Практычна ўсе карыстальнікі дыстрыбутыва CentOS 7 усталёўваюць у сістэму розныя сродкі, для карэктнай працы якіх неабходна адкрываць парты пэўных нумароў. Гэта патрабуецца для забеспячэння нармальнага злучэння з вузламі і бяспечнага абмену інфармацыяй. Ажыццяўляецца пастаўленая задача шляхам змены правілаў міжсеткавага экрана. Вядома, кожны юзэр можа выкарыстоўваць самыя разнастайныя брандмаўэры, аднак стандартным з'яўляецца iptables. Менавіта на яго прыкладзе мы і прапануем адкрыць парты, вынікаючы прыведзеных далей інструкцыяў.
Адкрываем парты ў CentOS 7
Адкрыццё партоў - задача нескладаная, бо для гэтага прыйдзецца ўвесці ўсяго некалькі каманд у кансоль. Аднак калі вы першапачаткова не выраблялі дадатковых настроек з сеткавым экранам або карыстаецеся іншае сродак, прыйдзецца дадаткова змяніць важныя параметры. Таму мы падзялілі нашу артыкул на этапы, каб пачаткоўцам карыстачам было прасцей разабрацца з кожным крокам, а цяпер пачнем з непасрэднай інсталяцыі iptables ў CentOS 7.Крок 1: Усталёўка або абнаўленне iptables
Як ужо было сказана вышэй, iptables ў CentOS 7 выступае ў якасці міжсеткавага экрана па змаўчанні. Калі ўручную не было выраблена ніякіх зменаў, можна смела прапускаць дадзены крок, выканаўшы толькі апошні этап з інсталяцыяй утыліт брандмаўэра. У выпадку неабходнасці праверкі абнаўленняў або паўторнай ўстаноўкі дадзенага інструмента раім скарыстацца наступным кіраўніцтвам.
- Усе дзеянні, апісваныя сёння, будуць рабіцца ў «тэрмінале», таму ўсе пачынаецца з яго запуску. Выкарыстоўвайце для гэтага гарачую клавішу Ctrl + Alt + T ці значок, дададзены ў раздзел «Выбранае» ў меню прыкладанняў.
- Тут увядзіце каманду sudo yum install iptables, а затым націсніце на клавішу Enter.
- Для пацверджання гэтай каманды спатрэбіцца паказаць пароль суперпользователя. Улічвайце, што пры такім тыпе напісання уводныя знакі не адлюстроўваюцца.
- Вы будзеце апавешчаныя аб тым, што інсталяцыя або абнаўленне паспяхова зроблены. Калі ж у аперацыйную сістэму і так дададзеная апошняя версія iptables, на экране з'явіцца радок «Выконваць няма чаго».
- Завершыце гэты крок камандай sudo yum -y install iptables-services. Гэта запусціць інсталяцыю неабходных сэрвісаў.
- Можна пераходзіць да наступнага этапу, калі на экране з'явілася паведамленне аб паспяховым даданні кампанентаў.
Крок 2: Скід стандартных правілаў брандмаўэра
Калі раней сістэмным адміністратарам або карыстальнікам не выраблялася налада iptables, стандартныя налады варта скінуць, каб у будучыні не ўзнікла праблем з сумяшчальнасцю правілаў. Дадаткова спатрэбіцца пазначыць і стандартныя правілы, забяспечыўшы карэктнасць выканання ўваходных і выходных злучэнняў. Усё гэта адбываецца так:
- Увядзіце ў кансолі каманду iptables -L -v -n, каб паглядзець сьпіс цяперашніх параметраў.
- Калі яны вас не задавальняюць, значыць прыйдзецца ажыццяўляць скід і ручную канфігурацыю.
- Выдаленне існуючых правілаў выконваецца з дапамогай ўсяго аднаго радка sudo iptables -F.
- Далей дазволіце ўсе ўводныя дадзеныя сервера, уставіўшы sudo iptables -A INPUT -i lo -j ACCEPT.
- Для выходных злучэнняў дастасоўная практычна такая ж каманда: sudo iptables -A OUTPUT -o lo -j ACCEPT.
- Рэкамендуецца абмежаваць новыя злучэння і дазволіць ужо існуючыя, каб забяспечыць бяспеку і наладзіць працу названых раней правілаў. Адбываецца гэта праз sudo iptables -A INPUT -m state --state ESTABLISHED, RELATED -j ACCEPT.
