Operatsioonisüsteemi paigaldatud tulemüüri kasutatakse arvutivõrkude volitamata liikluse vältimiseks. Käsiraamat või automaatselt loob erireeglid tulemüüri jaoks, mis vastutavad juurdepääsu kontrolli eest. OS, mis on välja töötatud Linuxi kernel, CentOS 7 on sisseehitatud tulemüüri ja seda juhitakse tulemüüri poolt. Vaikimisi tulemüürde on kaasatud ja me tahaksime sellest täna rääkida.
Kohanda tulemüüri sentos 7
Nagu eespool mainitud, määratakse Standardne tulemüür CentOS 7 tulemüüri utiliit. Seetõttu kaalutakse tulemüüri seadistus selle tööriista näites. Saate määrata filtreerimisreeglid samade Iphablesiga, kuid see toimub veidi erinev. Soovitame tutvuda nimetatud utiliidi konfiguratsiooniga, klõpsates järgmisel lingil ja alustame tulemüüri demonteerimist.Kui te lõpetate ajutiselt või püsivalt tulemüüri, soovitame teil kasutada teises artiklis esitatud juhiseid järgmise lingi abil.
Loe edasi: keelata tulemüür sentos 7
Vaadake vaikimisi reegleid ja taskukohaseid tsoone
Isegi tavaline tulemüüri on oma kindlad reeglid ja kättesaadavad tsoonid. Enne poliitiku redigeerimise alustamist soovitame teil praeguse konfiguratsiooni tutvuda. Seda tehakse lihtsate käskude abil:
- Vaikimisi Zone määrab tulemüüri-cmd-met-vaikimisi-tsooni käsk.
- Pärast selle aktiveerimist näete uut stringi, kus kuvatakse soovitud parameeter. Näiteks loetakse alltoodud ekraanipilt "avalik" tsoonist.
- Kuid mitmed tsoonid võivad olla vahetult aktiivsed, lisaks seotakse need eraldi liidesega. Uuri selle teabe tulemüüri-cmd-aktiivne tsoonide kaudu.
- Tulemüür-CMD -List-kõik käsk kuvab vaikevööndi jaoks seatud reeglid. Pöörake tähelepanu alltoodud ekraanipildile. Näete, et aktiivne tsooni "avalik" on määratud "vaikimisi" reegel - vaikimisi funktsiooni, ENP0S3 liides ja kaks lisatud teenused.
- Kui teil on vaja õppida kõiki olemasolevaid tulemüüri tsoone, sisestage tulemüüri-cmd-tsoonid.
- Konkreetse tsooni parameetrid on määratletud tulemüüri-cmd -zone kaudu = Nimi - selle nimekiri, kus nimi on tsooni nimi.
Pärast nõutavate parameetrite määramist saate liikuda nende muutustele ja lisamisele. Analüüsime üksikasjalikult mitmeid populaarsemaid konfiguratsioone.
Liidese tsoonide seadistamine
Nagu te teate ülaltoodud teabest, on teie vaikevöönd iga liidese jaoks määratletud. See on selles, kuni seadistused muudavad kasutajat või programmeerimist. Liides on võimalik käsitsi üle kanda seansi kohta ja see toimub Sudo tulemüüri-cmd -Zone aktiveerimisel = Home Command --change-Interface = ETH0. Tulemuseks "edu" viitab sellele, et ülekanne oli edukas. Tuletame meelde, et sellised seaded lähtestatakse kohe pärast tulemüüri taaskäivitamist.
Sellise muudatusega parameetrites tuleb meeles pidada, et teenuste toimimist saab lähtestada. Mõned neist ei toeta toimimist teatud tsoonides, ütleme, SSH kuigi ligipääsetav "Kodu", kuid kasutajas või spetsiaalses teenistuses töötab välja. Veenduge, et liides oleks edukalt seotud uue filiaaliga, sisestades tulemüüri-CMD-aktiivne tsoonid.
Kui soovite eelnevalt tehtud seadeid lähtestada, käivitage lihtsalt tulemüüri taaskäivitamine: sudo systemctl taaskäivitage tulemüür.Service.
Mõnikord ei ole alati mugav vahetada liidese tsooni vaid ühe seansiga. Sellisel juhul peate redigeerima konfiguratsioonifaili nii, et kõik seaded oleksid püsivalt emailitud. Selleks soovitame teil kasutada Nano tekstiredaktorit, mis on paigaldatud sudo yumi ametlikust ladustamisest INSTALL NANO. Seejärel jääb sellised tegevused:
- Avage toimetaja kaudu konfiguratsioonifail, sisestades sudo nano / etc / sysconfig / võrgu-skriptide / IFCFG-ETH0-ga, kus ETH0 on nõutava liidese nimi.
