Firewall enstale nan se sistèm nan fonksyone itilize yo anpeche trafik san otorizasyon ant rezo òdinatè. Manyèl oswa otomatikman kreye règ espesyal pou pare-feu lan, ki se responsab pou kontwòl aksè. Nan eksplwatasyon, devlope sou Kernel a Linux, CentOS 7 gen yon bati-an firewall, epi li se kontwole pa pare-feu. default la FireWalld se patisipe, epi nou ta renmen pale sou sa jodi a.
Customize Firewall nan CentOS 7
Kòm mansyone pi wo a, se pare-feu a estanda nan CentOS 7 asiyen yon sèvis piblik Firewalld. Se pou rezon sa pral anviwònman an firewall dwe konsidere sou egzanp lan nan zouti sa a. Ou ka mete règleman yo filtraj ak iptables yo menm, men li se fè yon ti kras diferan. Nou rekòmande familyarize tèt ou ak configuration la, te nan sèvis piblik la mansyone pa klike sou lyen ki anba la a, epi nou pral kòmanse demonte nan Firewalld.Si ou yon fwa yo pral pou yon ti tan oswa pou tout tan enfim firewall a, nou konseye w yo sèvi ak enstriksyon yo prezante nan atik la lòt pa lyen sa a.
Li plis: Enfim firewall nan CentOS 7
règ Gade default ak zòn abòdab
Menm firewall regilye li gen pwòp règ definitif ak zòn ki aksesib. Anvan ou kòmanse koreksyon politisyen, nou konseye w familyarize w avèk konfigirasyon aktyèl la. Sa a se fè lè l sèvi avèk kòmandman senp:
- Zòn nan default ap detèmine lòd la Firewall-km --GET-Default-Zòn.
- Apre aktivasyon li yo, ou pral wè yon fisèl nouvo kote yo pral paramèt a vle ap parèt. Pou egzanp, se "Piblik sa yo" zòn nan konsidere kòm nan D ki anba a.
- Sepandan, plizyè zòn kapab aktif imedyatman, san konte yo, yo yo mare nan yon koòdone ki apa a. Chèche konnen enfòmasyon sa a atravè firewall-km --GET-aktif-Zòn.
- Firewall-km --list ki gen tout lòd nan pral montre règ yo fikse pou zòn nan default. Peye atansyon sou D ki anba a. Ou wè ki zòn nan aktif "Piblik sa yo" asiyen "Default" règ la - fonksyon an default, koòdone nan ENP0S3 ak de sèvis te ajoute.
- Si ou gen yon bezwen aprann tout zòn yo pare-feu disponib, antre nan Firewall-km --GET-zòn.
- Paramèt yo nan zòn nan espesifik yo defini atravè firewall-km --Zone = Non --list-tout, kote Non se non an nan zòn nan.
Apre pou detèmine si paramèt yo mande yo, ou ka deplase nan chanjman yo ak adisyon. Se pou nou analize plizyè nan konfigirasyon yo ki pi popilè an detay.
Mete kanpe Zòn Entèfas
Kòm ou konnen nan enfòmasyon ki anwo a, se zòn default ou defini pou chak koòdone. Li pral nan li jouk anviwònman yo chanje itilizatè a oswa pwogrammatikman. Li se posib yo manyèlman transfere koòdone nan nan zòn nan pou chak sesyon, epi li se te pote soti nan aktive sudo firewall-cmd --zone = lòd nan kay la --change-koòdone = eth0. Rezilta a "Siksè" sijere ke transfè a te gen siksè. Sonje byen, anviwònman sa yo reset imedyatman apre rdemare firewall la.
Avèk tankou yon chanjman nan paramèt yo, li ta dwe transmèt nan tèt ou ke operasyon an nan sèvis sa yo ka Reyajiste. Kèk nan yo pa sipòte fonksyone nan sèten zòn, kite a di, SSH Malgre ke aksesib nan "lakay", men nan itilizatè oswa sèvis espesyal ap travay deyò. Asire w ke te koòdone nan avèk siksè mare nan branch nan nouvo, pa k ap antre nan firewall-cmd --get-aktif-zòn.
Si ou vle Reyajiste anviwònman yo deja fè, tou senpleman kouri rekòmanse a nan firewall la: sudo SystemCTL rekòmanse firewalld.Service.
