Centos 7 ugunsmūra cmd atvērtais ports

Uzstādīts iekšā operētājsistēma Ugunsmūris tiek izmantots, lai novērstu nesankcionētas satiksmes pāreju starp datortīkli. Īpaši ugunsmūra noteikumi tiek izveidoti manuāli vai automātiski, kas ir atbildīgi par piekļuves kontroli. Operētājsistēmai, kas izstrādāta uz Linux kodola, CentOS 7 ir iebūvēts ugunsmūris, un tā tiek pārvaldīta, izmantojot ugunsmūri. FirewallD ir iespējots pēc noklusējuma, un mēs šodien vēlamies runāt par tā iestatīšanu.

Kā minēts iepriekš, CentOS 7 standarta ugunsmūris ir FirewallD utilīta. Tāpēc ugunsmūra iestatīšana tiks apspriesta, izmantojot šo rīku kā piemēru. Varat iestatīt filtrēšanas noteikumus, izmantojot tos pašus iptables, taču tas tiek darīts nedaudz savādāk. Mēs iesakām iepazīties ar minētās utilītas konfigurāciju, noklikšķinot uz šīs saites, un mēs sāksim FirewallD analīzi.

Ugunsmūra pamati

Ir vairākas zonas - trafika pārvaldības noteikumu kopumi, pamatojoties uz uzticēšanos tīkliem. Visām tām ir noteiktas savas politikas, kuru kopums veido ugunsmūra konfigurāciju. Katrai zonai ir piešķirta viena vai vairākas tīkla saskarnes, kas arī ļauj pielāgot filtrēšanu. Piemērotie noteikumi ir tieši atkarīgi no izmantotās saskarnes. Piemēram, kad ir izveidots savienojums ar publisko Wi-Fi ugunsmūris paaugstinās kontroles līmeni, un in mājas tīklsķēdes dalībniekiem atvērs papildu piekļuvi. Attiecīgais ugunsmūris satur šādas zonas:

• uzticams — maksimālais uzticamības līmenis visām tīkla ierīcēm;
• mājas - grupa lokālais tīkls. Ir uzticēšanās videi, bet ienākošie savienojumi ir pieejami tikai noteiktām mašīnām;
• darbs - darba zona. Vairumam ierīču ir uzticēšanās, un tiek aktivizēti papildu pakalpojumi;
• dmz ir zona izolētiem datoriem. Šādas ierīces ir atvienotas no pārējā tīkla un pieļauj tikai noteiktu ienākošo trafiku;
• iekšējā — iekšējo tīklu zona. Uzticība tiek piemērota visām mašīnām, tiek atvērti papildu pakalpojumi;
• ārēja — zona, kas ir pretēja iepriekšējai. Ārējos tīklos ir aktīva NAT maskēšana, kas aizver iekšējo tīklu, bet nebloķē iespēju piekļūt;
• publisks - publisko tīklu zona ar neuzticību visām ierīcēm un individuālu ienākošās trafika uztveršanu;
• bloķēt - visi ienākošie pieprasījumi tiek atiestatīti ar nosūtītu kļūdu icmp-host-prohibited vai icmp6-adm-aizliegts;
• kritums - minimālais uzticības līmenis. Ienākošie savienojumi tiek pārtraukti bez brīdinājuma.

Pašas politikas var būt pagaidu vai pastāvīgas. Kad tiek parādīti vai rediģēti parametri, ugunsmūra darbība nekavējoties mainās bez nepieciešamības pārstartēt. Ja tika piemēroti pagaidu noteikumi, tie tiks atiestatīti pēc FirewallD restartēšanas. Tāpēc pastāvīgo likumu sauc tā – tas tiks saglabāts pastāvīgs pamats izmantojot argumentu -permanent.

FirewallD iespējošana

Vispirms ir jāstartē FirewallD vai jāpārliecinās, ka tas ir aktīvā stāvoklī. Tikai funkcionējošs dēmons (programma, kas darbojas fons) piemēros ugunsmūra noteikumus. Aktivizēšana tiek veikta tikai ar dažiem klikšķiem:

1. Palaist klasiku "Termināls" jebkura ērta metode, piemēram, izmantojot izvēlni "Lietojumprogrammas".



2. Ievadiet komandu sudo systemctl start firewalld.service un nospiediet taustiņu Ievadiet.



3. Lietderība tiek pārvaldīta superlietotāja vārdā, tāpēc jums būs jāapstiprina autentiskums, ievadot paroli.



4. Lai pārliecinātos, ka pakalpojums darbojas, norādiet firewall-cmd --state .



5. Atvērtajā grafikas logs atkārtoti autentificēt.



6. Tiks parādīta jauna rinda. Nozīme "skriešana" norāda, ka ugunsmūris darbojas.

Ja jums kādreiz ir nepieciešams īslaicīgi vai neatgriezeniski atspējot ugunsmūri, mēs iesakām izmantot norādījumus, kas sniegti mūsu citā rakstā, izmantojot šo saiti.

Skatīt noklusējuma noteikumus un pieejamās zonas

Pat ugunsmūrim, kas parasti darbojas, ir savi īpaši noteikumi un pieejamās zonas. Pirms politiku rediģēšanas uzsākšanas iesakām iepazīties ar pašreizējo konfigurāciju. Tas tiek darīts, izmantojot vienkāršas komandas:

1. Komanda firewall-cmd --get-default-zone palīdzēs noteikt noklusējuma zonu.



2. Pēc tā aktivizēšanas jūs redzēsiet jaunu rindu, kurā tiks parādīts nepieciešamais parametrs. Piemēram, zemāk esošajā ekrānuzņēmumā zona tiek uzskatīta par aktīvu "publisks".



3. Tomēr vairākas zonas var būt aktīvas vienlaikus, un tās ir saistītas ar atsevišķu saskarni. Uzziniet šo informāciju, izmantojot firewall-cmd --get-active-zones.



4. Komanda firewall-cmd --list-all parādīs noklusējuma zonai konfigurētos noteikumus. Apskatiet tālāk redzamo ekrānuzņēmumu. Jūs redzat, ka aktīvā zona "publisks" piešķirts noteikums "noklusējums"- noklusējuma darbība, interfeiss "enp0s3" un tika pievienoti divi pakalpojumi.



5. Ja vēlaties uzzināt visas pieejamās ugunsmūra zonas, ievadiet firewall-cmd --get-zones .



6. Konkrētas zonas parametrus nosaka caur firewall-cmd --zone=name --list-all , kur nosaukums- zonas nosaukums.

Pēc nepieciešamo parametru noteikšanas varat turpināt tos mainīt un pievienot. Sīkāk apskatīsim dažas no populārākajām konfigurācijām.

