Mrežni filter saj vsi vemo, da je požarni zid v Linuxu. Firewalld je dinamičen demon za upravljanje požarnih zidov s podporo za omrežna območja. V prejšnji različici je RHEL & CentOS 6 smo uporabljali iptables kot demon za okvir za filtriranje paketov. V RHEL/CentOS 7/8, Fedora in openSUSE - rong> vmesnik iptables se nadomešča z firewalld.
Priporočljivo je, da začnete uporabljati Firewalld namesto iptables saj se to lahko v prihodnosti prekine. Vendar pa iptables so še vedno podprte in jih je mogoče namestiti z yum ukaz. Ne moremo obdržati Firewalld in iptables oba v istem sistemu, kar lahko vodi v konflikt.
V iptables, smo uporabljali za konfiguracijo kot VHODNE, IZHODNE IN NAPREJ VERIGE ampak tukaj noter Firewalld, uporablja koncept Območja. V firewalldu so privzeto na voljo različna območja, o katerih bomo razpravljali v tem članku.
Osnovne cone, ki so podobne javno cono in zasebno cono. Če želimo, da se s temi območji vse uredi, moramo dodati vmesnik s podporo za območja, nato pa lahko storitve dodamo v firewalld.
Privzeto je na voljo veliko storitev, ena najboljših lastnosti firewalld je, prihaja z vnaprej določenimi storitvami in te storitve lahko vzamemo kot primer za dodajanje naših storitev, tako da jih preprosto kopiramo.
Firewalld odlično sodeluje z IPv4, IPv6, in Ethernetni mostovi tudi. V firewalldu imamo lahko ločeno čas izvajanja in trajno konfiguracijo.
Začnimo o tem, kako delati z območji in ustvariti lastne storitve ter veliko bolj razburljivo uporabo firewalla.
Operacijski sistem: Izdaja CentOS Linux 7.0.1406 (jedro) IP naslov: 192.168.0.55. Ime gostitelja: server1.tecmintlocal.com.
1.Firewalld paket je privzeto nameščen v RHEL/CentOS 7/8, Fedora in openSUSE. Če ne, ga lahko namestite na naslednji način yum ukaz.
# yum install firewalld -y.
2. Po firewalld je paket nameščen, čas je, da preverite, ali je iptables storitev teče ali ne, če se izvaja, morate ustaviti in maskirati (ne uporabljati več) storitev iptables s spodnjimi ukazi.
# iptables statusa systemctl. # systemctl ustavi iptables. # systemctl mask iptables.
3. Preden se odpravim na konfiguracijo firewallda, bi rad razpravljal o vsakem območju. Privzeto je na voljo nekaj območij. Območju moramo dodeliti vmesnik. Območje opredeljuje območje, ki je zaupalo ali zavrnilo raven vmesnika za vzpostavitev povezave. Območje lahko vsebuje storitve in vrata.
Tukaj bomo opisali vsa območja, ki so na voljo v Firewalldu.
Zdaj imate boljšo predstavo o conah, zdaj pa poiščimo razpoložljiva območja, privzeta območja in seznam vseh območij z naslednjimi ukazi.
# požarni zid-cmd --get-cone.
# firewall-cmd --get-default-zone.
# požarni zid-cmd --list-vse-cone.
Opomba: Izhod zgornjega ukaza ne bo ustrezal eni strani, saj bodo naštete vse cone, kot so blok, dmz, drop, zunanje, domače, notranje, javno, zaupanja vredno in službeno. Če imajo območja kakršna koli bogata pravila, bodo naštete tudi omogočene storitve ali vrata s temi podatki o območjih.
4. Če želite privzeto območje nastaviti kot notranje, zunanje, spustno, delovno ali katero koli drugo, lahko uporabite spodnji ukaz za nastavitev privzetega območja. Tukaj uporabljamo »notranji”Privzeto.
# požarni zid-cmd --set-default-zone = notranji.
5. Ko nastavite območje, s spodnjim ukazom preverite privzeto območje.
# firewall-cmd --get-default-zone.
6. Tukaj je naš vmesnik enp0s3, Če moramo preveriti svoje območje, v katerem je vmesnik omejen, lahko uporabimo spodnji ukaz.
# požarni zid-cmd --get-zone-of-interface = enp0s3.
7. Druga zanimivost firewallda je "icmptype'Je ena od vrst icmp, ki jih podpira firewalld. Če želite dobiti seznam podprtih vrst icmp, lahko uporabite spodnji ukaz.
# firewall-cmd --get-icmptypes.
8. Storitve so niz pravil z vrati in možnostmi, ki jih uporablja Firewalld. Storitve, ki so omogočene, se bodo samodejno naložile, ko se Firewalld servis deluje in deluje.
Privzeto je na voljo veliko storitev, če želite dobiti seznam vseh storitev, ki so na voljo, uporabite naslednji ukaz.
# firewall-cmd --get-services.
9. Če želite dobiti seznam vseh privzeto razpoložljivih storitev, pojdite v naslednji imenik, tukaj boste dobili seznam storitev.
# cd/usr/lib/firewalld/services/
10. Če želite ustvariti svojo storitev, jo morate definirati na naslednji lokaciji. Na primer, tukaj želim dodati storitev za RTMP pristanišče 1935, najprej naredite kopijo katere koli storitve.