Pafwa li pa toujou pratik chanje zòn nan koòdone nan yon sèl sesyon. Nan ka sa a, w ap bezwen edite dosye a konfigirasyon pou ke tout anviwònman yo emaye sou yon baz pèmanan. Pou fè sa, nou konseye w yo sèvi ak editè a nano nano, ki se enstale nan depo a ofisyèl nan sudo Yum enstale nano. Next rete aksyon sa yo:
- Louvri dosye a konfigirasyon via editè a pa k ap antre nan sudo Nano / elatriye / sysconfig / rezo-Scripts / IFCFG-eth0, kote eth0 se non an nan koòdone nan yo mande yo.
- Konfime otantifikasyon kont ou pou fè plis aksyon.
- Layout "zòn" paramèt la ak chanje valè li yo nan vle a, pou egzanp, piblik oswa lakay ou.
- Kenbe kle Ctrl + O pou konsève pou chanjman yo.
- Pa chanje non an dosye, men senpleman klike sou antre nan.
- Sòti editè tèks la nan Ctrl + X.
Koulye a, zòn nan koòdone yo pral youn nan ke ou espesifye li, jouk koreksyon nan pwochen nan dosye a konfigirasyon. Pou mete ajou paramèt, kouri sudo systemctl rekòmanse network.Service ak sudo systemcl rekòmanse firewalld.service.
Mete zòn default la
Pi wo pase, nou te deja demontre yon ekip ki pèmèt ou aprann zòn nan default. Li kapab tou chanje pa mete paramèt nan chwa ou. Pou fè sa, nan konsole a, li se ase yo enskri sudo firewall-km --set-default-zòn = Non, kote Non se non an nan zòn nan yo mande yo.
pral Siksè nan yo lòd, ki dwe pwouve sa ak inscription "SUCCESS la" nan yon liy apa. Apre sa, tout interfaces kounye a ap dwe fèt nan zòn nan espesifye, si lòt la se pa sa espesifye nan dosye yo konfigirasyon.
Kreye règleman pou pwogram ak sèvis piblik
Nan kòmansman la anpil nan atik la, nou te pale de aksyon an nan chak zòn. Defini sèvis, sèvis piblik yo ak pwogram nan branch sa yo ap pèmèt yo aplike paramèt endividyèl pou chak nan yo pou chak demann itilizatè. Pou kòmanse, nou konseye w familyarize w avèk lis la ak tout sèvis ki disponib nan moman sa a: Firewall-km --GET-SERVICES.
pral Rezilta a ap parèt dirèkteman nan konsole a. Chak sèvè divize pa yon espas, epi ou ka fasilman jwenn zouti nan ou enterese nan. Si sèvis yo egzije ki manke, li ta dwe Anplis de sa enstale. Sou règ yo enstalasyon, li nan dokiman an lojisyèl ofisyèl yo.
lòd ki anwo la a montre sèlman non yo nan sèvis yo. se enfòmasyon detaye pou chak nan yo jwenn nan dosye a moun sou chemen / Uzr / LIB / FireWalld / Sèvis yo. dokiman sa yo gen yon fòma XML, chemen an, pou egzanp, pou sanble SSH tankou sila: /usr/lib/firewalld/services/ssh.xml, ak dokiman an gen sa ki annapre yo:
SSH.
SECURE SHELL (SSH) se yon pwotokòl pou antre nan ak egzekite kòmandman sou aleka MACHIN. Li bay Tache kripte Kominikasyon. Si ou fè plan sou Antre nan ou machin Remotenet via SSH sou yon firewalled Entèfas, Pèmèt opsyon sa a. Ou bezwen pake a opanch-sèvè Enstale pou Opsyon sa a yo dwe itil.
se sèvis sipò aktive nan yon zòn espesifik manyèlman. Nan Tèminal a, ou ta dwe mete Sudo Firewall-km --Zone la = Piblik --DD-sèvis = HTTP lòd, kote --Zone = Piblik se yon zòn deklanchman, ak --DD-sèvis = HTTP - Non sèvis. Remake byen ke tankou yon chanjman pral sèlman valab nan yon sesyon.
de sa Pèmanan se te pote soti atravè sudo Firewall-km --Zone = Piblik --permanent --DD-sèvis = HTTP, ak rezilta a "Siksè" endike fini nan siksè nan operasyon an.
