ගෙදර › නාවිකයන් › සෙන්ටෝස් 7 ෆයර්වෝල් cmd විවෘත වරාය

සෙන්ටෝස් 7 ෆයර්වෝල් cmd විවෘත වරාය

තුළ ස්ථාපනය කර ඇත මෙහෙයුම් පද්ධතියඅතර අනවසර ගමනාගමනය වැළැක්වීම සඳහා ගිනි පවුරක් භාවිතා කරයි පරිගණක ජාල. අතින් හෝ ස්වයංක්රීයව, ප්රවේශ පාලනය සඳහා වගකිව යුතු විශේෂ ෆයර්වෝල් නීති නිර්මාණය කර ඇත. ලිනක්ස් කර්නලය මත සංවර්ධනය කරන ලද OS, CentOS 7, ගොඩනඟන ලද ෆයර්වෝලයක් ඇති අතර, එය ෆයර්වෝලයක් භාවිතයෙන් පාලනය වේ. පෙරනිමියෙන්, FirewallD සක්‍රීය කර ඇති අතර, අපි අද එහි වින්‍යාසය ගැන කතා කිරීමට කැමැත්තෙමු.

ඉහත සඳහන් කළ පරිදි, ෆයර්වෝල්ඩී උපයෝගීතාව CentOS 7 හි සම්මත ෆයර්වෝලය ලෙස පවරා ඇත. මෙම මෙවලම උදාහරණයක් ලෙස භාවිතා කරමින් ෆයර්වෝල් සැකසුම සලකා බලනු ලබන්නේ එබැවිනි. ඔබට එකම iptables භාවිතයෙන් පෙරීමේ නීති සැකසිය හැක, නමුත් මෙය තරමක් වෙනස් ආකාරයකින් සිදු කෙරේ. පහත සබැඳිය ක්ලික් කිරීමෙන් සඳහන් කර ඇති උපයෝගීතාවයේ වින්‍යාසය පිළිබඳව ඔබ හුරුපුරුදු වන ලෙස අපි නිර්දේශ කරමු, අපි FirewallD විශ්ලේෂණය ආරම්භ කරන්නෙමු.

මූලික ෆයර්වෝල් සංකල්ප

කලාප කිහිපයක් තිබේ - ජාල කෙරෙහි විශ්වාසය මත රථවාහන කළමනාකරණය සඳහා නීති මාලාවක්. ඔවුන් සියල්ලන්ටම ඔවුන්ගේම ප්‍රතිපත්ති පවරා ඇත, ඒවායේ එකතුව ෆයර්වෝල් වින්‍යාසය සාදයි. සෑම කලාපයකටම ජාල අතුරුමුහුණත් එකක් හෝ කිහිපයක් පවරා ඇති අතර, එමඟින් ඔබට පෙරීම සකස් කිරීමට ඉඩ සලසයි. අදාළ නීති කෙලින්ම රඳා පවතින්නේ භාවිතා කරන අතුරු මුහුණත මත ය. උදාහරණයක් ලෙස, පොදු Wi-Fi වෙත සම්බන්ධ වූ විට ගිනි පවුරපාලන මට්ටම වැඩි කරනු ඇත, සහ ගෘහ ජාලයදාම සාමාජිකයින් සඳහා අමතර ප්‍රවේශයක් විවෘත කරනු ඇත. සලකා බැලූ ෆයර්වෝලයේ එවැනි කලාප තිබේ:

විශ්වාසයි - සියලුම ජාල උපාංග සඳහා උපරිම විශ්වාසනීය මට්ටම;
ගෙදර - කණ්ඩායම දේශීය ජාලය. පරිසරය කෙරෙහි විශ්වාසයක් ඇත, නමුත් ලැබෙන සම්බන්ධතා ලබා ගත හැක්කේ ඇතැම් යන්ත්‍රවලට පමණි;
වැඩ - වැඩ ප්රදේශය. බොහෝ උපාංග කෙරෙහි විශ්වාසයක් පවතින අතර අතිරේක සේවාවන් සක්රිය කර ඇත;
dmz යනු හුදකලා පරිගණක සඳහා කලාපයකි. එවැනි උපාංග ජාලයේ ඉතිරි කොටස් වලින් විසන්ධි කර ඇති අතර ඇතැම් පැමිණෙන ගමනාගමනයට පමණක් ඉඩ ලබා දේ;
අභ්යන්තර - අභ්යන්තර ජාල කලාපය. සියලුම යන්ත්‍ර සඳහා විශ්වාසය යොදනු ලැබේ, අමතර සේවාවන් විවෘත වේ;
බාහිර - පෙර කලාපයේ පිටුපස. බාහිර ජාල වලදී, NAT වෙස් මුහුණු සක්‍රීය වන අතර, අභ්‍යන්තර ජාලය වසා දමයි, නමුත් ප්‍රවේශය ලබා ගැනීමේ හැකියාව අවහිර නොකරයි;
පොදු - සියලුම උපාංග කෙරෙහි අවිශ්වාසය සහ පැමිණෙන ගමනාගමනය තනි පුද්ගල පිළිගැනීමක් සහිත පොදු ජාල කලාපයක්;
අවහිර කරන්න - එන සියලුම ඉල්ලීම් එවූ දෝෂයක් සමඟ අත්හරිනු ලැබේ icmp-host-තහනම්හෝ icmp6-adm-තහනම්;
drop යනු අවම විශ්වාස මට්ටමයි. කිසිදු දැනුම්දීමකින් තොරව පැමිණෙන සම්බන්ධතා අතහැර දමනු ලැබේ.

ප්‍රතිපත්තිම තාවකාලිකයි ස්ථිරයි. පරාමිති දිස්වන විට හෝ සංස්කරණය කරන විට, නැවත පණගැන්වීමේ අවශ්‍යතාවයකින් තොරව ෆයර්වෝලයේ ක්‍රියාව වහාම වෙනස් වේ. තාවකාලික නීති යෙදුවේ නම්, FirewallD නැවත ආරම්භ කිරීමෙන් පසුව ඒවා යළි පිහිටුවනු ලැබේ. ස්ථිර රීතිය ලෙස හඳුන්වන්නේ එයයි - එය සුරැකෙනු ඇත ස්ථිර පදනම-ස්ථිර තර්කය යොදන විට.

FirewallD සබල කරන්න

පළමුව ඔබ FirewallD ආරම්භ කිරීමට හෝ එය සක්‍රිය තත්වයක පවතින බවට වග බලා ගන්න. ධාවනය වන ඩීමන් (වැඩසටහනක් ක්‍රියාත්මක වේ පසුබිම) ෆයර්වෝල් නීති අදාළ වේ. සක්‍රිය කිරීම ක්ලික් කිරීම් කිහිපයකින් සිදු කෙරේ:

ක්ලැසික් ධාවනය කරන්න "පර්යන්තය"ඕනෑම පහසු ක්රමයක් මගින්, උදාහරණයක් ලෙස, මෙනුව හරහා "අයදුම්පත්".

sudo systemctl start firewalld.service යන විධානය ඇතුලත් කර යතුර ඔබන්න ඇතුල් කරන්න.

උපයෝගිතා සුපිරි පරිශීලකයා වෙනුවෙන් කළමනාකරණය කරනු ලැබේ, එබැවින් ඔබට මුරපදයක් ඇතුළත් කිරීමෙන් සත්‍යාපනය කිරීමට සිදුවේ.

සේවාව ක්‍රියාත්මක වන බව තහවුරු කිරීමට, firewall-cmd --state සඳහන් කරන්න.

විවෘත තුළ චිත්රක කවුළුවනැවත සත්‍යාපනය කරන්න.

නව රේඛාවක් දිස්වනු ඇත. අර්ථය දුවනවාෆයර්වෝලය වැඩ කරන බව පෙන්නුම් කරයි.

එක් දිනක් ඔබට ෆයර්වෝලය තාවකාලිකව හෝ ස්ථිරව අක්‍රිය කිරීමට අවශ්‍ය නම්, පහත සබැඳියේ අපගේ අනෙක් ලිපියේ දක්වා ඇති උපදෙස් භාවිතා කිරීමට අපි නිර්දේශ කරමු.

පෙරනිමි රීති සහ පවතින කලාප බලන්න

සාමාන්‍යයෙන් ක්‍රියාත්මක වන ෆයර්වෝලයකට පවා තමන්ගේම නිශ්චිත නීති සහ පවතින කලාප ඇත. ඔබ ප්‍රතිපත්ති සංස්කරණය කිරීම ආරම්භ කිරීමට පෙර, වත්මන් වින්‍යාසය පිළිබඳව ඔබව හුරු කරවන ලෙස අපි නිර්දේශ කරමු. මෙය සරල විධාන වලින් සිදු කෙරේ:

firewall-cmd --get-default-zone විධානය ඔබට පෙරනිමියෙන් ක්‍රියා කරන කලාපය තීරණය කිරීමට උපකාරී වේ.

එය සක්රිය කිරීමෙන් පසුව, අවශ්ය පරාමිතිය දර්ශනය වන නව රේඛාවක් ඔබට පෙනෙනු ඇත. උදාහරණයක් ලෙස, පහත තිර පිටපතෙහි, කලාපය ක්රියාකාරී ලෙස සලකනු ලැබේ පොදු.

කෙසේ වෙතත්, කලාප කිහිපයක් එකවර ක්රියාකාරී විය හැකි අතර, ඊට අමතරව, ඒවා වෙනම අතුරු මුහුණතකට බැඳී ඇත. firewall-cmd --get-active-zones හරහා මෙම තොරතුරු සොයා ගන්න.

firewall-cmd --list-all විධානය පෙරනිමි කලාපය සඳහා සකසා ඇති රීති පෙන්වයි. පහත තිර රුවක් වෙත අවධානය යොමු කරන්න. ක්‍රියාකාරී කලාපය බව ඔබට පෙනේ පොදුනියම කර ඇත පෙරනිමිය- පෙරනිමි මෙහෙයුම, අතුරු මුහුණත "enp0s3"සහ සේවා දෙකක් එකතු කරන ලදී.