- Kinnitage oma konto autentimine täiendavate meetmete täitmiseks.
- Parameeter "Zone" paigutus ja muuta selle väärtust soovitud, näiteks avalikkusele või kodule.
- Muudatuste salvestamiseks hoidke klahvi Ctrl + O klahve.
- Ärge muutke faili nime, vaid klõpsa lihtsalt sisesta.
- Välju tekstiredaktorist Ctrl + X-i kaudu.
Nüüd on liidese tsoon see, mida te selle määrasite, kuni konfiguratsioonifaili järgmise redigeerimiseni. Uuendatud parameetrite jaoks käivitage Sudo SystemCTL taaskäivitage Network.Service ja sudo SystemCTL taaskäivitage tulemüür.Service.
Vaikimisi Zone seadistamine
Ülaltoodud oleme juba näidanud meeskonda, mis võimaldab teil vaikimisi tsooni õppida. Seda saab muuta ka parameetri seadistamisega teie valikule. Selleks, konsoolis, on piisav, et registreeruda sudo tulemüüri-cmdseset-vaikimisi-Zone = Nimi, kus nimi on nõutava tsooni nimi.
Käsu edukuse tõendab eraldi liinil pealkirja "edu". Pärast seda sünnib kõik praegused liidesed määratud tsooni, kui teine ei ole konfiguratsioonifailides täpsustatud.
Programmide ja kommunaalteenuste eeskirjade loomine
Artikli alguses rääkisime iga tsooni tegevusest. Teenuste, kommunaalteenuste ja programmide määratlemine sellistes filiaalides võimaldab iga kasutaja jaoks iga kasutaja jaoks rakendada individuaalseid parameetreid. Kõigepealt soovitame teil tutvuda hetkel kättesaadavate teenuste täieliku nimekirjaga: tulemüüri-cmd -get-teenused.
Tulemuseks kuvatakse otse konsooli. Iga server jagatakse ruumiga ja saate hõlpsasti leida tööriista, mida olete huvitatud. Kui nõutav teenus puudub, tuleb see täiendavalt paigaldada. Paigaldusreeglite kohta lugege ametlikus tarkvara dokumentatsioonis.
Ülaltoodud käsk näitab ainult teenuste nimesid. Üksikasjalik teave iga nende kohta saadakse läbi individuaalse faili tee / USR / Lib / tulemüüri / teenused. Sellistel dokumentidel on XML-vorming, näiteks SSH-le näeb välja selline: /usr/lib/firewalld/services/sh.xml ja dokumendil on järgmine sisu:
Ssh.
Secure Shell (SSH) on protokoll kaugseadmete käskude sisselogimiseks ja täidesaatmiseks. See tagab turvalise krüpteeritud side. Kui te plaanite oma masina Remotenet juurdepääsu SSH-i kaudu tulemüürelise liidese kaudu, lubage see valik. Selle võimaluse jaoks on vaja kasutada OpenSSH-serveri paketti.
Teenusetoetus aktiveeritakse konkreetses tsoonis käsitsi. Terminalis peaksite seadma sudo tulemüür-cmd -zone = avaliku --dd-teenuse = HTTP käsk, kus --zone = avalikkus on aktiveerimisvöönd ja --dd-teenus = HTTP-teenuse nimi. Pange tähele, et selline muutus kehtib ainult ühe seansi jooksul.
Püsiv lisamine toimub Via Sudo tulemüüri-CMD-CMD-CMONE = avaliku sektori - üritustega = HTTP ja tulemus "edu" näitab edukat lõpetamist operatsiooni.
Konsooli püsivate reeglite täieliku loendi saate vaadata, kuvades loetelu konsooli eraldi rida: sudo tulemüür-cmd --Zone = avalikud --permanent - selle teenused.
Otsuste probleem teenuse puudumise puudumise kohta
Standardseid tulemüüri reegleid tähistavad kõige populaarsemad ja turvalised teenused, kuid mõned standardsed või kolmanda osapoole rakendused IT-plokid. Sel juhul peab kasutaja käsitsi muutma seadeid juurdepääsu lahendamiseks. Seda saate teha kahes erinevas meetodites.
PORTID PORT
Nagu te teate, kasutavad kõik võrguteenused konkreetset sadamat. Tulemüüri abil on see kergesti tuvastatav ja plokid saab teha. Selliste toimingute vältimiseks tulemüüri, peate avama soovitud sadama sudo tulemüür-cmd --zone = avaliku - port-pordi = 0000 / TCP, kus --zone = avalik on sadama piirkond, --dd- PORT = 0000 / TCP - pordi number ja protokoll. Tulemüür-CMD --List-porti valikuvõimalus kuvab avatud sadamate loendi.
