Palomuuri tarjoaa tavan määrittää dynaamiset palomuurisäännöt Linuxissa, joita voidaan soveltaa välittömästi ilman palomuurin uudelleenkäynnistyksen tarve ja se tukee myös D-BUS- ja vyöhykekonsepteja, jotka tekevät konfiguroinnin helppo.
Palomuuri korvasi vanhan Fedoran palomuurin (Fedora 18 eteenpäin) RHEL/CentOS 7 ja muut uusimmat jakelut tukeutuvat tähän uuteen mekanismiin. Yksi uuden palomuurijärjestelmän käyttöönoton suurimmista motiiveista on, että vanha palomuuri tarvitsee uudelleenkäynnistyksen jokaisen muutoksen jälkeen, mikä katkaisee kaikki aktiiviset yhteydet. Kuten edellä mainittiin, uusin palomuuri tukee dynaamisia vyöhykkeitä, mikä on hyödyllistä konfiguroinnissa erilaisia vyöhykkeitä ja sääntöjä toimistollesi tai kotiverkollesi komentorivin tai graafisen käyttöliittymän kautta menetelmä.
Aluksi palomuurikonseptin näyttäminen on erittäin vaikeaa, mutta palvelut ja vyöhykkeet helpottavat pitämällä molemmat yhdessä tässä artikkelissa kuvatulla tavalla.
Aikaisemmassa artikkelissamme, jossa olemme nähneet kuinka pelata palomuurilla ja sen vyöhykkeillä, nyt täällä, tässä artikkelissa näemme hyödyllisiä palomuurisääntöjä nykyisten Linux -järjestelmien määrittämiseksi komentorivin avulla tapa.
Kaikki tässä artikkelissa käsitellyt esimerkit testataan käytännössä CentOS 7 jakelu, ja toimii myös RHEL- ja Fedora -jakeluissa.
Ennen palomuurisääntöjen käyttöönottoa, tarkista ensin, onko palomuuripalvelu käytössä ja käynnissä.
# systemctl status palomuuri.
Yllä oleva kuva osoittaa, että palomuuri on aktiivinen ja käynnissä. Nyt on aika tarkistaa kaikki aktiiviset vyöhykkeet ja aktiiviset palvelut.
# palomuuri-cmd --get-active-zone. # palomuuri-cmd --get-services.
Jos incase, et tunne komentoriviä, voit myös hallita palomuuria GUI: sta Tämä edellyttää, että järjestelmään on asennettu graafinen käyttöliittymäpaketti, jos et asenna sitä seuraavalla tavalla komento.
# yum install firewalld firewall-config.
Kuten edellä mainittiin, tämä artikkeli on erityisesti kirjoitettu komentorivin ystäville ja kaikki esimerkit, joita aiomme käsitellä, perustuvat vain komentoriville, ei GUI -tapaa... anteeksi… ..
Ennen kuin siirryt pidemmälle, varmista ensin, millä julkisella vyöhykkeellä aiot määrittää Linux -palomuurin, ja luetteloi kaikki aktiiviset palvelut, portit, julkisen vyöhykkeen rikasäännöt seuraavan komennon avulla.
# palomuuri-cmd --zone = public-list-all.
Yllä olevassa kuvassa ei ole vielä lisätty aktiivisia sääntöjä, katsotaan kuinka lisätä, poistaa ja muokata sääntöjä tämän artikkelin loppuosassa ...
Voit avata minkä tahansa julkisen alueen portin käyttämällä seuraavaa komentoa. Esimerkiksi seuraava komento avaa portin 80 julkiselle vyöhykkeelle.
# palomuuri-cmd --permanent --zone = public --add-port = 80/tcp.
Samoin voit poistaa lisätyn portin käyttämällä "-Poista'Vaihtoehto palomuurikomennolla, kuten alla on esitetty.
# palomuuri-cmd --zone = public --remove-port = 80/tcp.
Kun olet lisännyt tai poistanut tiettyjä portteja, varmista, onko portti lisätty tai poistettu käyttämällä–List-portit’Vaihtoehto.
# palomuuri-cmd --zone = public --list-portit.
Palomuuri sisältää oletusarvoisesti ennalta määritetyt palvelut, jos haluat lisätä luettelon tietyistä palveluista, sinun on luotava uusi xml tiedosto, jossa on kaikki tiedostossa olevat palvelut, tai voit myös määrittää tai poistaa kunkin palvelun manuaalisesti suorittamalla seuraavat komentoja.
Esimerkiksi seuraavat komennot auttavat sinua lisäämään tai poistamaan tiettyjä palveluita, kuten teimme FTP: lle tässä esimerkissä.
# palomuuri-cmd --zone = public --add-service = ftp. # palomuuri-cmd --zone = public --remove-service = ftp. # palomuuri-cmd --zone = public --list-services.
Jos haluat estää saapuvat tai lähtevät yhteydet, sinun on käytettäväpaniikki-Tila estää tällaiset pyynnöt. Esimerkiksi seuraava sääntö katkaisee järjestelmän olemassa olevan yhteyden.
# palomuuri-cmd --panic-on.
Kun olet ottanut paniikkitilan käyttöön, yritä pingata mitä tahansa verkkotunnusta (esim google.com) ja tarkista, onko paniikkitila käytössä PÄÄLLÄ käyttämällä '-kysely-paniikki'Vaihtoehto, kuten alla luetellaan.
# ping google.com -c 1. # palomuuri-cmd --kysely-paniikki.
Näetkö yllä olevassa kuvassa paniikkikyselyn "Tuntematon isäntä google.com“. Yritä nyt poistaa paniikkitila käytöstä ja ping sitten uudelleen.
# palomuuri-cmd --kysely-paniikki. # palomuuri-cmd-panic-off. # ping google.com -c 1.
Tällä kertaa google.com lähettää ping -pyynnön.