ඔබට පවතින සියලුම ෆයර්වෝල් කලාප දැන ගැනීමට අවශ්‍ය නම්, firewall-cmd --get-zones ටයිප් කරන්න.

යම් කලාපයක පරාමිතීන් තීරණය කරනු ලබන්නේ firewall-cmd --zone=name --list-all , එහිදී නම- කලාපයේ නම.

අවශ්ය පරාමිතීන් තීරණය කිරීමෙන් පසුව, ඔබට ඒවා වෙනස් කිරීමට සහ එකතු කිරීමට ඉදිරියට යා හැකිය. වඩාත් ජනප්‍රිය වින්‍යාසයන් කිහිපයක් දෙස සමීපව බලමු.

අතුරුමුහුණත් කලාප සැකසීම

ඉහත තොරතුරු වලින් ඔබ දන්නා පරිදි, සෑම අතුරු මුහුණතකටම තමන්ගේම පෙරනිමි කලාපයක් ඇත. පරිශීලකයා විසින් හෝ ක්‍රමලේඛනගතව සිටුවම් වෙනස් කරන තෙක් එය එහි පවතිනු ඇත. එක් සැසියක් සඳහා කලාපයට අතුරු මුහුණත අතින් මාරු කළ හැකි අතර, එය සිදු කරනු ලබන්නේ sudo firewall-cmd --zone=home --change-interface=eth0 විධානය සක්‍රිය කිරීමෙනි. ප්රතිඵලය සාර්ථකත්වයමාරු කිරීම සාර්ථක වූ බව පෙන්නුම් කරයි. ෆයර්වෝලය නැවත පණගැන්වීමෙන් පසු එවැනි සැකසුම් වහාම නැවත සකසන බව මතක තබා ගන්න.

පරාමිතිවල එවැනි වෙනසක් සමඟ, සේවාවන්හි ක්රියාකාරිත්වය නැවත සැකසිය හැකි බව මතක තබා ගත යුතුය. ඒවායින් සමහරක් ඇතැම් කලාපවල ක්‍රියාත්මක වීමට සහාය නොදක්වයි, උදාහරණයක් ලෙස, SSH, එය ලබා ගත හැකි වුවද ගෙදර, නමුත් සේවාව අභිරුචි හෝ විශේෂ ඒවා තුළ වැඩ කිරීම ප්රතික්ෂේප කරනු ඇත. firewall-cmd --get-active-zones ටයිප් කිරීමෙන් අතුරු මුහුණත නව ශාඛාව වෙත සාර්ථකව බැඳී ඇති බව ඔබට තහවුරු කර ගත හැක.

ඔබට ඔබ කලින් සෑදූ සැකසුම් නැවත සැකසීමට අවශ්‍ය නම්, ෆයර්වෝලය නැවත ආරම්භ කරන්න: sudo systemctl firewalld.service නැවත ආරම්භ කරන්න.

සමහර විට එක් සැසියක් සඳහා අතුරු මුහුණත කලාපය වෙනස් කිරීම සැමවිටම පහසු නොවේ. මෙම අවස්ථාවේදී, ඔබට සියලු සැකසුම් ස්ථිරවම ඇතුළත් වන පරිදි වින්‍යාස ගොනුව සංස්කරණය කිරීමට අවශ්‍ය වනු ඇත. මේ සඳහා පෙළ සංස්කාරකයක් භාවිතා කිරීම අපි නිර්දේශ කරමු. නැනෝ, sudo yum install nano මගින් නිල ගබඩාවෙන් ස්ථාපනය කර ඇත. ඊළඟට, පහත සඳහන් ක්රියාවන් සිදු කිරීමට ඉතිරිව ඇත:

sudo nano /etc/sysconfig/network-scripts/ifcfg-eth0 ටයිප් කිරීමෙන් සංස්කාරකයක් හරහා වින්‍යාස ගොනුව විවෘත කරන්න. eth0- අවශ්ය අතුරු මුහුණතේ නම.

සත්‍යාපනය කරන්න ගිණුමඉදිරි පියවර ගැනීමට.

පරාමිතිය සොයා ගන්න කලාපයසහ පොදු හෝ නිවස වැනි ඔබට අවශ්‍ය ඕනෑම දෙයකට එහි වටිනාකම වෙනස් කරන්න.

යතුරු ඔබාගෙන සිටින්න Ctrl+Oවෙනස්කම් සුරැකීමට.

ගොනු නාමය වෙනස් නොකරන්න, ක්ලික් කරන්න ඇතුල් කරන්න.

ලොග් අවුට් වෙන්න පෙළ සංස්කාරකයඔස්සේ Ctrl + X.

දැන් වින්‍යාස ගොනුවේ මීළඟ සංස්කරණය තෙක් අතුරු මුහුණත් කලාපය ඔබ සඳහන් කළ ආකාරයටම පවතිනු ඇත. sudo systemctl restart network.service ක්‍රියාත්මක කරන්න සහ sudo systemctl firewalld.service නැවත ආරම්භ කරන්න යාවත්කාලීන කළ සැකසුම් බලාත්මක වීමට.

පෙරනිමි කලාපය සැකසීම

ඉහත, අපි දැනටමත් පෙරනිමි කලාපය සොයා ගැනීමට ඔබට ඉඩ සලසන විධානයක් නිරූපණය කර ඇත. ඔබ කැමති පරාමිතියක් සැකසීමෙන්ද එය වෙනස් කළ හැක. මෙය සිදු කිරීම සඳහා, කොන්සෝලයේ sudo firewall-cmd --set-default-zone=නම ලියන්න. නම- අවශ්ය කලාපයේ නම.

විධානයේ සාර්ථකත්වය සෙල්ලිපිය මගින් පෙන්නුම් කෙරේ සාර්ථකත්වයවෙනම රේඛාවක් මත. ඊට පසු, වින්‍යාස ගොනු වල වෙනත් ආකාරයකින් දක්වා නොමැති නම්, සියලුම වත්මන් අතුරුමුහුණත් නියමිත කලාපයට බැඳී ඇත.

වැඩසටහන් සහ උපයෝගිතා සඳහා නීති නිර්මාණය කිරීම

ලිපිය ආරම්භයේදීම අපි එක් එක් කලාපයේ බලපෑම ගැන කතා කළෙමු. එවැනි ශාඛාවල සේවා, උපයෝගිතා සහ වැඩසටහන් නිර්වචනය කිරීම එක් එක් පරිශීලකයාගේ ඉල්ලීම් අනුව එක් එක් ඒවා සඳහා තනි පරාමිතීන් යෙදීමට ඉඩ සලසයි. ආරම්භ කිරීම සඳහා, පවතින සම්පූර්ණ ලැයිස්තුව සමඟ ඔබව හුරු කරවීමට අපි ඔබට උපදෙස් දෙමු මේ මොහොතේසේවා: firewall-cmd --get-services .

ප්රතිඵලය සෘජුවම කොන්සෝලය තුළ පෙන්වනු ඇත. සෑම සේවාදායකයක්ම අවකාශයකින් වෙන් කර ඇති අතර, ඔබට ලැයිස්තුවේ ඔබ කැමති මෙවලම පහසුවෙන් සොයාගත හැකිය. අවශ්ය සේවාව අතුරුදහන් වී ඇත්නම්, එය අතිරේකව ස්ථාපනය කළ යුතුය. නිල මෘදුකාංග ලේඛනවල ස්ථාපන නීති ගැන කියවන්න.

ඉහත විධානය මඟින් සේවා වල නම් පමණක් පෙන්වයි. /usr/lib/firewalld/services යන මාර්ගය ඔස්සේ ඇති තනි ගොනුවක් හරහා ඒ සෑම එකක් ගැනම සවිස්තරාත්මක තොරතුරු ලබා ගනී. එවැනි ලේඛන XML ආකෘතියෙන් ඇත, උදාහරණයක් ලෙස, SSH වෙත යන මාර්ගය මේ ආකාරයෙන් පෙනේ: /usr/lib/firewalld/services/ssh.xml , සහ ලේඛනයේ පහත අන්තර්ගතය ඇත:

SSH
ආරක්‍ෂිත කවචය (SSH) යනු දුරස්ථ යන්ත්‍රවලට ඇතුළු වී විධාන ක්‍රියාත්මක කිරීම සඳහා වන ප්‍රොටෝකෝලයකි. එය ආරක්ෂිත සංකේතාත්මක සන්නිවේදනයක් සපයයි. ෆයර්වෝල් කරන ලද අතුරු මුහුණතක් හරහා SSH හරහා ඔබේ යන්ත්‍රයට දුරස්ථව ප්‍රවේශ වීමට ඔබ අදහස් කරන්නේ නම්, මෙම විකල්පය සක්‍රීය කරන්න. මෙම විකල්පය ප්‍රයෝජනවත් වීමට ඔබට openssh-server පැකේජය ස්ථාපනය කළ යුතුය.

යම් කලාපයක සේවා සහාය අතින් සක්රිය කර ඇත. තුල "පර්යන්තය"ඔබ විධානය සඳහන් කළ යුතුය sudo firewall-cmd --zone=public --add-service=http , එහිදී --zone=පොදු- සක්රිය කිරීම සඳහා කලාපය, සහ --add-service=http- සේවාවේ නම. එවැනි වෙනසක් වලංගු වන්නේ එක් සැසියක් තුළ පමණක් බව කරුණාවෙන් සලකන්න.

ස්ථිර එකතු කිරීම sudo firewall-cmd --zone=public --permanent --add-service=http හරහා සිදු කරනු ලබන අතර ප්‍රතිඵලය වන්නේ සාර්ථකත්වයමෙහෙයුම සාර්ථකව නිම කිරීම පෙන්නුම් කරයි.

දැක්ම සම්පූර්ණ ලැයිස්තුවවිශේෂිත කලාපයක් සඳහා ස්ථිර රීති ලැයිස්තුව වෙනම කොන්සෝල රේඛාවක් මත ප්‍රදර්ශනය කිරීමෙන් සිදු කළ හැක: sudo firewall-cmd --zone=public --permanent --list-services .