Interfeisa zonu iestatīšana

Kā jūs zināt no iepriekš sniegtās informācijas, katrai saskarnei ir sava noklusējuma zona. Tas paliks tur, līdz lietotājs vai programmatiski mainīs iestatījumus. Ir iespējams manuāli pārsūtīt interfeisu uz zonu uz vienu sesiju, un tas tiek darīts, aktivizējot komandu sudo firewall-cmd --zone=home --change-interface=eth0 . Rezultāts "panākumi" norāda, ka pārsūtīšana bija veiksmīga. Atgādinām, ka šādi iestatījumi tiek atiestatīti uzreiz pēc ugunsmūra pārstartēšanas.

Mainot šādus parametrus, jāņem vērā, ka pakalpojumi var tikt atiestatīti. Daži no tiem neatbalsta darbību noteiktās zonās, piemēram, lai gan SSH ir pieejams "mājas", bet pielāgotajos vai speciālajos dienests atteiksies strādāt. Varat pārbaudīt, vai saskarne ir veiksmīgi saistīta ar jauno filiāli, ievadot firewall-cmd --get-active-zones .

Ja vēlaties atiestatīt iepriekš veiktos iestatījumus, vienkārši restartējiet ugunsmūri: sudo systemctl restart firewalld.service .

Dažreiz ne vienmēr ir ērti mainīt saskarnes zonu tikai vienai sesijai. Šajā gadījumā jums būs jārediģē konfigurācijas fails, lai visi iestatījumi tiktu ievadīti pastāvīgi. Lai to izdarītu, mēs iesakām izmantot teksta redaktoru nano, kas tiek instalēts no oficiālā repozitorija ar sudo yum install nano . Tālāk atliek tikai veikt šādas darbības:

1. Atveriet konfigurācijas failu, izmantojot redaktoru, ierakstot sudo nano /etc/sysconfig/network-scripts/ifcfg-eth0, kur eth0— vajadzīgās saskarnes nosaukums.



2. Apstipriniet autentiskumu konts veikt turpmākās darbības.



3. Atrodiet parametru "ZONA" un mainiet tā vērtību uz vēlamo, piemēram, public vai home .



4. Turiet nospiestus taustiņus Ctrl+O lai saglabātu izmaiņas.



5. Nemainiet faila nosaukumu, vienkārši noklikšķiniet uz Ievadiet.



6. Izeja teksta redaktors cauri Ctrl+X.

Tagad saskarnes zona būs tāda, kādu to norādījāt, līdz nākamajai konfigurācijas faila rediģēšanas reizei. Lai atjauninātie iestatījumi stātos spēkā, palaidiet sudo systemctl restart network.service un sudo systemctl restart firewalld.service .

Noklusētās zonas iestatīšana

Iepriekš mēs jau parādījām komandu, kas ļāva mums uzzināt noklusējuma zonu. To var arī mainīt, iestatot parametru pēc jūsu izvēles. Lai to izdarītu, konsolē ierakstiet sudo firewall-cmd --set-default-zone=name, kur nosaukums— vajadzīgās zonas nosaukums.

Par komandas panākumiem tiks norādīts uzraksts "panākumi" atsevišķā rindā. Pēc tam visas pašreizējās saskarnes tiks piesaistītas norādītajai zonai, ja vien konfigurācijas failos nav norādīts citādi.

Programmu un utilītu noteikumu izveide

Raksta pašā sākumā mēs runājām par katras zonas darbību. Pakalpojumu, utilītu un programmu definēšana šādās filiālēs ļaus katram no tiem piemērot individuālus parametrus, lai tie atbilstu katra lietotāja vajadzībām. Lai sāktu, iesakām iepazīties ar pilnu pieejamo sarakstu Šis brīdis pakalpojumi: firewall-cmd --get-services.

Rezultāts tiks parādīts tieši konsolē. Katrs serveris ir atdalīts ar atstarpi, un jūs varat viegli atrast sev interesējošo rīku sarakstā. Ja nepieciešamais pakalpojums nav pieejams, tas ir papildus jāinstalē. Par instalēšanas noteikumiem lasiet oficiālajā programmatūras dokumentācijā.

Iepriekšējā komanda parāda tikai pakalpojumu nosaukumus. Sīkāka informācija par katru no tiem tiek iegūta, izmantojot atsevišķu failu, kas atrodas ceļā /usr/lib/firewall/services. Šādi dokumenti ir XML formātā, ceļš, piemēram, uz SSH, izskatās šādi: /usr/lib/firewalld/services/ssh.xml, un dokumentam ir šāds saturs:

SSH
Secure Shell (SSH) ir protokols, lai pieteiktos un izpildītu komandas attālās iekārtās. Tas nodrošina drošus šifrētus sakarus. Ja plānojat piekļūt savai iekārtai attālināti, izmantojot SSH, izmantojot ugunsmūra interfeisu, iespējojiet šo opciju. Lai šī opcija būtu noderīga, ir jāinstalē openssh-server pakotne.

Pakalpojuma atbalsts noteiktā zonā tiek aktivizēts manuāli. IN "Termināls" jums vajadzētu izdot komandu sudo firewall-cmd --zone=public --add-service=http , kur --zone=publisks- zona aktivizēšanai un --add-service=http— pakalpojuma nosaukums. Lūdzu, ņemiet vērā, ka šādas izmaiņas attieksies tikai uz vienu sesiju.

Pastāvīga pievienošana tiek veikta, izmantojot sudo firewall-cmd --zone=public --permanent --add-service=http , un rezultāts "panākumi" norāda uz veiksmīgu operācijas pabeigšanu.

Skatīt pilns saraksts Varat izveidot pastāvīgas kārtulas noteiktai zonai, parādot sarakstu atsevišķā konsoles rindā: sudo firewall-cmd --zone=public --permanent --list-services .

Pakalpojuma pieejamības trūkuma problēmas risināšana

Pēc noklusējuma ugunsmūra noteikumos ir norādīti populārākie un drošākie pakalpojumi, kā atļauts, bet daži standarta vai trešo pušu lietojumprogrammas viņš bloķē. Šādā gadījumā lietotājam būs manuāli jāmaina iestatījumi, lai atrisinātu piekļuves problēmu. To var izdarīt divos dažādos veidos.

Portu pāradresācija

Kā jūs zināt, visi tīkla pakalpojumi izmanto noteiktu portu. Ugunsmūris to viegli nosaka, un, izmantojot to, var veikt bloķēšanu. Lai izvairītos no šādām ugunsmūra darbībām, nepieciešams atvērt vajadzīgo portu ar komandu sudo firewall-cmd --zone=public --add-port=0000/tcp , kur --zone=publisks- ostas zona, --add-port=0000/tcp— porta numurs un protokols. Opcija firewall-cmd --list-ports parādīs atvērto portu sarakstu.

