Firewall instalar sa sa operating system gigamit sa pagpugong sa dili awtorisado sa trapiko sa taliwala sa computer network. Manwal o awtomatikong nagmugna espesyal nga mga lagda alang sa firewall, nga maoy responsable sa access sa pagkontrolar. Sa OS, naugmad sa Linux unud, CentOS 7 adunay usa ka gitukod-sa firewall, ug kini kontrolado sa firewall. Ang default FireWalld mao ang nalangkit, ug kita gusto nga makig-istorya mahitungod niini karon.
Ipahiangay ang firewall sa CentOS 7
Sumala sa gihisgotan sa ibabaw, ang bandila firewall sa CentOS 7-assign sa usa ka Firewalld utility. Mao nga ang firewall kahimtang nga giisip sa panig-ingnan sa niini nga himan. mahimo mo ang pagsala lagda uban sa sama nga IPTABLES, apan kini gihimo gamay lain-laing mga. rekomend kita familiarizing sa imong kaugalingon uban sa mga kontorno sa mga gihisgotan utility pinaagi sa pagklik sa sa mosunod nga link, ug kita magsugod sa disassembly sa Firewalld.Kon ikaw sa makausa mahimong temporaryo o permanente nga naghimo og kakulangan sa firewall, kita advise kaninyo sa paggamit sa mga panudlo nga gipresentar sa mga uban nga mga artikulo sa mosunod nga link.
Basaha pa: naghimo og kakulangan firewall sa CentOS 7
Tan-awa ang remate mga lagda ug barato zones
Bisan regular nga firewall adunay iyang kaugalingon nga tino nga mga lagda ug mga accessible zones. Sa wala pa sugod politiko pag-usab, advise kamo kita sa familiarize sa imong kaugalingon uban sa mga kasamtangan nga kontorno. Kini mao ang gibuhat sa paggamit yano nga mga sugo:
- Ang default zone ang pagtino sa firewall-CMD --GET-Default-Zone sugo.
- Human sa iyang pagpaaktibo, imong tan-awa ang usa ka bag-o nga hilo diin ang gitinguha sukaranan nga gipakita. Pananglitan, ang "Public" zone giisip sa screenshot sa ubos.
- Apan, pipila ka mga zones mahimong aktibo diha-diha dayon, gawas pa, sila gihigot ngadto sa usa ka lain nga interface. Susiha kini nga impormasyon pinaagi sa firewall-CMD --GET-Aktibo-Zone.
- Ang firewall-CMD --List-tanan nga sugo nga ipakita sa mga lagda alang sa default zone. Tagda ang screenshot sa ubos. Ikaw tan-awa nga ang aktibo nga zone "Public" ang gi-assign sa "Default" pagmando sa - sa default function, ang ENP0S3 interface ug duha ka mga serbisyo dugang pa.
- Kon ikaw adunay usa ka panginahanglan sa pagkat-on sa tanan nga mga anaa firewall zones, mosulod firewall-CMD --GET-Zone.
- Ang lantugi sa piho nga zone nga gihubit pinaagi sa firewall-CMD --Zone = Ngalan --List-ang tanan, diin Ngalan mao ang ngalan sa zone.
Human sa pagtino sa gikinahanglan lantugi, nga kamo mahimo mobalhin sa ilang pagbag-o ug dugang. Atong analisahon pipila sa labing popular nga mga porma sa detalye.
Setting sa interface zones
Samtang kamo mahibalo gikan sa impormasyon sa ibabaw, ang imong default zone gihubit alang sa matag interface. Kini sa niini hangtud sa pag-usab sa mga engaste sa user o programmatically. Kini mao ang posible nga sa kamut pagbalhin sa interface ngadto sa zone matag sesyon, ug kini gidala sa gawas sa pagpadagan sa mga Sudo firewall-CMD --Zone = PANIMALAY sugo --change-interface = eth0. Ang resulta "Kalampusan" nagsugyot nga ang pagbalhin mao ang malampuson. Hinumdomi nga ang maong mga kahimtang mao ang Reset diha-diha dayon human sa rebooting sa firewall.