සේවාව සඳහා ප්රවේශය නොමැතිකම සමඟ ගැටළුව විසඳීම

පෙරනිමියෙන්, ෆයර්වෝල් නීති අවසර දී ඇති පරිදි වඩාත් ජනප්‍රිය සහ ආරක්ෂිත සේවාවන් ලැයිස්තුගත කරයි, නමුත් එය සමහර සම්මත හෝ තෙවන පාර්ශවීය යෙදුම් අවහිර කරයි. මෙම අවස්ථාවෙහිදී, ප්රවේශ ගැටළුව විසඳීම සඳහා පරිශීලකයා විසින් සැකසුම් අතින් වෙනස් කිරීමට අවශ්ය වනු ඇත. මෙය විවිධ ආකාර දෙකකින් කළ හැකිය.

වරාය යොමු කිරීම

ඔබ දන්නා පරිදි, සියලුම ජාල සේවා විශේෂිත වරායක් භාවිතා කරයි. එය ෆයර්වෝල් මගින් පහසුවෙන් හඳුනාගත හැකි අතර, එය මත අවහිර කිරීම සිදු කළ හැකිය. ෆයර්වෝලයෙන් එවැනි ක්‍රියා වළක්වා ගැනීම සඳහා, ඔබ විසින් sudo firewall-cmd --zone=public --add-port=0000/tcp යන විධානය සමඟ අවශ්‍ය වරාය විවෘත කළ යුතුය. --zone=පොදු- වරාය සඳහා ප්රදේශය, --add-port=0000/tcp- වරාය අංකය සහ ප්රොටෝකෝලය. firewall-cmd --list-ports විකල්පය විවෘත වරායන් ලැයිස්තුවක් පෙන්වයි.

ඔබට පරාසය තුළ වරායන් විවෘත කිරීමට අවශ්‍ය නම්, sudo firewall-cmd --zone=public --add-port=0000-9999/udp යන රේඛාව භාවිතා කරන්න. --add-port=0000-9999/udp- වරාය පරාසය සහ ඒවායේ ප්‍රොටෝකෝලය.

ඉහත විධාන මඟින් ඔබට එවැනි පරාමිති භාවිතා කිරීම පරීක්ෂා කිරීමට පමණක් ඉඩ ලබා දේ. එය සාර්ථක වූවා නම්, ඔබ මෙම වරායන් ස්ථිර සැකසුම් වලට එක් කළ යුතු අතර, මෙය සිදු කරනු ලබන්නේ sudo firewall-cmd --zone=public --permanent --add-port=0000/tcp හෝ sudo firewall-cmd -- ලෙස ටයිප් කිරීමෙනි. zone=public --permanent --add-port=0000-9999/udp . විවෘත ස්ථීර වරායන් ලැයිස්තුව බලන්නේ මෙහෙමයි: sudo firewall-cmd --zone=public --permanent --list-ports .

සේවා අර්ථ දැක්වීම

ඔබට පෙනෙන පරිදි, වරායන් එකතු කිරීම කිසිදු දුෂ්කරතාවයක් ඇති නොකරයි, නමුත් යෙදුම් විශාල සංඛ්යාවක් භාවිතා කරන විට ක්රියා පටිපාටිය වඩාත් සංකීර්ණ වේ. භාවිතයේ ඇති සියලුම වරායන් නිරීක්ෂණය කිරීම අපහසු වේ, එබැවින් සේවා අර්ථ දැක්වීම වඩා හොඳ විකල්පයක් වනු ඇත:

සේවාවට ප්‍රවේශ වීමේ ගැටලුව විසඳීම සඳහා ඔබට වඩාත් සුදුසු ක්‍රමය තෝරාගෙන ලබා දී ඇති උපදෙස් අනුගමනය කළ යුතුය. ඔබට පෙනෙන පරිදි, සියලු ක්රියාවන් ඉතා පහසුවෙන් සිදු කරනු ලබන අතර, කිසිදු දුෂ්කරතාවයක් ඇති නොවිය යුතුය.

අභිරුචි කලාප නිර්මාණය කිරීම

මුලින් FirewallD විසින් යම් යම් නීතිරීති සමඟ විවිධ කලාප විශාල ප්‍රමාණයක් නිර්මාණය කළ බව ඔබ දැනටමත් දන්නවා. කෙසේ වෙතත්, අවස්ථා තිබේ පද්ධති පරිපාලකඔබට අභිරුචි කලාපයක් සෑදිය යුතුය, උදාහරණයක් ලෙස, "පොදු වෙබ්"ස්ථාපිත වෙබ් සේවාදායකයක් සඳහා, හෝ "පුද්ගලික ඩීඑන්එස්"- DNS සේවාදායකය සඳහා. මෙම උදාහරණ දෙක මත, අපි ශාඛා එකතු කිරීම විශ්ලේෂණය කරමු:

මෙම ලිපියෙන් ඔබ අභිරුචි කලාප නිර්මාණය කරන ආකාරය සහ ඒවාට සේවා එකතු කරන ආකාරය ඉගෙන ගත්තා. ඒවා පෙරනිමියෙන් සැකසීම සහ ඉහත අතුරුමුහුණත් පැවරීම ගැන අපි දැනටමත් කතා කර ඇත, ඔබට නිවැරදි නම් සඳහන් කිරීමට සිදුවේ. ස්ථිර වෙනස්කම් සිදු කිරීමෙන් පසු ෆයර්වෝලය නැවත ආරම්භ කිරීමට අමතක නොකරන්න.

ඔබට පෙනෙන පරිදි, FirewallD ෆයර්වෝල් යනු ඔබට වඩාත්ම නම්‍යශීලී ෆයර්වෝල් වින්‍යාසය කිරීමට ඉඩ සලසන තරමක් විශාල මෙවලමකි. එය ඉතිරිව ඇත්තේ පද්ධතිය සමඟ උපයෝගිතා දියත් කර ඇති බවත් නිශ්චිත රීති වහාම ඔවුන්ගේ වැඩ ආරම්භ කරන බවත් සහතික කිරීමට පමණි. sudo systemctl enable firewalld සමඟ මෙය කරන්න.

බාහිර තර්ජන වලින් සේවාදායකය ආරක්ෂා කිරීම සඳහා, පළමුවෙන්ම, පැමිණෙන සහ පිටතට යන ගමනාගමනය පෙරහන් කරන ෆයර්වෝලයක් ඇත. මට iptables සැකසීම සමඟ කටයුතු කිරීමට අවශ්‍යයි - මෙම ලිපියේ CentOS හි ෆයර්වෝලයේ විශේෂ අවස්ථාවක් මෙන්ම එය ස්ථාපනය කිරීම සහ අක්‍රිය කිරීම ගැන කතා කරන්න. මගේ මාර්ගෝපදේශය සවිස්තරාත්මක නොවනු ඇත, මම වඩාත් වැදගත් යැයි සලකන සහ මගේ කාර්යයේදී මා භාවිතා කරන අංශ පමණක් සලකා බලමි.

මෙම ලිපිය සේවාදායකය පිළිබඳ තනි ලිපි මාලාවක කොටසකි.

හැදින්වීම

Iptables දැනට නවීන ලිනක්ස් බෙදාහැරීම් සඳහා තථ්‍ය ප්‍රමිතියයි. ඔවුන් ෆයර්වෝලයක් ලෙස භාවිතා කරන වෙනත් දේ මට වහාම මතක තබා ගත නොහැක. එබැවින් ඕනෑම ලිනක්ස් පරිපාලකයෙකුට ඔහුගේ කාර්යයේදී මෙම ෆයර්වෝලය සැකසීමට කටයුතු කිරීමට සිදුවේ.

මෙම ගිනි පවුර සඳහා විවිධ බන්ධන ඇත, ඒවා වඩාත් "පහසු" සැකසුම සඳහා භාවිතා වේ. Ubuntu සතුව ඇත ufw, සෙන්ටෝස් වලින් - ෆයර්වෝල්ඩ්, අන් අය සමඟ හුරුපුරුදු නැත. පුද්ගලිකව, මෙම මෙවලම් භාවිතා කිරීමේ කිසිදු පහසුවක් මම නොදකිමි. මම ලිනක්ස් ෆයර්වෝල් එක පරණ විදියටම දාන්න පුරුදු වෙලා ඉන්නේ, මම මගේ වැඩ ආරම්භයේදීම ඉගෙන ගත්තා. මෙය වඩාත්ම සරල හා පහසු ක්‍රමය බව මට පෙනේ, එය මම ඔබ සමඟ බෙදා ගන්නෙමි. එහි සාරය ෆයර්වෝලයේ නීති සමඟ ස්ක්‍රිප්ට් එකක් නිර්මාණය කර ඇති බව දක්වා උනු. මෙම ස්ක්‍රිප්ට් එක ඔබගේ අවශ්‍යතාවයට ගැලපෙන පරිදි පහසුවෙන් සංස්කරණය කර සේවාදායකයෙන් සේවාදායකයට මාරු කළ හැක.

ෆයර්වෝල්ඩ් අක්‍රිය කිරීම

මත මාතෘකාවේ ෆයර්වෝල්ඩ් අක්‍රිය කිරීමේ ගැටලුව මම දැනටමත් ස්පර්ශ කර ඇත. පළමුවෙන්ම, ස්ථාපනය කළ වහාම පෙරනිමියෙන් සෙන්ටෝස් 7 හි ඇති ෆයර්වෝල්ඩ් අක්‍රීය කරන්න:

# systemctl stop firewalld

දැන් අපි එය ආරම්භයෙන් ඉවත් කරන්නෙමු, එවිට එය නැවත ආරම්භ කිරීමෙන් පසුව නැවත සක්‍රිය නොවේ:

# systemctl ෆයර්වෝල්ඩ් අක්‍රීය කරන්න

ඊට පසු, සේවාදායකයේ ෆයර්වෝල් සැකසුම් සම්පූර්ණයෙන්ම විවෘත වේ. ඔබට විධානය සමඟ iptables නීති නැරඹිය හැකිය:

iptables ස්ථාපනය කිරීම

ඇත්ත වශයෙන්ම, අපගේ සේවාදායකයේ ෆයර්වෝලය දැනටමත් ක්රියාත්මක වන අතර, සරලව නීති නොමැත, සියල්ල විවෘතව පවතී. අපට අතිරේක කළමනාකරණ උපයෝගිතා ස්ථාපනය කිරීමට අවශ්‍ය වනු ඇත, එය නොමැතිව iptables වින්‍යාස කිරීම කළ නොහැක. උදාහරණයක් ලෙස, ෆයර්වෝලය නැවත ආරම්භ කිරීමට නොහැකි වනු ඇත:

# systemctl නැවත අරඹන්න iptables.service ක්‍රම ඇමතුම නිකුත් කිරීමට අසමත් විය: Unit iptables.service පූරණය කිරීමට අසමත් විය: එවැනි ගොනුවක් හෝ නාමාවලියක් නොමැත.