Ja jums ir jāatver diapazonā iekļautie porti, izmantojiet rindu sudo firewall-cmd --zone=public --add-port=0000-9999/udp , kur --add-port=0000-9999/udp— portu diapazons un to protokoli.

Iepriekš minētās komandas ļaus tikai pārbaudīt šādu parametru izmantošanu. Ja tas bija veiksmīgs, jums jāpievieno tie paši porti pastāvīgajiem iestatījumiem, un tas tiek darīts, ievadot sudo firewall-cmd --zone=public --permanent --add-port=0000/tcp vai sudo firewall-cmd -- zona=public --permanent --add-port=0000-9999/udp . Atvērto pastāvīgo portu saraksts tiek skatīts šādi: sudo firewall-cmd --zone=public --permanent --list-ports .

Pakalpojuma definīcija

Kā redzat, portu pievienošana nesagādā nekādas grūtības, taču procedūra kļūst sarežģītāka, ja tiek izmantots liels skaits lietojumprogrammu. Kļūst grūti izsekot visiem izmantotajiem portiem, tāpēc labāks risinājums būtu definēt pakalpojumu:

Atliek tikai izvēlēties piemērotāko metodi problēmu risināšanai ar piekļuvi pakalpojumam un sekot sniegtajiem norādījumiem. Kā redzat, visas darbības tiek veiktas diezgan viegli, un grūtībām nevajadzētu rasties.

Pielāgotu zonu izveide

Jūs jau zināt, ka FirewallD sākotnēji izveidoja lielu skaitu dažādu zonu ar noteiktiem noteikumiem. Tomēr ir situācijas, kad sistēmas administrators jums ir jāizveido pielāgota zona, piemēram, "publiskais tīmeklis" instalētam tīmekļa serverim vai "privāts DNS"— DNS serverim. Izmantojot šos divus piemērus, mēs aplūkosim filiāļu pievienošanu:

Šajā rakstā jūs uzzinājāt, kā izveidot pielāgotas zonas un pievienot tām pakalpojumus. Mēs jau runājām par to iestatīšanu pēc noklusējuma un saskarņu piešķiršanu iepriekš; viss, kas jums jādara, ir jānorāda pareizie nosaukumi. Atcerieties pārstartēt ugunsmūri pēc visu pastāvīgo izmaiņu veikšanas.

Kā redzat, FirewallD ugunsmūris ir diezgan visaptverošs rīks, kas ļauj izveidot viselastīgāko ugunsmūra konfigurāciju. Atliek tikai pārliecināties, ka utilīta sākas ar sistēmu un norādītie noteikumi nekavējoties sāk savu darbu. Dariet to ar komandu sudo systemctl enable firewalld.

Pirmais solis, lai aizsargātu serveri no ārējiem draudiem, ir ugunsmūris, kas filtrē ienākošo un izejošo trafiku. Šajā rakstā es vēlos apspriest iptables iestatīšanu, kas ir īpašs CentOS ugunsmūra gadījums, kā arī runāt par tā instalēšanu un atspējošanu. Mans ceļvedis nebūs izsmeļošs, es ņemšu vērā tikai tos aspektus, kurus uzskatu par vissvarīgākajiem un kurus pats izmantoju savā darbā.

Šis raksts ir daļa no vienas rakstu sērijas par serveri.

Ievads

Iptables pašlaik ir de facto standarts mūsdienu Linux izplatījumos. Es pat uzreiz neatceros, kas vēl tiek izmantots kā ugunsmūris. Tātad jebkuram Linux administratoram savā darbā ir jānodarbojas ar šī ugunsmūra iestatīšanu.

Šim ugunsmūrim ir dažādi savienojumi, kas tiek izmantoti “ērtākai” konfigurācijai. Ubuntu ir ufw, centos - ugunsmūris, pārējos nezinu. Personīgi es neredzu nekādas ērtības šo rīku izmantošanā. Esmu pieradis Linux ugunsmūri iestatīt vecmodīgi, kā es uzzināju pašā darba sākumā. Manuprāt, tas ir vienkāršākais un ērtākais veids, kurā es padalīšos ar jums. Tās būtība ir saistīta ar faktu, ka skripts tiek izveidots ar ugunsmūra noteikumiem. Šo skriptu var viegli rediģēt atbilstoši savām vajadzībām un pārsūtīt no servera uz serveri.

Ugunsmūra atspējošana

Ugunsmūra atspējošanas problēmai es jau pieskāros tēmā par . Pirmkārt, atspējosim ugunsmūri, kas pēc noklusējuma ir pieejams centos 7 tūlīt pēc instalēšanas:

# systemctl apturēt ugunsmūri

Tagad noņemsim to no startēšanas, lai pēc restartēšanas tas vairs neieslēdzas:

# systemctl atspējot ugunsmūri

Pēc tam ugunsmūra iestatījumi serverī kļūst pilnībā atvērti. Jūs varat apskatīt iptables noteikumus ar komandu:

Iptables instalēšana

Patiesībā mūsu serverī jau ir ugunsmūris un tas darbojas, vienkārši nav noteikumu, viss ir atvērts. Mums būs jāinstalē papildu pārvaldības utilītas, bez kurām nav iespējams konfigurēt iptables. Piemēram, ugunsmūri nevarēs restartēt:

# systemctl restart iptables.service Neizdevās izdot metodes izsaukumu: Vienību iptables.service neizdevās ielādēt: nav šāda faila vai direktorija.

Vai arī jūs nevarēsiet to pievienot automātiskajai palaišanai:

# systemctl enable iptables.service Neizdevās izdot metodes izsaukumu: šāda faila vai direktorija nav

Lai izvairītos no šādām kļūdām, instalējiet nepieciešamo pakotni ar utilītprogrammām:

# yum -y instalējiet iptables-services

Tagad startēšanai un palaišanai varat pievienot iptables:

# systemctl iespējot iptables.service # systemctl startēt iptables.service

Ugunsmūra iestatīšana

Es izmantoju skriptu, lai pārvaldītu ugunsmūra noteikumus. Izveidosim to:

# mcedit /etc/iptables.sh

Tālāk mēs to aizpildīsim ar nepieciešamajiem noteikumiem. Es analizēšu visas nozīmīgākās skripta daļas un Es to iedošu pilnībā formā teksta fails raksta beigās. Noteikumi ir veidoti attēlu veidā, lai aizliegtu kopēšanu un ielīmēšanu. Tas var novest pie kļūdām noteikumu darbībā, ar kurām es pats saskāros, gatavojot rakstu.

Mēs apsvērsim situāciju, kad serveris ir vietējā tīkla vārteja uz internetu.

Vispirms iestatīsim visus mainīgos, ko izmantosim skriptā. Tas nav nepieciešams, bet ir ieteicams, jo ir ērti pārsūtīt iestatījumus no servera uz serveri. Pietiks vienkārši mainīt mainīgos lielumus.