Kui teil on vaja avada sadamate hulka kuuluvad vahemikus, kasutage sudo tulemüür-cmd string --zone = avalik --dd-porti = 0000-9999 / UDP, kus --Add-Port = 0000-9999 / UDP - pordi vahemik ja nende protokoll.
Ülaltoodud käsud võimaldavad teil testida sarnaste parameetrite kasutamist. Kui see on edukalt läbinud, peate lisama samad sadamad pidevatesse seadetesse ja seda tehakse Sudo tulemüüri-cmd -zone'i sisestamisega = avaliku serva - sadama = 0000 / tcp või sudo tulemüür-cmd - Zone = Public --permanent --Add-Port = 0000-9999 / UDP. Avatud püsivate sadamate loendit vaadatakse järgmiselt: sudo tulemüür-cmd --zone = avalikud --permanent - liigeste-sadamad.
Teenuse määratlus
Nagu näete, ei põhjusta sadamate lisamine mingeid raskusi, kuid protseduur on keeruline, kui rakendused kasutavad suurt summat. Kõigi kasutatud sadamate jälgimiseks muutub raskeks, pidades silmas teenuse määramist õigem valik:
- Kopeerige konfiguratsioonifaili kirjutades sudo cp /usr/lib/firewalld/services/service.xml /etc/firewalld/services/example.xml, kus teenus.xml on teenusefaili nimi ja näide.xml Selle koopiate nimi.
- Avage koopia muutmiseks iga tekstiredaktori kaudu, näiteks sudo nano /etc/firewalld/services/example.xml.
- Näiteks oleme loonud HTTP-teenuse koopia. Dokumendis näete põhimõtteliselt erinevaid metaandmeid, näiteks lühikese nime ja kirjelduse. See mõjutab serverit töötama ainult sadama numbri ja protokolli muutmise. Pordi avamiseks tuleb lisada stringi kohal "". TCP - Kasutatud protokoll, 0000 - pordi number.
- Salvestage kõik muudatused (Ctrl + O), sulgege fail (Ctrl + X) ja seejärel taaskäivitage tulemüür, et rakendada parameetreid Sudo tulemüüri-cmd-cmd-deload kaudu. Pärast seda kuvatakse teenus olemasoleva loendis, mida saab vaadata tulemüüri-cmd-at-teenuste kaudu.
Teil on vaja valida ainult kõige sobivam lahendus teenuse probleemile, millel on juurdepääs teenusele ja käivitada juhiseid. Nagu näete, kõik toimingud tehakse üsna lihtsalt ja ei tohiks olla raskusi.
Kohandatud tsoonide loomine
Sa juba teate, et esialgu on tulemüüris loodud suur hulk erinevaid määratletud reeglite arvu. Siiski esinevad olukorrad, kui süsteemi administraator vajab kasutajatsooni, näiteks "AVALIKWEB" paigaldatud veebiserverisse või DNS-serveri jaoks "Privedns" jaoks. Nendel kahel näitel analüüsime filiaalide lisamist:
- Looge kaks uut püsivat tsooni Sudo tulemüüri-CMD-CMD-CMD-CMD-C CMD-sse --Zone = Publicweb ja sudo tulemüür-cmd-Cmd
- Nad on saadaval pärast sudo tulemüür-cmd-cmd-cmd-tööriista taaskäivitamist. Püsivööndite kuvamiseks sisestage sudo tulemüür-cmd -persenent-met-tsoonid.
- Määrake neile vajalikud teenused, näiteks "SSH", "http" ja "https". Neid tehakse sudo tulemüür-cmd -zone = avaliku Web --Add-Service = ssh, sudo tulemüür-cmd -zone = avalikVeebi --do-teenus = avalik-õigus Lisa- teenus = HTTPS, kus --Zone = Publicweb on nimi tsooni lisada. Teenuste tegevust saate vaadata tulemüüri-cmd -zone'i poolelioleva tulemüüri - kõik.
Sellest artiklist õppisite, kuidas luua kohandatud tsooni ja lisage neile teenuseid. Oleme juba öelnud neile vaikimisi ja ülemääraste liideste määramine, saate määrata ainult õiged nimed. Ärge unustage tulemüüri taaskäivitada pärast püsiva muutuse tegemist.
Nagu näete, tulemüüri tulemüür on üsna mahuline tööriist, mis võimaldab teil teha tulemüüri kõige paindlikumat konfiguratsiooni. See jääb ainult selleks, et veenduda, et kasulikkus käivitab süsteemiga ja määratletud eeskirjad algavad kohe nende töö. Tehke see sudo SystemeCTL-i abil FireWalLD-käsku.