නැතහොත් autorun වෙත එකතු කිරීම ක්‍රියා නොකරයි:

# systemctl enable iptables.service ක්‍රම ඇමතුම නිකුත් කිරීමට අසමත් විය: එවැනි ගොනුවක් හෝ නාමාවලියක් නොමැත

එවැනි දෝෂ වළක්වා ගැනීම සඳහා, උපයෝගිතා සමඟ අවශ්ය පැකේජය ස්ථාපනය කරන්න:

# yum -y iptables-services ස්ථාපනය කරන්න

දැන් ඔබට ස්වයංක්‍රීයව පැටවීමට සහ ධාවනය කිරීමට iptables එකතු කළ හැක:

# systemctl iptables.service සක්‍රීය කරන්න # systemctl iptables.service ආරම්භ කරන්න

ෆයර්වෝල් සැකසුම්

ෆයර්වෝල් රීති කළමනාකරණය කිරීමට මම ස්ක්‍රිප්ට් එකක් භාවිතා කරමි. අපි එය නිර්මාණය කරමු:

# mcedit /etc/iptables.sh

ඊළඟට, අපි එය අවශ්ය නීති රීති පුරවන්නෙමු. මම පිටපතේ සියලුම වැදගත් කොටස් විග්‍රහ කරමි, සහ මම සම්පුර්ණයෙන්ම පෝරමයට දෙන්නම් පෙළ ගොනුවලිපිය අවසානයේ. පිටපත් කිරීම සහ ඇලවීම තහනම් කිරීම සඳහා නීති රීති පින්තූර ආකාරයෙන් සාදා ඇත. මෙය නීති රීති ක්‍රියාත්මක කිරීමේදී දෝෂ වලට තුඩු දිය හැකි අතර, ලිපිය සකස් කිරීමේදී මා විසින්ම හමු විය.

සේවාදායකය දේශීය ජාලය සඳහා අන්තර්ජාලයට පිවිසුම් දොරටුව වන විට අපි තත්වය සලකා බලමු.

මුලින්ම අපි script එකේ භාවිතා කරන සියලුම variables ටික සෙට් කරමු. මෙය අවශ්ය නොවේ, නමුත් සේවාදායකයෙන් සේවාදායකයට සිටුවම් මාරු කිරීම පහසු වන බැවින් නිර්දේශ කරනු ලැබේ. විචල්යයන් නැවත පැවරීම පමණක් ප්රමාණවත් වනු ඇත.

නව නීති යෙදීමට පෙර, සියලු දාම ඉවත් කරන්න:

අපි නීති කිසිවක් නොගැලපෙන සියලුම මාර්ග තදබදය අවහිර කරමු:

සියලුම localhost සහ localhost ගමනාගමනයට ඉඩ දෙන්න:

අපි පිං කිරීමට ඉඩ දෙන්නෙමු:

ඔබට එය අවශ්‍ය නැතිනම්, icmp සඳහා අවසර නීති එකතු නොකරන්න.

අපි අන්තර්ජාලයට ප්‍රවේශය සේවාදායකයටම විවෘත කරමු:

ඔබට ලැබෙන සියලුම සේවාදායක සම්බන්ධතා විවෘත කිරීමට අවශ්‍ය නම්, පහත රීතිය එක් කරන්න:

දැන් අපි වඩාත් පොදු ජාල ප්‍රහාර වලින් ආරක්ෂාව එකතු කරමු. අපි මුලින්ම තත්ත්‍වයක් නැති සියලුම පැකේජ අතහැර දමමු:

ශුන්‍ය පැකට් අවහිර කිරීම:

සින්-ගංවතුර ප්‍රහාර වලින් වසා දැමීම:

ඔබ ප්‍රාදේශීය ජාලයෙන් ප්‍රවේශ වීම සඳහා සීමාවන් සකසා නොමැති නම්, අපි සෑම කෙනෙකුටම අන්තර්ජාලයට ප්‍රවේශ වීමට ඉඩ දෙන්නෙමු:

ඊළඟට, අපි අන්තර්ජාලයෙන් දේශීය ජාලයට ප්රවේශ වීම තහනම් කරමු:

අපගේ දේශීය ජාලය අන්තර්ජාලය භාවිතා කිරීම සඳහා, අපි nat සක්රිය කරමු:

සේවාදායකයට ප්‍රවේශය අහිමි නොකිරීමට, නීති රීති යෙදීමෙන් පසු, අපි ssh හරහා සම්බන්ධතා වලට ඉඩ දෙමු:

අවසානයේදී අපි නීති ලියා තබන්නෙමු එවිට ඒවා නැවත පණගැන්වීමෙන් පසුව අදාළ වේ:

අපි ssh හැර එන සියලුම සම්බන්ධතා අවහිර කරන සරල වින්‍යාසයක් සම්පාදනය කර ඇති අතර දේශීය ජාලයෙන් අන්තර්ජාලයට ප්‍රවේශ වීමට ඉඩ සලසයි. අතරමගදී, අපි සමහර ජාල ප්‍රහාරවලට එරෙහිව අපව ආරක්ෂා කර ගත්තෙමු.

ස්ක්‍රිප්ට් එක සුරකින්න, එය ක්‍රියාත්මක කර ධාවනය කරන්න:

# chmod 0740 /etc/iptables.sh # /etc/iptables.sh

අපි නීති සමාලෝචනය කර සියලු නීති ක්‍රියාත්මක දැයි පරීක්ෂා කරමු:

# iptables -L -v -n

මම ඔබේ අවධානය යොමු කරමි - ඔබට සේවාදායක කොන්සෝලයට ප්‍රවේශය තිබේ නම් පමණක් ඔබට නීති යෙදිය යුතුය. ඔබ සැකසීම් වල වැරැද්දක් කළහොත්, ඔබට ප්‍රවේශය අහිමි විය හැක. හදිසි අවස්ථාවකදී ඔබට ෆයර්වෝලය ක්‍රියා විරහිත කර සැකසුම් සකස් කළ හැකි බවට වග බලා ගන්න.

වරායන් විවෘත කිරීම

දැන් අපි අපගේ වින්‍යාසය ටිකක් පුළුල් කර සමහර සේවාවන් සඳහා iptables හි වරායන් විවෘත කරමු. අපි හිතමු අපිට web server එකක් ක්‍රියාත්මක වෙනවා, ඒකට අන්තර්ජාලයෙන් ප්‍රවේශය විවෘත කරන්න ඕන කියලා. වෙබ් ගමනාගමනය සඳහා නීති එක් කරන්න:

වෙබ් සේවාදායකය එහි කාර්යයේදී භාවිතා කරන 80 වන සහ 443 වන වරායන්හි එන සම්බන්ධතා සඳහා අවසරය එකතු කර ඇත.

ඔබ ස්ථාපනය කර ඇත්නම් තැපැල් සේවාදායකය, එවිට ඔබ භාවිතා කරන සියලුම වරායන් මත එයට එන සම්බන්ධතා වලට ඉඩ දිය යුතුය:

නිවැරදි මෙහෙයුම සඳහා DNS සේවාදායකයන්, ඔබ UDP port 53 විවෘත කළ යුතුය

වරාය ඉදිරියට යැවීම

දේශීය ජාලයේ සමහර පරිගණකයකට බාහිර අතුරු මුහුණතකින් වරාය යොමු කිරීම සිදු කිරීමට අවශ්‍ය වූ විට තත්වයක් සලකා බලමු. ගන්න ඕන කියමු rdp ප්රවේශයපරිගණකයට 10.1.3.50 අන්තර්ජාලයෙන්. TCP port 3389 ඉදිරියට යැවීම:

ඔබට දන්නා වරායක් සමඟින් පිටත බැබළීමට අවශ්‍ය නැතිනම්, එවිට ඔබට සම්මත නොවන වරායකින් ඉලක්කගත පරිගණකයේ rdp port වෙත හරවා යැවිය හැක:

ඔබ පිටත සිට දේශීය ජාලය තුළට වරායක් යොමු කරන්නේ නම්, බාහිර ජාලයෙන් අභ්‍යන්තරයට ප්‍රවේශය අවහිර කරන රීතිය ගැන අදහස් දැක්වීමට වග බලා ගන්න. මගේ උදාහරණයේ, මෙම රීතිය: $IPT -A FORWARD -i $WAN -o $LAN1 -j ප්‍රතික්ෂේප කරන්න

නැතහොත්, මෙම රීතියට පෙර, අභ්‍යන්තර සේවයට බාහිර ප්‍රවේශය සඳහා අවසර රීතියක් සාදන්න, උදාහරණයක් ලෙස මෙවැනි:

$IPT -A FORWARD -i $WAN -d 10.1.3.50 -p tcp -m tcp --dport 3389 -j පිළිගන්න

ලඝු-සටහන් සබල කරන්න

සැකසීමේදී අවහිර කරන ලද පැකේජ නිරීක්ෂණය කිරීමට ලොග් සක්‍රීය කිරීම සහ අප දැනටමත් විවෘත කර ඇති බව පෙනෙන අවශ්‍ය සේවාවන් සඳහා ප්‍රවේශයක් නොමැති වන්නේ මන්දැයි සොයා බැලීම ප්‍රයෝජනවත් වේ. මම අවහිර කළ සියලුම පැකට් රථවාහන දිශාවට අනුරූප වන වෙනම දාම (block_in, block_out, block_fw) වෙත යවා ලඝු-සටහන් හි එක් එක් දිශාව සලකුණු කරමි. ඒ නිසා debriefing කිරීම වඩාත් පහසු වේ. සැකසුම් සුරැකීමට පෙර, ස්ක්‍රිප්ටයේ අවසානයට පහත නීති එක් කරන්න:

ඔබට /var/log/messages ගොනුව තුළ අවහිර කළ සියලුම පැකේජ නිරීක්ෂණය කළ හැක.