# cd/etc/firewalld/services/ # cp /usr/lib/firewalld/services/ssh.xml/etc/firewalld/services/
Nato se pomaknite do mesta, kjer je bila kopirana naša servisna datoteka, nato preimenujte datoteko "ssh.xml'Do'rtmp.xml", Kot je prikazano na spodnji sliki.
# cd/etc/firewalld/services/
11. Nato odprite in uredite datoteko kot Naslov, opis, protokol in številka vrat, ki ga moramo uporabiti za storitev RTMP, kot je prikazano na spodnji sliki.
12. Če želite aktivirati te spremembe, znova zaženite storitev firewalld ali znova naložite nastavitve.
# firewall-cmd --reload.
13. Če želite potrditi, ali je storitev dodana ali ne, zaženite spodnji ukaz, da dobite seznam razpoložljivih storitev.
# firewall-cmd --get-services.
14. Tukaj bomo videli, kako upravljati požarni zid z uporabo ukaz požarni zid-cmd. Če želite vedeti trenutno stanje požarnega zidu in vseh aktivnih con, vnesite naslednji ukaz.
# požarni zid-cmd --state. # firewall-cmd --get-active-cone.
15. Pridobite javno območje za vmesnik enp0s3, to je privzeti vmesnik, ki je definiran v /etc/firewalld/firewalld.conf datoteko kot DefaultZone = javno.
Če želite prikazati vse razpoložljive storitve v tem privzetem območju vmesnika.
# firewall-cmd --get-service.
16. V zgornjih primerih smo videli, kako ustvariti lastne storitve z ustvarjanjem rtmp storitev, tukaj bomo videli, kako dodati datoteko rtmp storitev tudi na cono.
# požarni zid-cmd --add-service = rtmp.
17. Če želite odstraniti dodano območje, vnesite.
# požarni zid-cmd --zone = public --remove-service = rtmp.
Zgornji korak je bil le začasen. Če želimo, da ostane trajno, moramo zagnati spodnji ukaz z možnostjo - trajno.
# firewall-cmd --add-service = rtmp --permanent. # firewall-cmd --reload.
18. Določite pravila za območje omrežnih virov in odprite katero koli od vrat. Če želite na primer odpreti obseg omrežja, recite »192.168.0.0/24"In pristanišče"1935"Uporabite naslednje ukaze.
# firewall-cmd --permanent --add-source = 192.168.0.0/24. # firewall-cmd --permanent --add-port = 1935/tcp.
Po dodajanju ali odstranjevanju storitev ali vrat znova zaženite storitev firewalld.
# firewall-cmd --reload # firewall-cmd --list-all.
19. Če želim dovoliti storitve, kot so http, https, vnc-server, PostgreSQL, uporabite naslednja pravila. Najprej dodajte pravilo in ga naredite trajnega ter znova naložite pravila in preverite stanje.
# firewall-cmd --add-rich-rule 'family family = "ipv4" source source = "192.168.0.0/24" name storitve = "http" accept' # firewall-cmd --add-rich-rule 'družina pravil = vir "ipv4" address = "192.168.0.0/24" name storitve = "http" accept '--permanent # firewall-cmd --add-rich-rule' family family = "ipv4" source address = "192.168.0.0/24" service name = "https" sprejeti ' # firewall-cmd --add-rich-rule 'pravilo družine = "ipv4" izvorni naslov = "192.168.0.0/24" ime storitve = "https" sprejem' --permanent # firewall-cmd --add-rich-rule 'rule family = "ipv4" vir naslov = "192.168.0.0/24" name storitve = "vnc-server" sprejeti ' # firewall-cmd --add-rich-rule 'rule family = "ipv4" izvorni naslov = "192.168.0.0/24" name storitve = "vnc-server" accept' --permanent # firewall-cmd --add-rich-rule 'rule family = "ipv4" naslov vira = "192.168.0.0/24" name storitve = "postgresql" sprejeti ' # firewall-cmd --add-rich-rule 'rule family = "ipv4" izvorni naslov = "192.168.0.0/24" name storitve = "postgresql" accept' --permanent.
Zdaj pa omrežni obseg 192.168.0.0/24 lahko uporabljam zgornjo storitev s svojega strežnika. Možnost - trajno se lahko uporablja v vsakem pravilu, vendar moramo pravilo definirati in preveriti pri dostopu odjemalca, potem pa ga moramo narediti trajnega.
20. Ko dodate zgornja pravila, ne pozabite znova naložiti pravil požarnega zidu in jih našteti s pomočjo:
# firewall-cmd --reload. # požarni zid-cmd --list-all.
Če želite izvedeti več o Firewalldu.
# človek firewalld.
To je to, videli smo, kako z uporabo Firewallda nastaviti omrežni filter RHEL/CentOS in Fedora.
Net-filter je ogrodje za požarni zid za vsako distribucijo Linuxa. Nazaj v vsakem RHEL in CentOS izdajah, ki smo jih uporabili iptables v novejših različicah pa so uvedli Firewalld. Firewalld je lažje razumeti in uporabljati. Upam, da ste uživali v zapisu.