott.

Az összes elérhető zóna listájának megtekintéséhez:

# firewall-cmd --get-zones work drop belső külső megbízható otthoni dmz nyilvános blokk

Az alapértelmezett zónák listájának megtekintéséhez:

# firewall-cmd --get-default-zone public

Az alapértelmezett zóna módosítása:

Tűzfalszolgáltatások

A FirewallD szolgáltatások olyan XML konfigurációs fájlok, amelyek a tűzfal szolgáltatásbejegyzési adatait tartalmazzák. Az összes elérhető szolgáltatás listájának megtekintéséhez:

# firewall-cmd --get-services amanda-client amanda-k5-client bacula bacula-client ceph ceph-mon dhcp dhcpv6 dhcpv6-client dns docker-registry dropbox-lansync freeipa-ldap freeipa-ldap ingyenes alkalmazás http https imap imaps ipp ipp-client ipsec iscsi-target kadmin kerberos kpasswd ldap ldaps libvirt libvirt-tls mdns mosh mountd ms-wbt mysql nfs ntp openvpn pmcd pmproxy poppcd prwc pwec grei pmcd pmproxym3 privc postgrepi p ptp pulseaudio puppetmaster sugar rpc-bind rsyncd samba samba-client sane smtp smtps snmp snmptrap squid ssh synergy syslog syslog-tls telnet tftp tftp-kliens tinc tor-socks átviteli kliens vdsm vnc-szerver wbem-https xmpp-clocersht xmpp-clocersht

Az XML konfigurációs fájlok könyvtárakban tárolódnak /usr/lib/firewalld/services/És /etc/firewall/services/.

Tűzfal beállítása FirewallD segítségével

Példaként íme, hogyan konfigurálhat tűzfalat a FirewallD segítségével, ha webszervert, SSH-t a 7022-es porton és levelezőkiszolgálót futtat.

Először beállítjuk a DMZ alapértelmezett zónáját.

# firewall-cmd --set-default-zone=dmz # firewall-cmd --get-default-zone dmz

Ha állandó szolgáltatási szabályokat szeretne hozzáadni a HTTP és HTTPS számára a DMZ-hez, futtassa a következő parancsot:

# firewall-cmd --zone=dmz --add-service=http --permanent # firewall-cmd --zone=dmz --add-service=https --permanent

Nyissa meg a 25-ös (SMTP) és a 465-ös portot (SMTPS):

Firewall-cmd --zone=dmz --add-service=smtp --permanent firewall-cmd --zone=dmz --add-service=smtps --permanent

Nyitott, IMAP, IMAPS, POP3 és POP3S portok:

Firewall-cmd --zone=dmz --add-service=imap --permanent firewall-cmd --zone=dmz --add-service=imaps --permanent firewall-cmd --zone=dmz --add-service= pop3 --permanent firewall-cmd --zone=dmz --add-service=pop3s --permanent

Mivel az SSH-port 7022-re módosult, eltávolítjuk az SSH-szolgáltatást (22-es port), és megnyitjuk a 7022-es portot.

Firewall-cmd --remove-service=ssh --permanent firewall-cmd --add-port=7022/tcp --permanent

A változtatások végrehajtásához újra kell indítanunk a tűzfalat:

Firewall-cmd --reload

Végül felsorolhatja a szabályokat.

A FirewallD egy tűzfalkezelő eszköz, amely alapértelmezés szerint elérhető a CentOS 7 szervereken, alapvetően az IPTables körüli burkolóeszköz, és egy grafikus konfigurációs eszközzel, a firewall-config-gal és egy parancssori eszközzel, a firewall-cmd-vel érkezik. Az IPtables szolgáltatásnál minden változtatáshoz törölni kell a régi szabályokat, és új szabályokat kell létrehozni a ` fájlban /etc/sysconfig/iptables`, és tűzfal esetén csak a különbségek érvényesülnek.