ඔබ වින්‍යාසය සම්පූර්ණ කළ පසු, ලොග් වීම අක්‍රිය කිරීමට මෙම රේඛා අදහස් දක්වන්න. ලඝු-සටහන් ඉතා ඉක්මනින් වර්ධනය වන බැවින් ඔබ මෙය අනිවාර්යයෙන්ම කළ යුතුය. එවැනි තොරතුරු ගබඩා කිරීමේ කිසිදු ප්‍රායෝගික තේරුමක් මා පෞද්ගලිකව නොදකිමි.

iptables අක්‍රිය කරන්නේ කෙසේද

ඔබට තවදුරටත් ෆයර්වෝලයක් අවශ්‍ය නොවන බව ඔබ හදිසියේම තීරණය කරන්නේ නම්, ඔබට එය පහත පරිදි අක්‍රිය කළ හැකිය:

# systemctl stop iptables.service

මෙම විධානය ෆයර්වෝලය නවත්වයි. සහ පහත දෑ ස්වයංක්‍රීය පූරණයෙන් ඉවත් කරයි:

# systemctl iptables.service අක්‍රිය කරන්න

ෆයර්වෝලය අක්‍රිය කිරීමෙන්, අපි සියලු සම්බන්ධතාවලට ඉඩ දුන්නෙමු.

නිගමනය

පොරොන්දු වූ පරිදි, අපි සලකා බැලූ ප්‍රධාන නීති මාලාව සමඟ මම නිමි පිටපතක් පළ කරමි

iptables සැකසීමේදී ඔබ අතිශයින්ම පරෙස්සම් විය යුතු බව නැවත වරක් ඔබේ අවධානයට යොමු කිරීමට මට අවශ්යය. ඔබට සේවාදායක කොන්සෝලයට ප්‍රවේශය නොමැති නම් මෙම ව්‍යාපාරය ආරම්භ නොකරන්න. මෙම ලිපිය ලියන අවස්ථාව වන විටත්, රීති වල ඇති හාස්‍යජනක දෝෂයක් හේතුවෙන් මට සේවාදායකයට ප්‍රවේශය අහිමි විය. පිටපත් කිරීම සහ ද්විත්ව ඉරක් නැතිවීම හේතුවෙන් මෙම දෝෂය ඇති විය - එය තනි එකක් මගින් ප්‍රතිස්ථාපනය විය.

OTUS හි Linux Administrator මාර්ගගත පාඨමාලාව. පා course මාලාව ආරම්භකයින් සඳහා නොවේ, ඇතුළත් වීමට ඔබට ජාල පිළිබඳ මූලික දැනුම අවශ්‍ය වේ ලිනක්ස් ස්ථාපනයඅතථ්‍යයට පුහුණුව මාස 5 ක් පවතින අතර ඉන් පසුව පාඨමාලාවේ සාර්ථක උපාධිධාරීන්ට හවුල්කරුවන් විසින් සම්මුඛ සාකච්ඡා කිරීමට හැකි වනු ඇත. මෙම පාඨමාලාව ඔබට ලබා දෙන දේ:

ලිනක්ස් ගෘහ නිර්මාණ ශිල්පය පිළිබඳ දැනුම.
වර්ධනය නවීන ක්රමසහ දත්ත විශ්ලේෂණය සහ සැකසීම සඳහා මෙවලම්.
අවශ්‍ය කාර්යයන් සඳහා වින්‍යාසයක් තෝරා ගැනීමේ හැකියාව, ක්‍රියාවලි කළමනාකරණය කිරීම සහ පද්ධති ආරක්ෂාව සහතික කිරීම.
පද්ධති පරිපාලකගේ මූලික වැඩ මෙවලම්වල ප්‍රවීණතාවය.
ලිනක්ස් පාදක ජාලවල යෙදවීම, වින්‍යාස කිරීම සහ නඩත්තු කිරීම අවබෝධ කර ගැනීම.
නැගී එන ගැටළු ඉක්මනින් විසඳීමට සහ පද්ධතියේ ස්ථාවර සහ බාධාවකින් තොරව ක්‍රියාකාරිත්වය සහතික කිරීමේ හැකියාව.

ඇතුල්වීමේ පරීක්ෂණයෙන් ඔබම පරීක්ෂා කර වැඩි විස්තර සඳහා වැඩසටහන බලන්න.

FirewallD යනු CentOS 7 සේවාදායකයන් මත පෙරනිමියෙන් ලබා ගත හැකි ෆයර්වෝල් කළමනාකරණ මෙවලමකි. එය මූලික වශයෙන් IPTables වටා එතුමක් වන අතර ෆයර්වෝල්-වින්‍යාස චිත්‍රක වින්‍යාස මෙවලමක් සහ විධාන රේඛාවෆයර්වෝල් cmd. IPtables සේවාව සමඟින්, සෑම වෙනස් කිරීමකටම පැරණි නීති මකා දැමීම සහ ගොනුවෙහි නව නීති නිර්මාණය කිරීම අවශ්‍ය වේ /etc/sysconfig/iptables`, ෆයර්වෝල්ඩ් සමඟ වෙනස්කම් පමණක් අදාළ වේ.

ෆයර්වෝල් කලාප

FirewallD Iptables හි නීති සහ දාම වෙනුවට සේවා සහ කලාප භාවිතා කරයි. පහත කලාප පෙරනිමියෙන් ලබා ගත හැකිය:

පහත වැටීම- පැමිණෙන සියලුම ජාල පැකට් කිසිදු ප්‍රතිචාරයක් නොමැතිව, පිටතට යන ඒවා පමණක් අතහරින්න ජාල සම්බන්ධතාඇත.
අවහිර කරන්න- icmp-host-තහනම් පණිවිඩයක් සමඟින් එන සියලුම ජාල පැකට් ප්‍රතික්ෂේප කරන්න, පිටතට යන ජාල සම්බන්ධතා පමණක් පවතී.
පොදු- පොදු ස්ථානවල භාවිතය සඳහා තෝරාගත් පැමිණෙන සම්බන්ධතා පමණක් පිළිගනු ලැබේ
බාහිර- වෙස් මුහුණු සහිත බාහිර ජාල සඳහා, තෝරාගත් පැමිණෙන සම්බන්ධතා පමණක් පිළිගනු ලැබේ.
dmz– DMZ, ප්‍රසිද්ධියේ ප්‍රවේශ විය හැකිය සීමිත ප්රවේශයඅභ්යන්තර ජාලයට, තෝරාගත් පැමිණෙන සම්බන්ධතා පමණක් පිළිගනු ලැබේ.
කාර්යය
ගෙදර– නිවෙස් කලාපයේ පරිගණක සඳහා, තෝරාගත් පැමිණෙන සම්බන්ධතා පමණක් පිළිගනු ලැබේ.
අභ්යන්තර- ඔබගේ අභ්‍යන්තර ජාලයේ පරිගණක සඳහා, තෝරාගත් එන සම්බන්ධතා පමණක් පිළිගනු ලැබේ.
විශ්වාස කළා- සියලුම ජාල සම්බන්ධතා පිළිගනු ලැබේ.

පවතින සියලුම කලාප ලැයිස්තුවක් ලබා ගැනීමට:

# firewall-cmd --get-zones work drop අභ්‍යන්තර බාහිර විශ්වාසනීය නිවස dmz පොදු වාරණ

පෙරනිමි කලාප ලැයිස්තුවක් බැලීමට:

# firewall-cmd --get-default-zone public

පෙරනිමි කලාපය වෙනස් කිරීමට:

ෆයර්වෝල් සේවා

FirewallD සේවා යනු ෆයර්වෝල්ඩ් සඳහා සේවා ප්‍රවේශය පිළිබඳ තොරතුරු සහිත XML වින්‍යාස ගොනු වේ. පවතින සියලුම සේවාවන් ලැයිස්තුවක් ලබා ගැනීමට:

# firewall-cmd --get-services amanda-Client amanda-k5-client bacula bacula-Client ceph ceph-mon dhcp dhcpv6 dhcpv6-Client dns docker-registry dropbox-lansync freeipa-ldap freeipa-ldaps-registry freeipa-ldapslicability http https imap imaps ipp ipp-client ipsec iscsi-Target kadmin kerberos kpasswd ldap ldaps libvirt libvirt-tls mdns mosh mountd ms-wbt mysql nfs ntp openvpn pmcd pmproxy pmwebapixpx ptp pulseaudio puppet master අරය rpc-bind rsyncd samba samba-Client sane smtp smtps snmp snmptrap squid ssh synergy syslog syslog-tls telnet tftp tftp-Client tinc tor-socks transmission-Client vdsm vnc-server xmppclient xmpppclsh - සේවාදායකය

XML වින්‍යාස ගොනු නාමාවලි වල ගබඩා කර ඇත /usr/lib/firewalld/services/සහ /etc/firewalld/services/.

FirewallD සමඟ ෆයර්වෝලයක් සැකසීම

උදාහරණයක් ලෙස, ඔබ වෙබ් සේවාදායකයක්, 7022 වරායේ SSH සහ තැපැල් සේවාදායකයක් ධාවනය කරන්නේ නම් FirewallD සමඟින් ෆයර්වෝලයක් සැකසිය හැකි ආකාරය මෙන්න.

මුලින්ම අපි DMZ සඳහා පෙරනිමි කලාපය සකසන්නෙමු.