Pirms jauno noteikumu piemērošanas mēs notīrām visas ķēdes:

Mēs bloķējam visu trafiku, kas neatbilst nevienam no noteikumiem:

Atļaut visu localhost un vietējo trafiku:

Mēs atļaujam ping:

Ja jums tas nav nepieciešams, nepievienojiet icmp atļaušanas noteikumus.

Mēs atveram piekļuvi internetam pašam serverim:

Ja vēlaties atvērt visus ienākošos servera savienojumus, pievienojiet šādu noteikumu:

Tagad pievienosim aizsardzību pret visbiežāk sastopamajiem tīkla uzbrukumiem. Vispirms atmetīsim visas paketes, kurām nav statusa:

Nulles pakešu bloķēšana:

Lai pasargātu sevi no sinhronu plūdu uzbrukumiem:

Ja jūs neiestatāt ierobežojumus piekļuvei no lokālā tīkla, mēs atļaujam ikvienam piekļūt internetam:

Tālāk mēs aizliedzam piekļuvi vietējam tīklam no interneta:

Lai mūsu lokālais tīkls varētu izmantot internetu, mēs iespējojam nat:

Lai nezaudētu piekļuvi serverim, pēc noteikumu piemērošanas mēs atļaujam savienojumus caur ssh:

Un beigās mēs pierakstām noteikumus, lai tie būtu spēkā pēc pārstartēšanas:

Mēs esam apkopojuši vienkāršu konfigurāciju, kas bloķē visus ienākošos savienojumus, izņemot ssh, un ļauj piekļūt internetam no vietējā tīkla. Tajā pašā laikā mēs pasargājāmies no dažiem tīkla uzbrukumiem.

Saglabājiet skriptu, padariet to izpildāmu un palaidiet:

# chmod 0740 /etc/iptables.sh # /etc/iptables.sh

Pārskatīsim noteikumus un pārbaudīsim, vai visi noteikumi ir ieviesti:

# iptables -L -v -n

Lūdzu, ņemiet vērā, ka noteikumi ir jāpiemēro tikai tad, ja jums ir piekļuve servera konsolei. Ja iestatījumos ir kļūda, jūs varat zaudēt piekļuvi. Pārliecinieties, vai ārkārtas situācijā varat atspējot ugunsmūri un pielāgot iestatījumus.

Portu atvēršana

Tagad nedaudz paplašināsim mūsu konfigurāciju un atvērsim iptables portus dažiem pakalpojumiem. Pieņemsim, ka mums darbojas tīmekļa serveris, un mums ir jāatver piekļuve tam no interneta. Pievienojiet tīmekļa trafika noteikumus:

Ir pievienota atļauja ienākošajiem savienojumiem 80. un 443. portos, kurus tīmekļa serveris izmanto savā darbā.

Ja esat instalējis pasta serveris, tad jums ir jāatļauj ienākošie savienojumi ar to visos izmantotajos portos:

Pareizai darbībai DNS serveri, jums ir jāatver UDP ports 53

Portu pāradresācija

Apskatīsim situāciju, kad ir nepieciešams pārsūtīt portus no ārējā interfeisa uz kādu datoru lokālajā tīklā. Pieņemsim, ka jums ir jāsaņem rdp piekļuve uz datoru 10.1.3.50 no interneta. Mēs pārsūtām TCP portu 3389:

Ja nevēlaties atklāt zināmu portu no ārpuses, varat novirzīt no nestandarta porta uz mērķa datora rdp portu:

Ja pārsūtāt portu no ārpuses uz vietējo tīklu, noteikti komentējiet noteikumu, kas bloķē piekļuvi no ārējā tīkla uz iekšējo. Manā piemērā šis noteikums ir šāds: $IPT -A FORWARD -i $WAN -o $LAN1 -j REJECT

Vai pirms šīs kārtulas izveidojiet atļaujas kārtulu ārējai piekļuvei iekšējam pakalpojumam, piemēram, šādi:

$IPT -A FORWARD -i $WAN -d 10.1.3.50 -p tcp -m tcp --dport 3389 -j ACCEPT

Žurnālu iespējošana

Iestatīšanas laikā ir lietderīgi iespējot žurnālus, lai uzraudzītu bloķētās pakotnes un noskaidrotu, kāpēc nav piekļuves nepieciešamajiem pakalpojumiem, kurus, šķiet, jau esam atvēruši. Visas bloķētās paketes nosūtu uz atsevišķām satiksmes virzienam atbilstošām ķēdēm (block_in, block_out, block_fw) un atzīmēju katru virzienu žurnālos. Tādējādi ir ērtāk veikt pārskatu sagatavošanu. Pirms iestatījumu saglabāšanas skripta pašās beigās pievienojiet šādus noteikumus:

Visas bloķētās pakotnes var izsekot /var/log/messages failā.

Kad esat pabeidzis iestatīšanu, komentējiet šīs rindiņas un atspējojiet reģistrēšanu. Noteikti ir vērts to darīt, jo baļķi aug ļoti ātri. Es personīgi neredzu praktisku jēgu šādas informācijas glabāšanai.

Kā atspējot iptables

Ja pēkšņi nolemjat, ka ugunsmūris jums vairs nav vajadzīgs, varat to atspējot šādi:

# systemctl stop iptables.service

Šī komanda aptur ugunsmūri. Un tas tiek noņemts no startēšanas:

# systemctl atspējo iptables.service

Atspējojot ugunsmūri, mēs atļāvām visus savienojumus.

Secinājums

Kā solīts, es ievietoju gatavu skriptu ar pamata noteikumu kopumu, ko esam apsvēruši

Vēlos vēlreiz norādīt, ka, iestatot iptables, jums jābūt īpaši uzmanīgam. Neuzsāciet šo biznesu, ja jums nav piekļuves servera konsolei. Pat rakstot šo rakstu, es zaudēju piekļuvi serverim smieklīgas kļūdas noteikumos dēļ. Šī kļūda radās kopēšanas un dubultās domuzīmes zaudēšanas dēļ - tā tika aizstāta ar vienu.

tiešsaistes kurss “Linux administrators” OTUS. Kurss nav paredzēts iesācējiem, uzņemšanai nepieciešamas pamatzināšanas par tīkliem un Linux instalēšana uz virtuālo mašīnu. Apmācības ilgst 5 mēnešus, pēc tam sekmīgi kursu absolventi varēs iziet intervijas ar partneriem. Ko šis kurss jums sniegs:

• Linux arhitektūras zināšanas.
• Attīstība modernas metodes un datu analīzes un apstrādes rīki.
• Spēja izvēlēties nepieciešamo uzdevumu konfigurāciju, vadīt procesus un nodrošināt sistēmas drošību.
• Sistēmas administratora pamata darba rīku pārzināšana.
• Izpratne par Linux izveidoto tīklu izvietošanas, konfigurēšanas un uzturēšanas specifiku.
• Spēja ātri atrisināt radušās problēmas un nodrošināt stabilu un nepārtrauktu sistēmas darbību.