FirewallD zónák

A FirewallD szolgáltatásokat és zónákat használ szabályok és láncok helyett az Iptables-ban. Alapértelmezés szerint a következő zónák állnak rendelkezésre:

csepp– Válasz nélkül dobjon el minden bejövő hálózati csomagot, csak a kimenő hálózati kapcsolatok állnak rendelkezésre.
Blokk– Minden bejövő hálózati csomag elutasítása az icmp-host-prohibited üzenettel, csak a kimenő hálózati kapcsolatok engedélyezettek.
nyilvános– csak kiválasztott bejövő kapcsolatokat fogadunk el, közterületi használatra
külső– Maszkolású külső hálózatok esetén csak a kiválasztott bejövő kapcsolatokat fogadjuk el.
dmz– demilitarizált zóna DMZ, nyilvánosan elérhető, korlátozott hozzáféréssel a belső hálózathoz, csak kiválasztott bejövő kapcsolatokat fogadunk el.
munka
itthon– Az otthoni zónában lévő számítógépek esetében csak a kiválasztott bejövő kapcsolatokat fogadja el a rendszer.
belső– A belső hálózaton lévő számítógépek esetében csak a kiválasztott bejövő kapcsolatokat fogadjuk el.
megbízott– Minden hálózati kapcsolat elfogadott.

Az összes elérhető zóna listájának megtekintéséhez:

# firewall-cmd --get-zones work drop belső külső megbízható otthoni dmz nyilvános blokk

Az alapértelmezett zónák listájának megtekintéséhez:

# firewall-cmd --get-default-zone public

Az alapértelmezett zóna módosítása:

Tűzfalszolgáltatások

A FirewallD szolgáltatások olyan XML konfigurációs fájlok, amelyek a tűzfal szolgáltatásbejegyzési adatait tartalmazzák. Az összes elérhető szolgáltatás listájának megtekintéséhez:

Az XML konfigurációs fájlok könyvtárakban tárolódnak /usr/lib/firewalld/services/És /etc/firewall/services/.

Tűzfal beállítása FirewallD segítségével

Példaként íme, hogyan konfigurálhat tűzfalat a FirewallD segítségével, ha webszervert, SSH-t a 7022-es porton és levelezőkiszolgálót futtat.

Először beállítjuk a DMZ alapértelmezett zónáját.

# firewall-cmd --set-default-zone=dmz # firewall-cmd --get-default-zone dmz

Ha állandó szolgáltatási szabályokat szeretne hozzáadni a HTTP és HTTPS számára a DMZ-hez, futtassa a következő parancsot:

# firewall-cmd --zone=dmz --add-service=http --permanent # firewall-cmd --zone=dmz --add-service=https --permanent

Nyissa meg a 25-ös (SMTP) és a 465-ös portot (SMTPS):

Firewall-cmd --zone=dmz --add-service=smtp --permanent firewall-cmd --zone=dmz --add-service=smtps --permanent

Nyitott, IMAP, IMAPS, POP3 és POP3S portok:

Mivel az SSH-port 7022-re módosult, eltávolítjuk az SSH-szolgáltatást (22-es port), és megnyitjuk a 7022-es portot.

Firewall-cmd --remove-service=ssh --permanent firewall-cmd --add-port=7022/tcp --permanent

A változtatások végrehajtásához újra kell indítanunk a tűzfalat:

Firewall-cmd --reload

Végül felsorolhatja a szabályokat.

A CentoOS 7-től kezdve egy új eszköz jelent meg a forgalomszűrési szabályok konfigurálására tűzfal. Használata javasolt az iptables szabályok kezelésére. A CentOS 8 rendszerben a szabványos iptables szűrőcsomag helyett az nftables keretrendszert használják, és amikor a tűzfalszabályokat tűzfalon keresztül konfigurálja, akkor valójában az nftables konfigurálása történik meg. Ebben a cikkben megvizsgáljuk a tűzfal telepítését, alapfogalmait és konfigurálását egy CentOS 8-at futtató kiszolgálón (a CentOS 7 ugyanaz).

TűzfalD– egy tűzfal, amely megvédi a szervert a nem kívánt forgalomtól, támogatja a dinamikus szabálykezelést (újraindítás nélkül) és az állandó tűzfalszabályok megvalósítását. Interfészként működik a és nftables számára. A FirewallD szinte minden Linux disztribúción használható.

Alapvető tűzfal fogalmak, zónák és szabályok

Mielőtt elkezdené a telepítést és a konfigurálást tűzfal, bemutatjuk a zónák fogalmát, amelyekkel meghatározzuk a bizalom szintjét különféle kapcsolatokat. Különböző zónákhoz tűzfal különböző szűrési szabályokat alkalmazhat, megadhatja aktív opciók tűzfal előre meghatározott szolgáltatások, protokollok és portok, porttovábbítás és gazdag szabályok formájában.