# firewall-cmd --set-default-zone=dmz # firewall-cmd --get-default-zone dmz

DMZ හි HTTP සහ HTTPS සඳහා අඛණ්ඩ සේවා රීති එක් කිරීමට, පහත විධානය ක්‍රියාත්මක කරන්න:

# firewall-cmd --zone=dmz --add-service=http --permanent # firewall-cmd --zone=dmz --add-service=https --permanent

විවෘත වරාය 25 (SMTP) සහ වරාය 465 (SMTPS):

firewall-cmd --zone=dmz --add-service=smtp --permanent firewall-cmd --zone=dmz --add-service=smtps --ස්ථිර

විවෘත, IMAP, IMAPS, POP3 සහ POP3S වරායන්:

Firewall-cmd --zone=dmz --add-service=imap --permanent firewall-cmd --zone=dmz --add-service=imaps --permanent firewall-cmd --zone=dmz --add-service= pop3 --permanent firewall-cmd --zone=dmz --add-service=pop3s --permanent

SSH වරාය 7022 ලෙස වෙනස් කර ඇති බැවින්, අපි SSH සේවාව (වරාය 22) ඉවත් කර වරාය 7022 විවෘත කරන්නෙමු

firewall-cmd --remove-service=ssh --permanent firewall-cmd --add-port=7022/tcp --permanent

වෙනස්කම් ක්රියාත්මක කිරීම සඳහා, අපි ෆයර්වෝලය නැවත ආරම්භ කළ යුතුය:

Firewall-cmd --reload

අවසාන වශයෙන්, ඔබට නීති ලැයිස්තුගත කළ හැකිය.

FirewallD යනු CentOS 7 සේවාදායක මත පෙරනිමියෙන් ලබා ගත හැකි ෆයර්වෝල් කළමනාකරණ මෙවලමකි. එය මූලික වශයෙන් IPTables වටා එතුමක් වන අතර චිත්‍රක වින්‍යාස කිරීමේ මෙවලමක් වන firewall-config සහ විධාන රේඛා මෙවලමක් වන firewall-cmd සමඟ පැමිණේ. IPtables සේවාව සමඟින්, සෑම වෙනස් කිරීමකටම පැරණි නීති මකා දැමීම සහ ගොනුවෙහි නව නීති නිර්මාණය කිරීම අවශ්‍ය වේ /etc/sysconfig/iptables`, ෆයර්වෝල්ඩ් සමඟ වෙනස්කම් පමණක් අදාළ වේ.

ෆයර්වෝල් කලාප

පහත වැටීම- කිසිදු ප්‍රතිචාරයක් නොමැතිව පැමිණෙන සියලුම ජාල පැකට් අතහරින්න, පිටතට යන ජාල සම්බන්ධතා පමණක් තිබේ.
අවහිර කරන්න- icmp-host-තහනම් පණිවිඩයක් සමඟින් එන සියලුම ජාල පැකට් ප්‍රතික්ෂේප කරන්න, පිටතට යන ජාල සම්බන්ධතා පමණක් පවතී.
පොදු- පොදු ස්ථානවල භාවිතය සඳහා තෝරාගත් පැමිණෙන සම්බන්ධතා පමණක් පිළිගනු ලැබේ
බාහිර- වෙස් මුහුණු සහිත බාහිර ජාල සඳහා, තෝරාගත් පැමිණෙන සම්බන්ධතා පමණක් පිළිගනු ලැබේ.
dmz– DMZ, අභ්‍යන්තර ජාලයට සීමිත ප්‍රවේශයක් සමඟ ප්‍රසිද්ධියේ ප්‍රවේශ විය හැකි, තෝරාගත් එන සම්බන්ධතා පමණක් පිළිගනු ලැබේ.
කාර්යය
ගෙදර– නිවෙස් කලාපයේ පරිගණක සඳහා, තෝරාගත් පැමිණෙන සම්බන්ධතා පමණක් පිළිගනු ලැබේ.
අභ්යන්තර- ඔබගේ අභ්‍යන්තර ජාලයේ පරිගණක සඳහා, තෝරාගත් එන සම්බන්ධතා පමණක් පිළිගනු ලැබේ.
විශ්වාස කළා- සියලුම ජාල සම්බන්ධතා පිළිගනු ලැබේ.

පවතින සියලුම කලාප ලැයිස්තුවක් ලබා ගැනීමට:

# firewall-cmd --get-zones work drop අභ්‍යන්තර බාහිර විශ්වාසනීය නිවස dmz පොදු වාරණ

පෙරනිමි කලාප ලැයිස්තුවක් බැලීමට:

# firewall-cmd --get-default-zone public

පෙරනිමි කලාපය වෙනස් කිරීමට:

ෆයර්වෝල් සේවා

XML වින්‍යාස ගොනු නාමාවලි වල ගබඩා කර ඇත /usr/lib/firewalld/services/සහ /etc/firewalld/services/.

FirewallD සමඟ ෆයර්වෝලයක් සැකසීම

මුලින්ම අපි DMZ සඳහා පෙරනිමි කලාපය සකසන්නෙමු.

# firewall-cmd --set-default-zone=dmz # firewall-cmd --get-default-zone dmz

DMZ හි HTTP සහ HTTPS සඳහා අඛණ්ඩ සේවා රීති එක් කිරීමට, පහත විධානය ක්‍රියාත්මක කරන්න:

# firewall-cmd --zone=dmz --add-service=http --permanent # firewall-cmd --zone=dmz --add-service=https --permanent

විවෘත වරාය 25 (SMTP) සහ වරාය 465 (SMTPS):

firewall-cmd --zone=dmz --add-service=smtp --permanent firewall-cmd --zone=dmz --add-service=smtps --ස්ථිර

විවෘත, IMAP, IMAPS, POP3 සහ POP3S වරායන්:

firewall-cmd --remove-service=ssh --permanent firewall-cmd --add-port=7022/tcp --permanent

වෙනස්කම් ක්රියාත්මක කිරීම සඳහා, අපි ෆයර්වෝලය නැවත ආරම්භ කළ යුතුය:

Firewall-cmd --reload

අවසාන වශයෙන්, ඔබට නීති ලැයිස්තුගත කළ හැකිය.

CentoOS 7 සමඟින් පටන් ගෙන, රථවාහන පෙරීමේ නීති වින්‍යාස කිරීමට නව මෙවලමක් දර්ශනය වී ඇත ෆයර්වෝල්ඩ්. iptables නීති කළමනාකරණය කිරීමට එය භාවිතා කිරීම රෙකමදාරු කරනු ලැබේ. CentOS 8 දැන් සම්මත iptables පෙරීමේ පැකේජය වෙනුවට nftables රාමුව භාවිතා කරයි, ඔබ ෆයර්වෝල්ඩ් හරහා ෆයර්වෝල් රීති වින්‍යාස කරන විට, ඔබ ඇත්ත වශයෙන්ම nftables වින්‍යාස කරයි. මෙම ලිපියෙන්, අපි CentOS 8 ධාවනය වන සේවාදායකයක් මත ෆයර්වෝල්ඩ් ස්ථාපනය, මූලික සංකල්ප සහ වින්‍යාස කිරීම හරහා ගමන් කරමු (එය CentOS 7 හිද එසේමය).

ෆයර්වෝල් ඩී- ගතික රීති කළමනාකරණය (නැවත ආරම්භ කිරීමකින් තොරව) සහ අඛණ්ඩ ෆයර්වෝල් නීති ක්‍රියාත්මක කිරීම සඳහා සහය ඇතිව අනවශ්‍ය ගමනාගමනයෙන් සේවාදායකය ආරක්ෂා කිරීම සඳහා ෆයර්වෝලයක්. සහ nftables සඳහා ඉදිරිපස ලෙස ක්‍රියා කරයි. FirewallD සියලුම Linux බෙදාහැරීම් මත පාහේ භාවිතා කළ හැක.

මූලික ෆයර්වෝල්ඩ් සංකල්ප, කලාප සහ නීති

ස්ථාපනය සහ වින්යාසය සමඟ ඉදිරියට යාමට පෙර ෆයර්වෝල්ඩ්, විශ්වාසයේ මට්ටම තීරණය කිරීම සඳහා භාවිතා කරන කලාප සංකල්පය සමඟ අපි දැන හඳුනා ගනිමු විවිධ සංයෝග. විවිධ කලාප සඳහා ෆයර්වෝල්ඩ්ඔබට විවිධ පෙරීමේ නීති යෙදිය හැක, සඳහන් කරන්න ක්රියාකාරී විකල්පෆයර්වෝල් පූර්ව නිශ්චිත සේවා, ප්‍රොටෝකෝල සහ වරායන්, වරාය ඉදිරියට යැවීම සහ පොහොසත් රීති ආකාරයෙන්.