Uban sa ingon nga sa usa ka pagbag-o diha sa mga lantugi, kini kinahanglan nga gipas-an diha sa hunahuna nga ang operasyon sa mga serbisyo mahimong Reset. Ang uban kanila dili pagsuporta naglihok sa pipila ka zones, ang ni-ingon, selebrasyon bisan tuod accessible sa "Home", apan sa user o espesyal nga pag-alagad sa pagbuhat sa gawas. Siguroha nga ang interface malamposong gihigot sa bag-ong sanga, pinaagi sa pagsulod firewall-CMD --Get-Aktibo-Zone.
Kon kamo gusto nga Reset sa kaniadto nga gihimo engaste, lamang pagdagan sa Pagsugod usab sa firewall: Sudo Systemctl Pagsugod usab Firewalld.Service.
Usahay kini mao ang dili kanunay sayon sa pag-usab sa interface zone sa usa lang ka sesyon. Sa kini nga kaso, kamo kinahanglan nga usbon ang porma file aron nga ang tanan nga mga kahimtang sa mga enameled sa usa ka permanente nga basehan. Sa pagbuhat niini, kita advise kaninyo sa paggamit sa Nano teksto editor, nga-instalar sa mga opisyal nga paghipos sa Sudo Yum Install Nano. Sunod nagpabilin sa maong mga lihok:
- Buksi ang kontorno file pinaagi sa editor pinaagi sa pagsulod Sudo Nano / etc / sysconfig / network-scripts / ifcfg-eth0, diin ETH0 mao ang ngalan sa sa gikinahanglan nga interface.
- Sa pagmatuod sa imong account panghimatuud sa paghimo sa dugang nga mga buhat.
- Layout sa "Zone" sukaranan ug mag-usab sa bili niini sa mga gitinguha, alang sa panig-ingnan, sa publiko o sa panimalay.
- Paghupot sa Ctrl + Oh mga yawe aron sa pagluwas sa mga kausaban.
- Ayaw usab sa ngalan nga file, apan sa yano click sa PAGSULOD.
- Pagawas sa editor sa teksto pinaagi sa CTRL + X.
Karon ang interface zone mahimong ang usa nga imong espesipikong kini, hangtud nga ang sunod nga sa pag-edit sa mga kontorno file. Kay updated lantugi, modagan Sudo SystemCTL Pagsugod usab Network.Service ug Sudo SystemCTL Pagsugod usab Firewalld.Service.
Ang paghimo sa default zone
Sa ibabaw, gipakita na namon ang usa ka team nga nagtugot kanimo nga mahibal-an ang default zone. Mahimo usab kini mausab pinaagi sa pagpahimutang sa parameter nga imong gusto. Sa pagbuhat niini, sa console, kini igo na nga magparehistro sudo firewall-CMD --set-default-zone = ngalan, diin Ngalan mao ang ngalan sa gikinahanglan zone.
Ang kalampusan sa mando mahimong ebidensya sa inskripsyon nga "Kalampusan" sa usa ka lahi nga linya. Pagkahuman niana, ang tanan nga mga karon nga interface matawo sa piho nga sona, kung ang lain wala gitino sa mga file sa pag-configure.
Paghimo mga lagda alang sa mga programa ug utility
Sa sinugdanan sa artikulo, naghisgot kami bahin sa aksyon sa matag zone. Ang pagtino sa mga serbisyo, mga gamit ug programa sa ingon nga mga sanga magtugot sa paggamit sa mga indibidwal nga mga parameter alang sa matag usa alang sa matag hangyo sa tiggamit. Sa pagsugod, gitambagan ka namon nga pamilyar ang imong kaugalingon sa bug-os nga lista sa mga serbisyo nga magamit sa karon nga panahon: Firewall-Cmd-Services-Serbisyo.
Ang resulta ipakita direkta sa console. Ang matag server gibahin sa usa ka wanang, ug dali nimo makita ang himan nga imong interesado. Kung ang gikinahanglan nga serbisyo nawala, kinahanglan nga i-install. Sa mga lagda sa pag-instalar, basaha sa opisyal nga dokumentasyon sa software.
Ang itaas nga sugo nagpakita lamang sa mga ngalan sa mga serbisyo. Ang detalyado nga kasayuran alang sa matag usa niini nakuha pinaagi sa indibidwal nga file sa agianan / USR / Firewalld / Services. Ang ingon nga mga dokumento adunay usa ka Format nga XML, ang agianan, pananglitan, sa SSH ingon niini: /USRIM/Firewalld/service/sh.xml, ug ang dokumento adunay mosunod nga sulud:
SSH.