Tűzfal zónánként szűri a bejövő forgalmat a zónára alkalmazott szabályoktól függően. Ha IP- a kérés feladójának címe megegyezik egy adott zóna szabályaival, akkor ezen a zónán keresztül kerül elküldésre a csomag. Ha a cím nem egyezik a szerveren konfigurált zónák egyikével sem, a csomagot az alapértelmezett zóna dolgozza fel. Telepítéskor tűzfal az alapértelmezett zónát hívják nyilvános.

A Firewall rendelkezik olyan zónákkal, amelyek előre be vannak állítva a különböző szolgáltatásokhoz szükséges engedélyekkel. Használhatja ezeket a beállításokat, vagy létrehozhatja saját zónáit. A tűzfal telepítésekor létrehozott alapértelmezett zónák listája (a /usr/lib/firewalld/zones/ könyvtárban tárolva):

csepp	a bizalom minimális szintje. Minden bejövő kapcsolat válasz nélkül blokkolva van, csak a kimenő kapcsolatok engedélyezettek;
Blokk	a zóna hasonló az előzőhöz, de a bejövő kérések elutasításakor az icmp-host-prohibited Ipv4 vagy icmp6-adm-prohibited for Ipv6 üzenet kerül elküldésre;
nyilvános	nyilvános, nem megbízható hálózatokat képvisel. A kiválasztott bejövő kapcsolatokat egyénileg engedélyezheti;
külső	külső hálózatok, ha tűzfalat használnak átjáróként. NAT-maszkolásra van konfigurálva, így a belső hálózat privát, de elérhető marad;
belső	a külső zóna antonimája. A fogadó kellő szintű bizalommal rendelkezik, számos kiegészítő szolgáltatás elérhető;
dmz	DMZ-ben található számítógépekhez használják (elszigetelt számítógépek, amelyek nem férnek hozzá a hálózat többi részéhez). Csak bizonyos bejövő kapcsolatok engedélyezettek;
munka	zóna a munkagépekhez (a hálózat legtöbb számítógépe megbízható);
itthon	otthoni hálózati zóna. A legtöbb PC megbízható, de csak bizonyos bejövő kapcsolatok támogatottak;
megbízott	megbízik a hálózat összes gépében. A rendelkezésre álló lehetőségek közül a legnyitottabb, tudatos használatot igényel.

BAN BEN tűzfal két szabálykészletet használnak – állandó és ideiglenes. Az ideiglenes szabályok a szerver újraindításáig működnek. Alapértelmezés szerint szabályok hozzáadásakor tűzfal, a szabályok ideiglenesnek minősülnek ( futásidő). Ha állandó jelleggel szeretne hozzáadni egy szabályt, akkor a zászlót kell használnia - állandó. Ezek a szabályok a szerver újraindítása után lépnek életbe.

Tűzfal telepítése és engedélyezése a CentOS rendszeren

A CentOS 7/8-ban a tűzfal alapértelmezés szerint telepítve van az operációs rendszerrel. Ha eltávolította, és szeretné telepíteni a tűzfalat, használhatja a szabványos /dnf kezelőt:

# yum telepítse a tűzfalat -y - a Centos 7-hez
# dnf telepítse a tűzfalat -y - a Centos 8-hoz

A démonnak tűzfal automatikusan elindult, amikor a szerver elindult, hozzá kell adnia a következőhöz:

# systemctl engedélyezze a tűzfalat

És fuss:

# systemctl elindítja a tűzfalat

Ellenőrizze a szolgáltatás állapotát:

# systemctl állapot tűzfal

● firewalld.service - firewalld - dinamikus tűzfal démon Betöltve: betöltve (/usr/lib/systemd/system/firewalld.service; engedélyezve; gyártó előre beállított: engedélyezve) Aktív: aktív (fut) 2019-10-14 14:54 hétfő óta :40 +06; 22 másodperce Dokumentumok: man:firewalld(1) Fő PID: 13646 (tűzfal) CGroup: /system.slice/firewalld.service └─13646 /usr/bin/python2 -Es /usr/sbin/firewalld --nofork --nopid Október 14. 14:54:40 server.vpn.ru systemd: Firewalld indítása – dinamikus tűzfaldémon... Oct 14 14:54:40 server.vpn.ru systemd: Firewalld – dinamikus tűzfaldémon elindítása.

Vagy a következő paranccsal:

# tűzfal-cmd --state

A firewall-cmd parancs az nftables/iptables tűzfal frontendje.