ෆයර්වෝල්ඩ්කලාපයට අදාළ නීති මත පදනම්ව, කලාප අනුව පැමිණෙන ගමනාගමනය පෙරහන් කරයි. නම් IP- ඉල්ලීම යවන්නාගේ ලිපිනය කලාපයක රීති වලට ගැලපේ, එවිට පැකට්ටුව මෙම කලාපය හරහා යවනු ලැබේ. ලිපිනය සේවාදායකයේ වින්‍යාස කර ඇති කිසිදු කලාපයකට නොගැලපේ නම්, පැකට්ටුව පෙරනිමි කලාපයෙන් සකසනු ලැබේ. ස්ථාපනය කරන විට ෆයර්වෝල්ඩ්පෙරනිමි කලාපය ලෙස හැඳින්වේ පොදු.

firewalld සතුව විවිධ සේවාවන් සඳහා අවසර දැනටමත් පෙර-වින්‍යාස කර ඇති කලාප ඇත. ඔබට මෙම සැකසුම් භාවිතා කිරීමට හෝ ඔබේම කලාප නිර්මාණය කිරීමට හැකිය. ෆයර්වෝල්ඩ් ස්ථාපනය කිරීමේදී සාදනු ලබන පෙරනිමි කලාප ලැයිස්තුව (/usr/lib/firewalld/zones/ බහලුම තුළ ගබඩා කර ඇත):

පහත වැටීම	විශ්වාසයේ අවම මට්ටම. ප්‍රතිචාරයක් නොමැතිව පැමිණෙන සියලුම සම්බන්ධතා අවහිර කර ඇත, පිටතට යන සම්බන්ධතා වලට පමණක් අවසර ඇත;
අවහිර කරන්න	කලාපය පෙර එකට සමාන වේ, නමුත් එන ඉල්ලීම් ප්‍රතික්ෂේප කරන විට, Ipv4 සඳහා icmp-host-තහනම් පණිවිඩයක් යවනු ලැබේ හෝ Ipv6 සඳහා icmp6-adm-තහනම් කර ඇත;
පොදු	පොදු, විශ්වාස නොකළ ජාල නියෝජනය කරයි. ඔබට තනි පදනමක් මත තෝරාගත් පැමිණෙන සම්බන්ධතාවලට ඉඩ දිය හැකිය;
බාහිර	ෆයර්වෝලයක් ද්වාරයක් ලෙස භාවිතා කරන විට බාහිර ජාල. එය NAT වෙස් ගැන්වීමට වින්‍යාස කර ඇති නිසා ඔබේ අභ්‍යන්තර ජාලය පුද්ගලිකව පවතින නමුත් ප්‍රවේශ විය හැකිය;
අභ්යන්තර	බාහිර කලාපය සඳහා විරුද්ධ පදය. සත්කාරක සමාගමට ප්‍රමාණවත් මට්ටමේ විශ්වාසයක් ඇත, අමතර සේවා ගණනාවක් තිබේ;
dmz	DMZ හි පිහිටා ඇති පරිගණක සඳහා භාවිතා වේ (ජාලයේ ඉතිරි කොටසට ප්රවේශය නොමැතිව හුදකලා පරිගණක). සමහර එන සම්බන්ධතා වලට පමණක් අවසර ඇත;
කාර්යය	වැඩ කරන යන්ත්ර සඳහා කලාපය (ජාලයේ බොහෝ පරිගණක විශ්වාසදායකය);
ගෙදර	ගෘහ ජාල කලාපය. බොහෝ පරිගණක විශ්වාස කළ හැකි නමුත්, සහය දක්වන්නේ ඇතැම් ලැබෙන සම්බන්ධතා සඳහා පමණි;
විශ්වාස කළා	ජාලයේ සියලුම යන්ත්‍ර විශ්වාස කරන්න. පවතින සියලුම විකල්ප වලින් වඩාත්ම විවෘත, සවිඥානික භාවිතය අවශ්ය වේ.

තුල ෆයර්වෝල්ඩ්නීති දෙකක් භාවිතා වේ - ස්ථිර සහ තාවකාලික. සේවාදායකය නැවත ආරම්භ වන තෙක් තාවකාලික නීති ක්‍රියා කරයි. පෙරනිමියෙන්, නීති එකතු කරන විට ෆයර්වෝල්ඩ්, නීති තාවකාලික ලෙස සලකනු ලැබේ ( ධාවන කාලය) ස්ථිර පදනමක් මත රීතියක් එකතු කිරීම සඳහා, ඔබ ධජය භාවිතා කළ යුතුය - ස්ථිර. සේවාදායකය නැවත ආරම්භ කිරීමෙන් පසුව එවැනි නීති ක්රියාත්මක වේ.

CentOS මත ෆයර්වෝල්ඩ් ස්ථාපනය කිරීම සහ සක්‍රීය කිරීම

CentOS 7/8 හි, OS සමඟ ෆයර්වෝල්ඩ් පෙරනිමියෙන් ස්ථාපනය කර ඇත. ඔබ එය ඉවත් කර ෆයර්වෝල්ඩ් ස්ථාපනය කිරීමට අවශ්‍ය නම්, ඔබට සම්මත / dnf කළමනාකරු භාවිතා කළ හැකිය:

Centos 7 සඳහා # yum firewalld -y - ස්ථාපනය කරන්න
Centos 8 සඳහා # dnf firewalld -y - ස්ථාපනය කරන්න

යක්ෂයාට ෆයර්වෝල්ඩ්සේවාදායකයේ ආරම්භයත් සමඟ ස්වයංක්‍රීයව ආරම්භ විය, ඔබ එය එකතු කළ යුතුය:

# systemctl ෆයර්වෝල්ඩ් සක්‍රීය කරන්න

සහ ධාවනය කරන්න:

# systemctl ෆයර්වෝල්ඩ් ආරම්භ කරන්න

සේවා තත්ත්වය පරීක්ෂා කරන්න:

# systemctl තත්ත්‍වය ෆයර්වෝල්ඩ්

● firewalld.service - firewalld - ඩයිනමික් ෆයර්වෝල් ඩීමන් පටවා ඇත: පටවා ඇත (/usr/lib/systemd/system/firewalld.service; enabled; vendor preset: enabled) සක්‍රිය: සක්‍රීය (ධාවනය) 2019-10-14 සඳුදා සිට 14:54 :40 +06; තත්පර 22කට පෙර Docs: man:firewalld(1) Main PID: 13646 (firewalld) CGroup: /system.slice/firewalld.service └─13646 /usr/bin/python2 -Es /usr/sbin/firewalld --nopidk --nofor ඔක් 14 14:54:40 server.vpn.ru systemd: ෆයර්වෝල්ඩ් ආරම්භ කිරීම - ඩයිනමික් ෆයර්වෝල් ඩීමන්... ඔක් 14 14:54:40 server.vpn.ru systemd: ආරම්භ කරන ලද ෆයර්වෝල්ඩ් - ගතික ෆයර්වෝල් ඩීමන්.

හෝ විධානය:

# firewall-cmd --state

firewall-cmd විධානය යනු nftables/iptables සඳහා වන ෆයර්වෝල්ඩ් ඉදිරිපස වේ.

# firewall-cmd --state

ෆයර්වෝල්ඩ් නීති සමඟ වැඩ කිරීම

පෙරනිමි රීති:

ෆයර්වෝල්ඩ් නීති වින්‍යාස කිරීමට පෙර, ඔබ පෙරනිමි කලාපය කුමක්දැයි පරීක්ෂා කළ යුතුය:

# firewall-cmd --get-default-zone

අපි දැන් ෆයර්වෝල්ඩ් ස්ථාපනය කර ඇති අතර එය තවම වින්‍යාස කර නොමැති නිසා, අපට පෙරනිමි කලාපයක් ඇත පොදු.

අපි ක්රියාකාරී කලාපය පරීක්ෂා කරමු. එය ද එකකි - පොදු:

# firewall-cmd --get-active-zones

පොදු අතුරුමුහුණත්: eth0

ඔබට පෙනෙන පරිදි, eth0 ජාල අතුරුමුහුණත කලාපය මගින් පාලනය වේ පොදු.

සක්‍රිය කලාප නීති බැලීමට, ටයිප් කරන්න:

# firewall-cmd --list-all

පොදු (ක්‍රියාකාරී) ඉලක්කය: පෙරනිමි icmp-block-inversion: අතුරුමුහුණත් නැත: eth0 මූලාශ්‍ර: සේවා: dhcpv6-Client ssh ports: protocols: masquerade: no forward-ports: source-ports: icmp-blocks: පොහොසත් නීති:

ලැයිස්තුගත කිරීමෙන්, DHCP සේවාලාභියා සහ ssh සම්බන්ධ සුපුරුදු මෙහෙයුම් මෙම කලාපයට එකතු කර ඇති බව ඔබට පෙනේ.

පවතින කලාප

සියලුම කලාප ලැයිස්තුවක් බැලීමට, ඔබ විධානය ක්‍රියාත්මක කළ යුතුය:

# firewall-cmd --get-zones

මට මේ ලැයිස්තුව ලැබුණා:

Block dmz drop external home අභ්‍යන්තර මහජන විශ්වාසනීය වැඩ

නිශ්චිත කලාපයක නීති පරීක්ෂා කිරීම සඳහා, ඔබ ධජය - කලාපය එකතු කළ යුතුය.

# firewall-cmd --zone=home --list-all

මුල් පිටුව ඉලක්කය: default icmp-block-inversion: අතුරුමුහුණත් නැත: sources: services: dhcpv6-client mdns samba-Client ssh ports: protocols: masquerade: no forward-ports: source-ports: icmp-blocks: පොහොසත් නීති:

සියලුම කලාපවල නීති රීති විධානය සමඟ නැරඹිය හැකිය:

# firewall-cmd --list-all-zones

බොහෝ කලාප තිබිය හැකි බැවින් ලැයිස්තුගත කිරීම තරමක් විශාල වනු ඇත.

පෙරනිමි කලාපය වෙනස් කරන්න.

සියල්ල පෙරනිමියෙන් ජාල අතුරුමුහුණත්කලාපයේ පිහිටා ඇත පොදු, නමුත් ඒවා විධානය සමඟ ඕනෑම කලාපයකට මාරු කළ හැකිය:

# firewall-cmd --zone=home -change-interface=eth0

පරාමිතිය පසු --zone=අපේක්ෂිත කලාපය සඳහන් කරන්න.

පෙරනිමි කලාපය වෙනස් කිරීම සඳහා, ඔබ විධානය භාවිතා කළ යුතුය:

# firewall-cmd --set-default-zone=නිවස

යෙදුම් නීති එකතු කරන්න

යෙදුමක් සඳහා වරායක් විවෘත කිරීමට, ඔබට ව්‍යතිරේක සඳහා සේවාවක් එක් කළ හැකිය. පවතින සේවා ලැයිස්තුව:

නිමැවුමේ සේවා විශාල ප්‍රමාණයක් අඩංගු වේ. විස්තරාත්මක තොරතුරුසේවාව ගැන එහි අඩංගු වේ xmlගොනුව. මෙම ගොනු නාමාවලියෙහි පිහිටා ඇත /usr/lib/firewalld/services.