Ang luwas nga kabhang (SSH) usa ka protocol alang sa pag-log in ug pagpatuman sa mga mando sa mga hilit nga makina. Naghatag kini nga luwas nga naka-encrypt nga komunikasyon. Kung nagplano ka sa pag-access sa imong makina nga remotet pinaagi sa usa ka firewalled interface, nga makahimo kini nga kapilian. Kinahanglan nimo ang pag-install sa openssh-server nga package alang sa kini nga kapilian nga mahimong mapuslanon.
Ang suporta sa serbisyo gi-aktibo sa usa ka piho nga sona nga mano-mano. Sa terminal, kinahanglan nimo nga ibutang ang sudo firewall-cmd - Public-Service = HTTP Command, Asa ang-sa-activation zone, ug - Serbisyo - Ngalan sa Pag-alagad. Timan-i nga ang ingon nga pagbag-o mahimong balido lamang sa usa ka sesyon.
Ang permanenteng dugang gihimo pinaagi sa SUDO Firewall-CMD - CMD - Public -permanent - DDDED-SERVICE = HTTP, ug ang sangputanan "nga" Kalampusan "nagpaila sa malampuson nga pagkompleto sa operasyon.
Mahimo nimong tan-awon ang usa ka kompleto nga lista sa mga permanente nga mga lagda alang sa usa ka piho nga sona pinaagi sa pagpakita sa usa ka lista sa usa ka lahi nga linya sa console: SUDO Firewall-Cmd - Serbisyo - Mga Serbisyo - Public-Services-Serbisyo.
Ang problema sa desisyon nga adunay kakulang sa pag-access sa serbisyo
Ang mga standard nga mga lagda sa firewall gipakita sa labing popular ug luwas nga mga serbisyo ingon gitugotan, apan ang pipila nga mga aplikasyon sa ikatulo nga partido kini mga bloke. Sa kini nga kaso, ang tiggamit mano-mano kinahanglan magbag-o sa mga setting aron masulbad ang problema sa pag-access. Mahimo nimo kini sa duha nga magkalainlain nga mga pamaagi.
Port sa port
Sama sa nahibal-an nimo, ang tanan nga mga serbisyo sa network naggamit usa ka piho nga pantalan. Kini dali nga nakit-an sa usa ka firewall, ug mahimo ang mga bloke. Aron malikayan ang ingon nga mga aksyon gikan sa firewall, kinahanglan nimo nga maablihan ang gitinguha nga pantalan sa SUDO Firewall-Cmd - PUBLID - PUNTID ANSA AND ALA AREA AREA, - Port = 0000 / TCP - numero sa pantalan ug protocol. Ang kapilian nga Firewall-CMD - ang kapilian sa Port sa Port-Ports magpakita usa ka lista sa mga bukas nga pantalan.
Kung kinahanglan nimo nga maablihan ang mga pantalan nga gilakip sa range, gamita ang SUDO Firewall-Cmd String - ZDDD-Port = 0000-9999 / UDP - UDP Range ug ang ilang protocol.
Gitugotan lang ka sa ibabaw nga mga mando nga sulayan ka sa paggamit sa parehas nga mga parameter. Kung kini malampuson nga milampos, kinahanglan nimo idugang ang parehas nga pantalan sa kanunay nga mga setting, ug kini gihimo pinaagi sa pagsulod sa SUDO Firewall-Cmd - PUBLIDAD-PORT-PORTLEDLOL - 0000 ZONE = PUBLICSIDENTENT - SADD-PORT = 0000-9999 / UDP. Ang lista sa bukas nga permanente nga pantalan gitan-aw sama sa mga musunud: SUDO Firewall-CMD --ZONE = Public -permanent-Port-Port.