Pārbaudi sevi iestājpārbaudījumā un sīkāku informāciju skatiet programmā.

FirewallD ir ugunsmūra pārvaldības rīks, kas pēc noklusējuma ir pieejams CentOS 7 serveros. Būtībā tas ir IPTables aptinums, un tam ir grafiskās konfigurācijas rīks, ugunsmūra konfigurācijas rīks un ugunsmūra konfigurācijas rīks. komandrinda ugunsmūris-cmd. Izmantojot pakalpojumu IPtables, katrai izmaiņai ir nepieciešams dzēst vecos noteikumus un izveidot jaunas kārtulas failā ` /etc/sysconfig/iptables`, un ar ugunsmūri tiek piemērotas tikai atšķirības.

FirewallD zonas

FirewallD izmanto pakalpojumus un zonas, nevis noteikumus un ķēdes programmā Iptables. Pēc noklusējuma ir pieejamas šādas zonas:

• piliens- Atmetiet visas ienākošās tīkla paketes bez atbildes, tikai izejošās tīkla savienojumi pieejams.
• bloķēt– Noraidīt visas ienākošās tīkla paketes ar ziņojumu icmp-host-prohibited, ir atļauti tikai izejošie tīkla savienojumi.
• publiski– tiek pieņemti tikai atlasīti ienākošie pieslēgumi izmantošanai sabiedriskās vietās
• ārējā– Ārējiem tīkliem ar maskēšanu tiek pieņemti tikai atlasīti ienākošie savienojumi.
• dmz– demilitarizētā zona DMZ, publiski pieejama no ierobežota piekļuve iekšējam tīklam, tiek pieņemti tikai atlasītie ienākošie savienojumi.
• strādāt
• mājas– Datoriem mājas zonā tiek pieņemti tikai atlasītie ienākošie savienojumi.
• iekšējais– Datoriem jūsu iekšējā tīklā tiek pieņemti tikai atlasītie ienākošie savienojumi.
• uzticams– Tiek pieņemti visi tīkla savienojumi.

Lai iegūtu visu pieejamo zonu sarakstu:

# firewall-cmd --get-zones darbojas atmest iekšējo ārējo uzticamo mājas dmz publisko bloku

Lai skatītu noklusējuma zonu sarakstu:

# firewall-cmd --get-default-zone public

Lai mainītu noklusējuma zonu:

Ugunsmūra pakalpojumi

FirewallD pakalpojumi ir XML konfigurācijas faili, kas satur ugunsmūra pakalpojuma ievades informāciju. Lai iegūtu visu pieejamo pakalpojumu sarakstu:

# firewall-cmd --get-services amanda-client amanda-k5-client bacula bacula-client ceph ceph-mon dhcp dhcpv6 dhcpv6-client dns docker-reģistry dropbox-lansync freeipa-ldap freeipa-ldap freeipa-ldap bezmaksas http https imap imaps ipp ipp-client ipsec iscsi-target kadmin kerberos kpasswd ldap ldaps libvirt libvirt-tls mdns mosh mountd ms-wbt mysql nfs ntp openvpn pmcd pmproxym poppc grei pmcd pmproxym 3 popp grei pwe pmproxym p ptp pulseaudio puppetmaster rādiuss rpc-bind rsyncd samba samba-client sane smtp smtps snmp snmptrap squid ssh sinerģija syslog syslog-tls telnet tftp tftp-klients tinc tor-socks pārraides klients vdsm vnc-serveris wbem-https xmpp-clocersht xmpp-clocersht

XML konfigurācijas faili tiek glabāti direktorijos /usr/lib/firewalld/services/ Un /etc/firewall/services/.

Ugunsmūra iestatīšana, izmantojot FirewallD

Piemēram, šeit ir norādīts, kā varat konfigurēt ugunsmūri ar FirewallD, ja izmantojat tīmekļa serveri, SSH portā 7022 un pasta serveri.

Vispirms mēs iestatīsim noklusējuma zonu DMZ.

# firewall-cmd --set-default-zone=dmz # firewall-cmd --get-default-zone dmz

Lai pievienotu pastāvīgus pakalpojumu noteikumus HTTP un HTTPS DMZ, palaidiet šo komandu:

# firewall-cmd --zone=dmz --add-service=http --permanent # firewall-cmd --zone=dmz --add-service=https --permanent

Atveriet 25. portu (SMTP) un 465. portu (SMTPS):

Firewall-cmd --zone=dmz --add-service=smtp --permanent firewall-cmd --zone=dmz --add-service=smtps --permanent

Atvērtie, IMAP, IMAPS, POP3 un POP3S porti:

Firewall-cmd --zone=dmz --add-service=imap --permanent firewall-cmd --zone=dmz --add-service=imaps --permanent firewall-cmd --zone=dmz --add-service= pop3 --permanent firewall-cmd --zone=dmz --add-service=pop3s --permanent

Tā kā SSH ports ir mainīts uz 7022, mēs noņemsim SSH pakalpojumu (ports 22) un atvērsim portu 7022

Firewall-cmd --remove-service=ssh --permanent firewall-cmd --add-port=7022/tcp --permanent

Lai ieviestu izmaiņas, mums ir jārestartē ugunsmūris:

Firewall-cmd -- pārlādēt

Visbeidzot, jūs varat uzskaitīt noteikumus.

FirewallD ir ugunsmūra pārvaldības rīks, kas pēc noklusējuma ir pieejams CentOS 7 serveros. Būtībā tas ir IPTables aptinums, un tam ir grafiskā konfigurācijas rīks firewall-config un komandrindas rīks firewall-cmd. Izmantojot pakalpojumu IPtables, katrai izmaiņai ir nepieciešams dzēst vecos noteikumus un izveidot jaunas kārtulas failā ` /etc/sysconfig/iptables`, un ar ugunsmūri tiek piemērotas tikai atšķirības.