Усе далейшыя налады разгледжанай ўтыліты ажыццяўляюцца карыстальнікам ўручную, уключаючы і адкрыццё партоў. Аб апошняй тэме мы пагаворым у наступных кроках, а пашыраная канфігурацыя не ўваходзіць у рамкі сённяшняга матэрыялу. Замест гэтага рэкамендуем азнаёміцца з адмысловым навучальным матэрыялам па дадзенай тэме, скарыстаўшыся размешчанай ніжэй спасылкай.
Больш падрабязна: Налада iptables ў CentOS 7
Крок 3: Адключэнне FirewallD
Да гэтага кроку варта прыгледзецца тым карыстальнікам, хто раней усталёўваў FirewallD ці ён быў дададзены аўтаматычна. Падчас усталявання партоў праз iptables дадзены інструмент можа перашкаджаць карэктнаму выкананню правілаў, таму яго спатрэбіцца дэактываваць.
- Для пачатку спыніце выкананне службы праз sudo systemctl stop firewalld.
- Далей вырабіце поўнае адключэнне, скарыстаўшыся камандай sudo systemctl disable firewalld.
- Вы атрымаеце інфармацыю аб тым, што сімвалічныя спасылкі былі выдаленыя, такім чынам, FirewallD з гэтага моманту не працуе.
Калі вы хочаце ўручную выдаліць тэчкі, якія захоўваюць у сабе налады FirewallD, прапусціўшы пералічаныя вышэй каманды, ўстаўце ў «Тэрмінал» па чарзе адзначаныя ніжэй радкі і актывуйце іх.
rm '/etc/systemd/system/dbus-org.fedoraproject.FirewallD1.service'
rm '/etc/systemd/system/basic.target.wants/firewalld.service'
У будучыні любому карыстальніку можа спатрэбіцца актывацыя і далейшая налада FirewallD, асабліва калі даводзіцца працаваць з рознымі вэб-серверамі і ўтылітамі. Мы прапануем зрабіць гэта, выкарыстоўваючы прыведзенае далей кіраўніцтва.
Больш падрабязна: Налада Firewall ў CentOS 7
Крок 4: Адкрыццё партоў праз iptables
Прыйшоў час вырабіць асноўнае дзеянне, чаму і прысвечана сённяшняя артыкул. Вышэй мы выканалі абсалютна ўсе падрыхтоўчыя працы, каб цяпер адкрыць парты ў CentOS 7. Але цяпер усё было не павінна ўзнікнуць ніякіх праблем, таму можна ўводзіць наступныя каманды.
- У абавязковым парадку дадайце міжсеткавы экран у аўтазагрузку, каб не запускаць яго пастаянна ўручную. У гэтым дапаможа каманда sudo systemctl enable iptables.
- Вы будзеце апавешчаныя аб стварэнні сімвалічнай спасылкі.
- Актывуйце пастаянныя правы суперпользователя, увёўшы su, каб для кожнай каманды гэтай тэрмінальнай сэсіі ня трэба было прыпісваць sudo.
- Пацвердзіце гэта дзеянне, напісаўшы свой пароль.
- Адкрыйце порт праз каманду iptables -I INPUT -p tcp --dport 22 -m state --state NEW -j ACCEPT, дзе 22 заменіце на неабходнае лік.
- Адразу ж можна адкрыць і наступны порт, напрыклад, пад нумарам 25 (SMTP-сервер). Для гэтага увядзіце iptables -I INPUT -p tcp --dport 25 -m state --state NEW -j ACCEPT.
- Захавайце ўсе змены, уставіўшы радок service iptables save.
- Вы будзеце апавешчаныя аб тым, што канфігурацыя паспяхова прыменена.
- Перазагрузіце міжсеткавы экран, каб усе змены ўступілі ў сілу. Ажыццяўляецца гэта праз каманду systemctl restart iptables.
- У канцы мы прапануем выкарыстоўваць sudo iptables -nvL, каб вывучыць усе адкрытыя парты.
У гэтым артыкуле вы даведаліся ўсе аб адкрыцці партоў ў CentOS 7. Як бачыце, гэта не зойме шмат часу, а ўсе змены будуць ужытыя адразу ж пасля перазагрузкі сэрвісаў. Выкарыстоўвайце разгледжаныя вышэй каманды, змяняючы толькі нумары партоў, каб усё прайшло паспяхова.