# tűzfal-cmd --state

Munka a tűzfalszabályokkal

Alapértelmezett szabályok:

A tűzfalszabályok beállítása előtt ellenőriznie kell, hogy melyik zónát használja alapértelmezés szerint:

# firewall-cmd --get-default-zone

Mivel most telepítettük a tűzfalat, és még nem konfiguráltuk, van egy alapértelmezett zónánk nyilvános.

Ellenőrizzük az aktív zónát. Van még egy - nyilvános:

# tűzfal-cmd --get-active-zones

Nyilvános felületek: eth0

Mint látható, az eth0 hálózati interfészt a zóna vezérli nyilvános.

Az alapvető szabályok megtekintéséhez írja be:

# firewall-cmd --list-all

Nyilvános (aktív) cél: alapértelmezett icmp-block-inverzió: nincs interfész: eth0 források: szolgáltatások: dhcpv6-kliens ssh portok: protokollok: maszkolás: nincsenek továbbító portok: forrásportok: icmp-blokkok: gazdag szabályok:

A listából látható, hogy a DHCP klienshez és az ssh-hoz kapcsolódó szokásos műveletek hozzáadásra kerültek ehhez a zónához.

Elérhető zónák

Az összes zóna listájának megtekintéséhez futtassa a parancsot:

# tűzfal-cmd --get-zones

A következő listát kaptam:

A dmz letiltása külső otthoni belső nyilvános, megbízható munka

Egy adott zóna szabályainak ellenőrzéséhez hozzá kell adni a zászlót - zóna.

# firewall-cmd --zone=home --list-all

Otthoni cél: alapértelmezett icmp-block-inverzió: nincsenek csatolók: források: szolgáltatások: dhcpv6-kliens mdns samba-kliens ssh portok: protokollok: maszkolás: nincsenek továbbító portok: forrásportok: icmp-blokkok: gazdag szabályok:

Az összes zóna szabályai a következő paranccsal tekinthetők meg:

# firewall-cmd --list-all-zones

A lista meglehetősen nagy lesz, mivel sok zóna lehet.

Módosítsa az alapértelmezett zónát.

Az alapértelmezett minden hálózati interfészek a területen található nyilvános, de bármelyik zónába átvihetők a következő paranccsal:

# firewall-cmd --zone=home -change-interface=eth0

A paraméter után --zóna= jelzi a kívánt zónát.

Az alapértelmezett zóna megváltoztatásához a következő parancsot kell használnia:

# firewall-cmd --set-default-zone=home

Pályázati szabályok hozzáadása

Egy alkalmazás portjának megnyitásához hozzáadhat egy szolgáltatást a kivételekhez. Az elérhető szolgáltatások listájának megjelenítése:

A kimenet nagyszámú szolgáltatást fog tartalmazni. részletes információk a szolgáltatásról tartalmazza xml fájlt. Ezek a fájlok a könyvtárban találhatók /usr/lib/firewalld/services.

Például:

# cd /usr/lib/firewall/services

Levelezés (SMTP) Ez az opció lehetővé teszi a bejövő SMTP levelek kézbesítését. Ha engedélyeznie kell a távoli gazdagépek számára, hogy közvetlenül csatlakozzanak a gépéhez levelek kézbesítéséhez, engedélyezze ezt a lehetőséget. Ezt nem kell engedélyeznie, ha leveleit internetszolgáltatója szerveréről POP3 vagy IMAP protokollon keresztül gyűjti, vagy ha olyan eszközt használ, mint a fetchmail. Vegye figyelembe, hogy egy nem megfelelően konfigurált SMTP szerver tud lehetővé teszi a távoli gépek, hogy a szerverét spam küldésére használják.

Az XML fájl tartalmazza a szolgáltatás leírását, a protokollt és a portszámot, amely a tűzfalban megnyílik.

Szabályok hozzáadásakor használhatja a paramétert --add-szolgáltatás hozzáférés megnyitása egy adott szolgáltatáshoz:

# firewall-cmd --zone=public --add-service=http

# firewall-cmd --zone=public --add-service=https

A szabályok hozzáadása után ellenőrizheti, hogy a szolgáltatások hozzáadásra kerültek-e a megadott zónához:

# firewall-cmd --zone=public --list-services

Dhcpv6-kliens http https ssh

Ha állandóvá szeretné tenni ezeket a szabályokat, hozzá kell adnia a paramétert hozzáadáskor -állandó.

Szolgáltatás eltávolítása egy zónából:

# firewall-cmd --permanent --zone=public --remove-service=http

Dhcpv6-kliens https ssh teszt

Ha hozzá szeretné adni a szolgáltatást a kivételekhez, létrehozhat egy fájlt xml magad, és töltsd ki. Bármely szolgáltatásból másolhat adatokat, módosíthatja a nevet, leírást és portszámot.