FirewallD zonas

FirewallD izmanto pakalpojumus un zonas, nevis noteikumus un ķēdes programmā Iptables. Pēc noklusējuma ir pieejamas šādas zonas:

• piliens– Atmetiet visas ienākošās tīkla paketes bez atbildes, ir pieejami tikai izejošie tīkla savienojumi.
• bloķēt– Noraidīt visas ienākošās tīkla paketes ar ziņojumu icmp-host-prohibited, ir atļauti tikai izejošie tīkla savienojumi.
• publiski– tiek pieņemti tikai atlasīti ienākošie pieslēgumi izmantošanai sabiedriskās vietās
• ārējā– Ārējiem tīkliem ar maskēšanu tiek pieņemti tikai atlasīti ienākošie savienojumi.
• dmz– demilitarizētā zona DMZ, publiski pieejama ar ierobežotu piekļuvi iekšējam tīklam, tiek pieņemti tikai atlasīti ienākošie pieslēgumi.
• strādāt
• mājas– Datoriem mājas zonā tiek pieņemti tikai atlasītie ienākošie savienojumi.
• iekšējais– Datoriem jūsu iekšējā tīklā tiek pieņemti tikai atlasītie ienākošie savienojumi.
• uzticams– Tiek pieņemti visi tīkla savienojumi.

Lai iegūtu visu pieejamo zonu sarakstu:

# firewall-cmd --get-zones darbojas atmest iekšējo ārējo uzticamo mājas dmz publisko bloku

Lai skatītu noklusējuma zonu sarakstu:

# firewall-cmd --get-default-zone public

Lai mainītu noklusējuma zonu:

Ugunsmūra pakalpojumi

FirewallD pakalpojumi ir XML konfigurācijas faili, kas satur ugunsmūra pakalpojuma ievades informāciju. Lai iegūtu visu pieejamo pakalpojumu sarakstu:

# firewall-cmd --get-services amanda-client amanda-k5-client bacula bacula-client ceph ceph-mon dhcp dhcpv6 dhcpv6-client dns docker-reģistry dropbox-lansync freeipa-ldap freeipa-ldap freeipa-ldap bezmaksas http https imap imaps ipp ipp-client ipsec iscsi-target kadmin kerberos kpasswd ldap ldaps libvirt libvirt-tls mdns mosh mountd ms-wbt mysql nfs ntp openvpn pmcd pmproxym poppc grei pmcd pmproxym 3 popp grei pwe pmproxym p ptp pulseaudio puppetmaster rādiuss rpc-bind rsyncd samba samba-client sane smtp smtps snmp snmptrap squid ssh sinerģija syslog syslog-tls telnet tftp tftp-klients tinc tor-socks pārraides klients vdsm vnc-serveris wbem-https xmpp-clocersht xmpp-clocersht

XML konfigurācijas faili tiek glabāti direktorijos /usr/lib/firewalld/services/ Un /etc/firewall/services/.

Ugunsmūra iestatīšana, izmantojot FirewallD

Piemēram, šeit ir norādīts, kā varat konfigurēt ugunsmūri ar FirewallD, ja izmantojat tīmekļa serveri, SSH portā 7022 un pasta serveri.

Vispirms mēs iestatīsim noklusējuma zonu DMZ.

# firewall-cmd --set-default-zone=dmz # firewall-cmd --get-default-zone dmz

Lai pievienotu pastāvīgus pakalpojumu noteikumus HTTP un HTTPS DMZ, palaidiet šo komandu:

# firewall-cmd --zone=dmz --add-service=http --permanent # firewall-cmd --zone=dmz --add-service=https --permanent

Atveriet 25. portu (SMTP) un 465. portu (SMTPS):

Firewall-cmd --zone=dmz --add-service=smtp --permanent firewall-cmd --zone=dmz --add-service=smtps --permanent

Atvērtie, IMAP, IMAPS, POP3 un POP3S porti:

Firewall-cmd --zone=dmz --add-service=imap --permanent firewall-cmd --zone=dmz --add-service=imaps --permanent firewall-cmd --zone=dmz --add-service= pop3 --permanent firewall-cmd --zone=dmz --add-service=pop3s --permanent

Tā kā SSH ports ir mainīts uz 7022, mēs noņemsim SSH pakalpojumu (ports 22) un atvērsim portu 7022

Firewall-cmd --remove-service=ssh --permanent firewall-cmd --add-port=7022/tcp --permanent

Lai ieviestu izmaiņas, mums ir jārestartē ugunsmūris:

Firewall-cmd -- pārlādēt

Visbeidzot, jūs varat uzskaitīt noteikumus.

Sākot ar CentoOS 7, ir parādījies jauns rīks satiksmes filtrēšanas noteikumu konfigurēšanai ugunsmūris. Ieteicams to izmantot, lai pārvaldītu iptables noteikumus. Operētājsistēmā CentOS 8 standarta iptables filtrēšanas pakotnes vietā tagad tiek izmantots nftables ietvars, un, konfigurējot ugunsmūra noteikumus, izmantojot ugunsmūri, jūs faktiski konfigurējat nftables. Šajā rakstā mēs apskatīsim ugunsmūra instalēšanu, pamatjēdzienus un konfigurēšanu serverī, kurā darbojas CentOS 8 (CentOS 7 ir tas pats).

UgunsmūrisD– ugunsmūris, lai aizsargātu serveri no nevēlamas trafika ar atbalstu dinamiskai noteikumu pārvaldībai (bez restartēšanas) un pastāvīgu ugunsmūra noteikumu ieviešanu. Darbojas kā interfeiss un nftables. FirewallD var izmantot gandrīz visos Linux izplatījumos.

Ugunsmūra pamatjēdzieni, zonas un noteikumi

Pirms sākat instalēšanu un konfigurēšanu ugunsmūris, mēs iepazīstināsim ar zonu jēdzienu, kas tiek izmantots, lai noteiktu uzticības līmeni dažādi savienojumi. Dažādām zonām ugunsmūris varat piemērot dažādus filtrēšanas noteikumus, norādīt aktīvās opcijas ugunsmūris iepriekš noteiktu pakalpojumu, protokolu un portu, portu pāradresācijas un bagātināto noteikumu veidā.

Ugunsmūris filtrē ienākošo trafiku pēc zonas atkarībā no zonai piemērotajiem noteikumiem. Ja IP- pieprasījuma sūtītāja adrese atbilst noteiktas zonas noteikumiem, tad pakete tiks nosūtīta caur šo zonu. Ja adrese neatbilst nevienai no serverī konfigurētajām zonām, paketi apstrādās noklusējuma zona. Uzstādot ugunsmūris tiek izsaukta noklusējuma zona publiski.