උදාහරණ වශයෙන්:

# cd /usr/lib/firewalld/services

තැපෑල (SMTP) මෙම විකල්පය පැමිණීමට ඉඩ සලසයි SMTP තැපෑලබෙදා හැරීම. තැපැල් බෙදා හැරීම සඳහා දුරස්ථ ධාරකයන්ට ඔබේ යන්ත්‍රයට සෘජුවම සම්බන්ධ වීමට ඉඩ දීමට ඔබට අවශ්‍ය නම්, මෙම විකල්පය සක්‍රීය කරන්න. ඔබ POP3 හෝ IMAP මගින් ඔබගේ ISP සේවාදායකයෙන් ඔබගේ තැපෑල එකතු කරන්නේ නම් හෝ ඔබ ෆෙච්මේල් වැනි මෙවලමක් භාවිතා කරන්නේ නම් ඔබට මෙය සක්‍රීය කිරීමට අවශ්‍ය නොවේ. වැරදි ලෙස වින්‍යාස කර ඇති SMTP බව සලකන්න. සේවාදායකයට හැකඅයාචිත තැපැල් යැවීමට ඔබගේ සේවාදායකය භාවිතා කිරීමට දුරස්ථ යන්ත්‍රවලට ඉඩ දෙන්න.

XML ගොනුවේ සේවාවේ විස්තරය, ප්‍රොටෝකෝලය සහ ෆයර්වෝල්ඩ් හි විවෘත කෙරෙන වරාය අංකය අඩංගු වේ.

රීති එකතු කරන විට, ඔබට පරාමිතිය භාවිතා කළ හැකිය --එකතු-සේවාවනිශ්චිත සේවාවක් ලබා දීමට:

# firewall-cmd --zone=public --add-service=http

# firewall-cmd --zone=public --add-service=https

නීති එකතු කිරීමෙන් පසු, නිශ්චිත කලාපයට සේවාවන් එකතු කර ඇත්දැයි ඔබට පරීක්ෂා කළ හැකිය:

# firewall-cmd --zone=public --list-services

dhcpv6-Client http https ssh

ඔබට මෙම නීති ස්ථීර කිරීමට අවශ්‍ය නම්, එකතු කිරීමේදී පරාමිතිය එකතු කළ යුතුය -ස්ථිර.

කලාපයකින් සේවාවක් ඉවත් කිරීමට:

# firewall-cmd --permanent --zone=public --remove-service=http

dhcpv6-Client https ssh පරීක්ෂණය

ඔබට ඔබේ සේවාව ව්‍යතිරේකවලට එක් කිරීමට අවශ්‍ය නම්, ඔබට ගොනුවක් සෑදිය හැක xmlඔබම එය පුරවන්න. ඔබට ඕනෑම සේවාවකින් දත්ත පිටපත් කළ හැකිය, නම, විස්තරය සහ වරාය අංකය වෙනස් කරන්න.

අපි ගොනුව පිටපත් කරමු smtp.xmlපරිශීලක සේවා සමඟ වැඩ කිරීම සඳහා නාමාවලිය වෙත:

# cp /usr/lib/firewalld/services/smtp.xml /etc/firewalld/services

ගොනුවේ ඇති සේවාවේ විස්තරය වෙනස් කරන්න.

මා xml ගොනුවඔබගේ සේවා නාමයෙන් පසුව නැවත නම් කළ යුතුය. ඊට පසු, ඔබ ෆයර්වෝල්ඩ් නැවත ආරම්භ කළ යුතු අතර අපගේ සේවාව ලැයිස්තුවේ තිබේදැයි පරීක්ෂා කරන්න:

මම සේවයට කතා කළා පරීක්ෂණයසහ එය ලැයිස්තුවේ දිස් විය:

syslog-tls telnet test tftp

දැන් ඔබට ඕනෑම කලාපයකට සාදන ලද සේවාව එක් කළ හැකිය:

# firewall-cmd --zone=පොදු --add-service=පරීක්ෂණ --ස්ථිර

# firewall-cmd --zone=public --permanent --list-services

dhcpv6-Client http https ssh පරීක්ෂණය

ලැයිස්තුවේ ඔබට අවශ්‍ය සේවාව ඔබ සොයා නොගත්තේ නම්, ඔබට විධානය සමඟ ෆයර්වෝල්ඩ් හි අපේක්ෂිත වරාය විවෘත කළ හැකිය:

# firewall-cmd --zone=public -add-port=77/tcp - open port 77 tcp
# firewall-cmd --zone=public -add-port=77/udp - open port 77 udp
# firewall-cmd --zone=public -add-port=77-88/udp - විවෘත වරාය පරාසය 77-88 udp
# firewall-cmd --zone=public -list-ports - අවසර ලත් වරායන් ලැයිස්තුව පරීක්ෂා කරන්න

ICMP ප්‍රතිචාර අවහිර කරන්න/ඉඩ දෙන්න:

# firewall-cmd --zone=පොදු --add-icmp-block=echo-පිළිතුර
# firewall-cmd --zone= public --remove-icmp-block=echo-reply

එකතු කළ වරාය මකන්න:

# firewall-cmd --zone=public -remove-port=77/udp - තාවකාලික රීතිය ඉවත් කරන්න 77 udp

# firewall-cmd --permanent --zone=public -remove-port=77/udp - ස්ථිර රීතිය ඉවත් කරන්න

අභිරුචි කලාප එකතු කිරීම

ඔබට ඔබේම කලාපයක් නිර්මාණය කළ හැකිය (මම එය අමතන්නෙමි අපගේ):

# firewall-cmd --permanent --new-zone=අපගේ

නව කලාපයක් නිර්මාණය කිරීමෙන් පසුව මෙන්ම සේවාවක් නිර්මාණය කිරීමෙන් පසු නැවත ආරම්භ කිරීම අවශ්ය වේ ෆයර්වෝල්ඩ්:

# firewall-cmd --reload

# firewall-cmd --get-zones

Block dmz drop external home අභ්‍යන්තරය අපගේ මහජන විශ්වාසනීය කාර්යය

කලාපය අපගේඇත. ඔබට එයට සේවා එකතු කිරීමට හෝ ඇතැම් වරායන් විවෘත කිරීමට හැකිය.

ෆයර්වෝල්ඩ්: IP ලිපින අවහිර කිරීම, ව්‍යතිරේක නිර්මාණය කිරීම

ඔබට විශ්වාසදායී IP ලිපින ෆයර්වෝල්ඩ් ව්‍යතිරේකවලට එක් කිරීමට හෝ අනවශ්‍ය ඒවා අවහිර කිරීමට හැකිය.

විශේෂිත ව්යතිරේක එකතු කිරීමට IP ලිපිනය(උදා. 8.8.8.8) හරහා ඔබේ සේවාදායකයේ ෆයර්වෝල්ඩ්, විධානය භාවිතා කරන්න:

# firewall-cmd --zone=public --add-rich-rule="rule family="ipv4" source address="8.8.8.8" accept"

ප්රදේශය පරීක්ෂා කර වග බලා ගන්න IPපොහොසත් නීති වල ව්යතිරේකවලට එකතු කර ඇත:

පොදු (ක්‍රියාකාරී) ඉලක්කය: පෙරනිමි icmp-block-ප්‍රතිලෝම: අතුරුමුහුණත් නැත: eth0 මූලාශ්‍ර: සේවා: dhcpv6-Client http https ssh පරීක්ෂණ වරාය: ප්‍රොටෝකෝල: වෙස් මුහුණ: ඉදිරියට-වරාය නැත: මූලාශ්‍ර-වරාය: icmp-blocks: පොහොසත් නීති: රීතිය පවුල = "ipv4" මූලාශ්‍ර ලිපිනය = "8.8.8.8" පිළිගන්න

අවහිර කිරීමට IP, ප්රතිස්ථාපනය කිරීමට අවශ්ය වේ පිළිගන්නවාමත ප්රතික්ෂේප කරනවා:

# firewall-cmd --zone=public --add-rich-rule="rule family="ipv4" මූලාශ්‍ර ලිපිනය="8.8.4.4" ප්‍රතික්ෂේප කරන්න"

# firewall-cmd --zone=public --list-all

පොදු (ක්‍රියාකාරී) ඉලක්කය: පෙරනිමි icmp-block-ප්‍රතිලෝම: අතුරුමුහුණත් නැත: eth0 මූලාශ්‍ර: සේවා: dhcpv6-Client http https ssh පරීක්ෂණ වරාය: ප්‍රොටෝකෝල: වෙස් මුහුණ: ඉදිරියට-වරාය නැත: මූලාශ්‍ර-වරාය: icmp-blocks: පොහොසත් නීති: රීති පවුල = "ipv4" මූලාශ්‍ර ලිපිනය = "8.8.8.8" රීතිය පිළිගන්නවා පවුල = "ipv4" මූලාශ්‍ර ලිපිනය = "8.8.4.4" ප්‍රතික්ෂේප කරන්න

ඔබට නිශ්චිත IP ලිපිනයකින් ඉල්ලීම් සඳහා පමණක් නිශ්චිත සේවාවකට අවසර දිය හැක:

#firewall-cmd --permanent --add-rich-rule "rule family="ipv4" source address="10.10.1.0/24" service name="https" accept"

ඔබට පොදුවේ සේවාදායකයට වන සියලුම ඉල්ලීම් අවහිර කිරීමට හදිසි අවශ්‍ය නම්, පැනික් විධානය භාවිතා කරන්න:

# firewall-cmd --panic-on

විධානය සමඟින් ඔබට භීතිකාව ප්‍රකාරය අක්‍රිය කළ හැකිය:

# firewall-cmd --panic-off

නැතහොත් සේවාදායකය නැවත ආරම්භ කිරීමෙන්.

ඔබට ෆයර්වෝල්ඩ් වින්‍යාසය අගුළු දැමිය හැකි අතර එමඟින් ප්‍රාදේශීය සේවාවන් සමඟ මූල ලෙසඔබ නිර්මාණය කළ ෆයර්වෝල් නීති වෙනස් කළ නොහැක:

# firewall-cmd --lockdown-on

අගුළු ප්‍රකාරය අබල කරන්න:

# firewall-cmd --lockdown-off