Kahubitan sa Serbisyo
Sama sa imong nakita, ang pagdugang mga pantalan dili hinungdan sa bisan unsang mga kalisud, apan ang pamaagi komplikado kung ang mga aplikasyon mogamit sa daghang kantidad. Aron masubay ang tanan nga gigamit nga mga pantalan mahimong lisud, kung diin ang determinasyon sa serbisyo mahimong labi ka tama nga kapilian:
- Kopyaha ang file sa pag-configure pinaagi sa pagsulat sa sudo cp /USR/lib/firewalld/service.xmml /xml, diin ang Service.XML mao ang Ngalan sa mga kopya niini.
- Pag-abli sa usa ka kopya aron mabag-o ang bisan unsang editor sa teksto, pananglitan, SUDO NANO NANO /ETC/Firewalld/service/example.xmll.
- Pananglitan, naghimo kami usa ka kopya sa serbisyo sa HTTP. Sa dokumento, nakita nimo ang lainlaing metadata, pananglitan, usa ka mubo nga ngalan ug paghulagway. Kini nakaapekto sa server nga magtrabaho lamang sa pagbag-o sa numero sa pantalan ug protocol. Sa ibabaw sa pisi nga "" kinahanglan idugang aron maablihan ang pantalan. TCP - gigamit ang protocol, usa ka numero sa 0000 - port.
- I-save ang tanan nga mga pagbag-o (CTRL + O), isara ang file (CTRL + X), ug dayon i-restart ang firewall sa pag-apply sa mga parameter sa SUDO Firewall-Cmd - Pagkahuman niana, ang serbisyo makita sa lista nga magamit, nga mahimong tan-awon pinaagi sa Firewall-CMD-CMD-Services.
Kinahanglan nimo nga pilion ang labing angay nga solusyon sa problema sa serbisyo sa pag-access sa serbisyo ug ipatuman ang mga panudlo nga gihatag. Sama sa imong nakita, ang tanan nga mga aksyon dali nga gihimo, ug wala'y mga kalisud.
Paghimo mga custom nga mga zone
Nahibal-an na nimo nga sa una usa ka daghang mga lainlaing mga zone nga adunay gihubit nga mga lagda ang gihimo sa firewalld. Bisan pa, ang mga kahimtang nahitabo sa diha nga ang tagdumala sa system kinahanglan nga maghimo usa ka tiggamit zone, sama sa "publicweb" alang sa na-install nga web server o "privatingns" - alang sa DNS server. Niining duha ka mga pananglitan, pag-analisar naton ang pagdugang sa mga sanga:
- Paghimo duha ka bag-ong permanenteng zone sa sudo firewall-cmd --new-man-zone = Publicwall-Cmd -perd-CHED-ANTET-ZONED-ZONED-ZONED-ANTENTN.
- Magamit sila human ma-reboot ang sudo firewall-cmd nga himan. Aron ipakita ang permanenteng mga zone, pagsulod sa sudo firewall-cmd --per -pet-zones.
- Itudlo kanila ang mga kinahanglanon nga serbisyo, sama sa "SSH", "http" ug "https". Kini gibuhat pinaagi sa mga Sudo firewall-CMD --Zone = PublicWeb --ADD-Service = selebrasyon, sudo firewall-CMD --zone = PublicWeb --Do-Service = PublicWeb --Do firewall-CMD - PublicWeb - PublicWeb - Pagdugang- Serbisyo = HTTPS, Asa ang - Zoxe = Publicweb ang ngalan sa zone aron idugang. Mahimo nimong tan-awon ang kalihokan sa mga serbisyo pinaagi sa pending firewall-cmd --zone = publicweb: tanan.
Gikan sa kini nga artikulo, nahibal-an nimo kung giunsa paghimo ang mga naandan nga mga zone ug idugang ang mga serbisyo sa kanila. Gisultihan na namon sila ingon default ug pag-assign sa mga interface sa itaas, mahimo nimong ipiho ang husto nga mga ngalan. Ayaw kalimti nga i-restart ang firewall pagkahuman sa paghimo sa bisan unsang permanente nga pagbag-o.
Sama sa imong nakita, ang firewalld firewall usa ka talamnan nga tool nga nagtugot kanimo sa paghimo sa labing kadaghan nga pag-configure sa firewall. Nagpabilin lang kini aron masiguro nga ang paglansad sa utility sa sistema ug ang gitino nga mga lagda nagsugod dayon sa ilang trabaho. Himua kini nga adunay systemctl sa SUDO nga makahimo sa firewalld sugo.