Firewall ir zonas, kas ir iepriekš konfigurētas ar atļaujām dažādiem pakalpojumiem. Varat izmantot šos iestatījumus vai izveidot savas zonas. Noklusējuma zonu saraksts, kas tiek izveidotas, instalējot ugunsmūri (glabājas direktorijā /usr/lib/firewalld/zones/):

piliens	minimālais uzticības līmenis. Visi ienākošie savienojumi tiek bloķēti bez atbildes, ir atļauti tikai izejošie savienojumi;
bloķēt	zona ir līdzīga iepriekšējai, bet, kad ienākošie pieprasījumi tiek noraidīti, tiek nosūtīts ziņojums icmp-host-prohibited for Ipv4 vai icmp6-adm-prohibited for Ipv6;
publiski	apzīmē publiskus, neuzticamus tīklus. Jūs varat atļaut atlasītos ienākošos savienojumus individuāli;
ārējā	ārējos tīklus, izmantojot ugunsmūri kā vārteju. Tas ir konfigurēts NAT maskēšanai, lai jūsu iekšējais tīkls paliktu privāts, bet pieejams;
iekšējais	ārējās zonas antonīms. Uzņēmējam ir pietiekams uzticības līmenis, ir pieejami vairāki papildu pakalpojumi;
dmz	izmanto datoriem, kas atrodas DMZ (izolēti datori bez piekļuves pārējam tīklam). Ir atļauti tikai noteikti ienākošie savienojumi;
strādāt	zona darba mašīnām (lielākā daļa tīklā esošo datoru ir uzticami);
mājas	mājas tīkla zona. Lielākajai daļai datoru var uzticēties, taču tiek atbalstīti tikai daži ienākošie savienojumi;
uzticams	uzticēties visām tīkla mašīnām. Atvērtākā no visām pieejamajām iespējām, tā prasa apzinātu izmantošanu.

IN ugunsmūris tiek izmantoti divi noteikumu kopumi - pastāvīgi un pagaidu. Pagaidu noteikumi darbojas, līdz serveris tiek restartēts. Pēc noklusējuma, pievienojot noteikumus ugunsmūris, noteikumi tiek uzskatīti par pagaidu ( izpildlaiks). Lai kārtulu pievienotu pastāvīgi, ir jāizmanto karogs - pastāvīgs. Šādi noteikumi tiks piemēroti pēc servera pārstartēšanas.

Ugunsmūra instalēšana un iespējošana sistēmā CentOS

Operētājsistēmā CentOS 7/8 ugunsmūris pēc noklusējuma ir instalēts kopā ar operētājsistēmu. Ja esat to noņēmis un vēlaties instalēt ugunsmūri, varat izmantot standarta /dnf pārvaldnieku:

# yum instalējiet ugunsmūri -y - ierīcei Centos 7
# dnf instalējiet ugunsmūri -y - programmai Centos 8

Dēmonam ugunsmūris sākās automātiski, kad serveris startēja, jums tas jāpievieno:

# systemctl iespējot ugunsmūri

Un palaist:

# systemctl start firewall

Pārbaudiet pakalpojuma statusu:

# systemctl statusa ugunsmūris

● firewalld.service - firewalld - dinamiskā ugunsmūra dēmons Ielādēts: ielādēts (/usr/lib/systemd/system/firewalld.service; iespējots; piegādātāja iepriekš iestatīts: iespējots) Aktīvs: aktīvs (darbojas) kopš pirmdienas 2019.10.14 14:54 :40 +06; Pirms 22 s Dokumenti: man:firewalld(1) Galvenais PID: 13646 (firewall) CGrupa: /system.slice/firewall.service └─13646 /usr/bin/python2 -Es /usr/sbin/firewalld --nofork --nopid 14. oktobris 14:54:40 server.vpn.ru systemd: Starting firewalld — dynamic firewall daemon... Oct 14 14:54:40 server.vpn.ru systemd: Started firewalld — dynamic firewall daemon.

Vai ar komandu:

# firewall-cmd --state

Komanda firewall-cmd ir ugunsmūra priekšgals uz nftables/iptables.

# firewall-cmd --state

Darbs ar ugunsmūra noteikumiem

Noklusējuma noteikumi:

Pirms ugunsmūra noteikumu iestatīšanas pārbaudiet, kura zona tiek izmantota pēc noklusējuma:

# firewall-cmd --get-default-zone

Tā kā mēs tikko instalējām ugunsmūri un vēl neesam to konfigurējuši, mums ir noklusējuma zona publiski.

Pārbaudīsim aktīvo zonu. Ir arī viens - publisks:

# firewall-cmd --get-active-zones

Publiskās saskarnes: eth0

Kā redzat, eth0 tīkla saskarni kontrolē zona publiski.

Lai skatītu galvenos noteikumus, ievadiet:

# firewall-cmd --list-all

Publisks (aktīvs) mērķis: noklusējuma icmp-block-inversija: nav saskarņu: eth0 avoti: pakalpojumi: dhcpv6-klienta ssh porti: protokoli: maskēšanās: nav pāradresācijas porti: avota porti: icmp bloki: bagātināti noteikumi:

No saraksta var redzēt, ka šai zonai ir pievienotas parastās darbības, kas saistītas ar DHCP klientu un ssh.

Pieejamās zonas

Lai skatītu visu zonu sarakstu, jums jāizpilda komanda:

# firewall-cmd --get-zones

Man ir šāds saraksts:

Bloķēt dmz drop ārējo mājas iekšējo publisko uzticamo darbu

Lai pārbaudītu konkrētas zonas noteikumus, jāpievieno karogs - zona.

# firewall-cmd --zone=home --list-all

Sākuma mērķis: noklusējuma icmp-block-inversija: nav saskarņu: avoti: pakalpojumi: dhcpv6-klients mdns samba-klients ssh porti: protokoli: maskēšanās: nav pārsūtīšanas porti: avota porti: icmp-bloki: bagātināti noteikumi:

Visu zonu noteikumus var apskatīt ar komandu:

# firewall-cmd --list-all-zones

Saraksts būs diezgan liels, jo var būt daudz zonu.

Mainiet noklusējuma zonu.

Noklusējums ir viss tīkla saskarnes atrodas apgabalā publiski, bet tos var pārsūtīt uz jebkuru no zonām ar komandu:

# firewall-cmd --zone=home -change-interface=eth0

Pēc parametra --zona= norādiet vēlamo zonu.

Lai mainītu noklusējuma zonu, jums jāizmanto komanda:

# firewall-cmd --set-default-zone=home

Pieteikšanās noteikumu pievienošana

Lai lietojumprogrammai atvērtu portu, izņēmumiem varat pievienot pakalpojumu. Parādiet pieejamo pakalpojumu sarakstu:

Izvadē būs liels skaits pakalpojumu. Detalizēta informācija par pakalpojumu ir ietverts tajā xml failu. Šie faili atrodas direktorijā /usr/lib/firewalld/services.

Piemēram:

# cd /usr/lib/firewall/services

Pasts (SMTP) Šī opcija nodrošina ienākošo SMTP pasta piegādi. Ja jums ir jāļauj attālajiem saimniekiem izveidot tiešu savienojumu ar jūsu ierīci, lai piegādātu pastu, iespējojiet šo opciju. Tas nav jāiespējo, ja savāc pastu no sava ISP servera, izmantojot POP3 vai IMAP, vai ja izmantojat tādu rīku kā fetchmail. Ņemiet vērā, ka nepareizi konfigurēts SMTP serveris varļauj attālām iekārtām izmantot jūsu serveri surogātpasta sūtīšanai.