Másoljuk a fájlt smtp.xml a felhasználói szolgáltatásokkal való munka címtárába:

# cp /usr/lib/firewalld/services/smtp.xml /etc/firewalld/services

Módosítsa a szolgáltatás leírását a fájlban.

Magamat xml fájl A szolgáltatás nevére is át kell neveznie. Ezt követően újra kell indítania a tűzfalat, és ellenőriznie kell, hogy szolgáltatásunk szerepel-e a listában:

Felhívtam a szervizt tesztés megjelent a listában:

Syslog-tls telnet teszt tftp

Mostantól bármelyik zónához hozzáadhatja a létrehozott szolgáltatást:

# firewall-cmd --zone=public --add-service=test --permanent

# firewall-cmd --zone=public --permanent --list-services

Dhcpv6-kliens http https ssh teszt

Ha nem találta a listában a kívánt szolgáltatást, a következő paranccsal megnyithatja a tűzfalon a kívánt portot:

# firewall-cmd --zone=public -add-port=77/tcp - 77-es port megnyitása tcp
# firewall-cmd --zone=public -add-port=77/udp - 77-es port megnyitása udp
# firewall-cmd --zone=public -add-port=77-88/udp - nyitott porttartomány 77-88 udp
# firewall-cmd --zone=public -list-ports - ellenőrizze az engedélyezett portok listáját

ICMP válaszok blokkolása/engedélyezése:

# firewall-cmd --zone=public --add-icmp-block=echo-reply
# firewall-cmd --zone= public --remove-icmp-block=echo-reply

Hozzáadott port eltávolítása:

# firewall-cmd --zone=public -remove-port=77/udp - távolítsa el a 77-es ideiglenes szabályt udp

# firewall-cmd --permanent --zone=public -remove-port=77/udp - az állandó szabály eltávolítása

Saját zónák hozzáadása

Létrehozhatod a saját zónádat (úgy hívom a miénk):

# firewall-cmd --permanent --new-zone=our

Új zóna létrehozása, valamint szolgáltatás létrehozása után újraindítás szükséges tűzfal:

# firewall-cmd --reload

# tűzfal-cmd --get-zones

dmz tiltása külső otthon belső belső megbízható munkánk

Zóna a miénk elérhető. Szolgáltatásokat adhat hozzá, vagy adott portokat nyithat meg.

Tűzfal: IP-címek blokkolása, kivételek létrehozása

Megbízható IP-címeket adhat hozzá a tűzfalkivételekhez, vagy blokkolhatja a nem kívántakat.

Egy adott kivétel hozzáadása IP-cím(például 8.8.8.8) a szerverén keresztül tűzfal, használja a parancsot:

# firewall-cmd --zone=public --add-rich-rule="rule family="ipv4" source address="8.8.8.8" accept"

Ellenőrizze a területet és győződjön meg róla IP hozzáadva a kivételekhez a gazdag szabályokban:

Nyilvános (aktív) cél: alapértelmezett icmp-block-inverzió: nincsenek csatolók: eth0 források: szolgáltatások: dhcpv6-kliens http https ssh tesztportok: protokollok: maszkolás: nincsenek előre irányuló portok: forrásportok: icmp-blokkok: gazdag szabályok: szabály family="ipv4" source address="8.8.8.8" elfogadja

Blokkolni IP, cserélni kell elfogad tovább elutasít:

# firewall-cmd --zone=public --add-rich-rule="rule family="ipv4" source address="8.8.4.4" reject"

# firewall-cmd --zone=public --list-all

Egy adott szolgáltatást csak egy adott IP-címről érkező kérésekhez engedélyezhet:

#firewall-cmd --permanent --add-rich-rule "rule family="ipv4" source address="10.10.1.0/24" service name="https" accept"

Ha sürgősen blokkolnia kell a szerverhez intézett összes kérést, használja a pánik parancsot:

# firewall-cmd --pánik bekapcsolva

A pánik módot a következő paranccsal tilthatja le:

# firewall-cmd --pánik ki

Vagy a szerver újraindításával.

Letilthatja a tűzfal konfigurációját, hogy a helyi szolgáltatások a root jogok nem tudták megváltoztatni az Ön által létrehozott tűzfalszabályokat:

# firewall-cmd --lockdown-on