XML fails satur pakalpojuma aprakstu, protokolu un porta numuru, kas tiks atvērts ugunsmūrī.

Pievienojot noteikumus, varat izmantot parametru --pievienošanas pakalpojums lai atvērtu piekļuvi noteiktam pakalpojumam:

# firewall-cmd --zone=public --add-service=http

# firewall-cmd --zone=public --add-service=https

Pēc noteikumu pievienošanas varat pārbaudīt, vai pakalpojumi ir pievienoti norādītajai zonai:

# firewall-cmd --zone=public --list-services

Dhcpv6-klients http https ssh

Ja vēlaties šos noteikumus padarīt pastāvīgus, pievienojot ir jāpievieno parametrs - pastāvīgs.

Lai noņemtu pakalpojumu no zonas:

# firewall-cmd --permanent --zone=public --remove-service=http

Dhcpv6 klienta https ssh tests

Ja vēlaties pievienot savu pakalpojumu izņēmumiem, varat izveidot failu xml pats un aizpildiet to. Varat kopēt datus no jebkura pakalpojuma, mainīt nosaukumu, aprakstu un porta numuru.

Kopēsim failu smtp.xml uz direktoriju darbam ar lietotāju pakalpojumiem:

# cp /usr/lib/firewalld/services/smtp.xml /etc/firewalld/services

Mainiet pakalpojuma aprakstu failā.

Es pats xml failu Tas ir arī jāpārdēvē pēc pakalpojuma nosaukuma. Pēc tam jums ir jārestartē ugunsmūris un jāpārbauda, ​​vai mūsu pakalpojums ir sarakstā:

Zvanīju uz servisu pārbaude un tas parādījās sarakstā:

Syslog-tls telnet tests tftp

Tagad izveidoto pakalpojumu varat pievienot jebkurai zonai:

# firewall-cmd --zone=public --add-service=test --permanent

# firewall-cmd --zone=public --permanent --list-services

Dhcpv6 klienta http https ssh tests

Ja sarakstā neatradāt vajadzīgo pakalpojumu, varat atvērt vajadzīgo portu uz ugunsmūra ar komandu:

# firewall-cmd --zone=public -add-port=77/tcp — atveriet 77. portu tcp
# firewall-cmd --zone=public -add-port=77/udp — atveriet 77. portu udp
# firewall-cmd --zone=public -add-port=77-88/udp - atvērt portu diapazonu 77-88 udp
# firewall-cmd --zone=public -list-ports - pārbaudiet atļauto portu sarakstu

Bloķēt/atļaut ICMP atbildes:

# firewall-cmd --zone=public --add-icmp-block=echo-reply
# firewall-cmd --zone= public --remove-icmp-block=echo-reply

Noņemt pievienoto portu:

# firewall-cmd --zone=public -remove-port=77/udp - noņemt pagaidu noteikumu 77 udp

# firewall-cmd --permanent --zone=public -remove-port=77/udp — noņemt pastāvīgo noteikumu

Savu zonu pievienošana

Jūs varat izveidot savu zonu (es to nosaukšu mūsu):

# firewall-cmd --permanent --new-zone=our

Pēc jaunas zonas izveides, kā arī pēc pakalpojuma izveides ir nepieciešama atsāknēšana ugunsmūris:

# firewall-cmd -- pārlādēt

# firewall-cmd --get-zones

Bloķēt dmz drop ārējo mājas iekšējo mūsu publisko uzticamo darbu

Zona mūsu pieejams. Varat tai pievienot pakalpojumus vai atvērt konkrētus portus.

Ugunsmūris: bloķē IP adreses, izveido izņēmumus

Ugunsmūra izņēmumiem varat pievienot uzticamas IP adreses vai bloķēt nevēlamās adreses.

Lai izņēmumiem pievienotu konkrētu IP adrese(piemēram, 8.8.8.8) savā serverī, izmantojot ugunsmūris, izmantojiet komandu:

# firewall-cmd --zone=public --add-rich-rule="noteikumu ģimene = "ipv4" avota adrese = "8.8.8.8" pieņemt"

Pārbaudiet apgabalu un pārliecinieties IP pievienots izņēmumiem bagātajos noteikumos:

Publisks (aktīvs) mērķis: noklusējuma icmp-block-inversija: nav saskarņu: eth0 avoti: pakalpojumi: dhcpv6-klients http https ssh testa porti: protokoli: maskēšanās: nav pārejas portu: avota porti: icmp-bloki: bagātināti noteikumi: noteikums ģimene = "ipv4" avota adrese = "8.8.8.8" pieņemt

Bloķēt IP, nepieciešams nomainīt pieņemt ieslēgts noraidīt:

# firewall-cmd --zone=public --add-rich-rule="noteikumu ģimene = "ipv4" avota adrese = "8.8.4.4" noraidīt"

# firewall-cmd --zone=public --list-all

Publisks (aktīvs) mērķis: noklusējuma icmp-block-inversija: nav saskarņu: eth0 avoti: pakalpojumi: dhcpv6-klients http https ssh testa porti: protokoli: maskēšanās: nav pārejas portu: avota porti: icmp-bloki: bagātināti noteikumi: noteikums ģimene = "ipv4" avota adrese = "8.8.8.8" pieņemt noteikumu ģimene = "ipv4" avota adrese = "8.8.4.4" noraidīt

Varat atļaut konkrētu pakalpojumu tikai pieprasījumiem no noteiktas IP adreses:

#firewall-cmd --permanent --add-rich-rule "noteikumu saime = "ipv4" avota adrese = "10.10.1.0/24" pakalpojuma nosaukums = "https" pieņemt"

Ja jums steidzami jābloķē visi serverim nosūtītie pieprasījumi, izmantojiet panikas komandu:

# firewall-cmd --panic-on

Panikas režīmu var atspējot ar komandu:

# firewall-cmd --panic-off

Vai arī pārstartējot serveri.

Varat bloķēt ugunsmūra konfigurāciju, lai vietējie pakalpojumi ar saknes tiesības nevarēja mainīt izveidotos ugunsmūra noteikumus:

# firewall-cmd --lockdown-on

Atspējot bloķēšanas režīmu:

# firewall-cmd --lockdown-off

Portu pāradresācija ugunsmūrī

Portu pārsūtīšanas kārtulu var izveidot ugunsmūrī. Lai pārsūtītu portu 443 uz 9090:

# firewall-cmd --zone=public --add-forward-port=port=443:proto=tcp:toport=9090 --permanent

Lai noņemtu porta pāradresācijas kārtulu:

# firewall-cmd --zone=public --remove-forward-port=port=443:proto=tcp:toport=9090