Ou kapab wè yon lis konplè sou règleman pèmanan pou yon zòn espesifik pa montre yon lis nan yon liy separe nan konsole a: Sudo Firewall-Km --Zone = Piblik --permanent --list-Sèvis.
pwoblèm Desizyon ak mank nan aksè nan sèvis la
Règleman Creole Firewall yo endike nan sèvis yo ki pi popilè ak an sekirite kòm pèmèt, men gen kèk aplikasyon estanda oswa twazyèm-pati li blòk. Nan ka sa a, itilizatè a manyèlman bezwen chanje anviwònman yo yo rezoud pwoblèm nan ak aksè. Ou ka fè sa nan de diferan metòd.
Pò pò
Kòm ou konnen, tout sèvis rezo sèvi ak yon pò espesifik. Li se fasil detekte avèk yon firewall, ak blòk ka fèt. Pou evite aksyon sa yo soti nan firewall a, ou bezwen louvri pò a vle nan sudo firewall-cmd --zone = piblik la - Portd-pò = 0000 / tchp, kote --zone = piblik se yon zòn pò, --dd- Port = 0000 / tchp - nimewo pò ak pwotokòl. Opsyon nan firewall-cmd --list-pò pral montre yon lis nan pò louvri.
Si ou bezwen louvri pò enkli nan seri a, sèvi ak fisèl la sudo firewall-cmd --zone = piblik --dd-pò = 0000-9999 / udp, kote --add-pò = 0000-9999 / udp - seri pò ak pwotokòl yo.
Kòmandman ki anwo yo sèlman pèmèt ou teste itilize nan paramèt menm jan an. Si li te pase avèk siksè, ou ta dwe ajoute pò yo menm nan anviwònman konstan, ak sa a se fè pa k ap antre nan sudo firewall-cmd --zone = piblik --permanent --add-pò = 0000 / tcp oswa sudo firewall-cmd - Zòn = Piblik --Permanent --Add-Port = 0000-9999 / UDP. Se lis la nan pò pèmanan louvri wè jan sa a: sudo firewall-cmd --zone = piblik --permanent --list-pò.
Definisyon Sèvis
Kòm ou ka wè, ajoute pò pa lakòz okenn difikilte, men se pwosedi a konplike lè aplikasyon pou sèvi ak yon gwo kantite lajan. Pou swiv tout pò itilize vin difisil, nan gade nan ki detèminasyon an sèvis yo pral plis kòrèk opsyon:
- Kopi dosye a konfigirasyon pa ekri sudo cp /usr/lib/firewalld/services/service.xml /etc/firewalld/services/firewalld/services/example.xml, kote service.xml se non an nan dosye a sèvis, ak example.xml la se non an Non kopi li yo.
- Louvri yon kopi pou chanje via nenpòt editè tèks, pou egzanp, sudo nano /etc/firewalld/services/exampled.xml.
- Pou egzanp, nou te kreye yon kopi sèvis la HTTP. Nan dokiman an, ou fondamantalman wè divès kalite Metadata, pou egzanp, yon non kout ak deskripsyon. Li afekte sèvè a nan travay sèlman chanjman an nan nimewo a pò ak pwotokòl. Pi wo pase fisèl la "" ta dwe ajoute nan louvri pò a. TCP - itilize pwotokòl, yon 0000 - nimewo pò.
- Sove tout chanjman (Ctrl + O), fèmen dosye a (Ctrl + X), ak Lè sa a, rekòmanse firewall a pou aplike pou paramèt yo nan Sudo Firewall-CMD --reload la. Apre sa, sèvis la ap parèt nan lis la nan ki disponib, ki ka wè atravè firewall-cmd - -Jwenn-sèvis yo.
Ou gen sèlman yo chwazi solisyon ki pi apwopriye nan pwoblèm nan sèvis ki gen aksè nan sèvis la ak egzekite enstriksyon yo bay la. Kòm ou ka wè, tout aksyon yo fèt byen fasil, epi ta dwe gen okenn difikilte.
Kreye Zòn Custom
Ou deja konnen ke nan okòmansman yon gwo kantite zòn divès ak règleman defini ki te kreye nan firewalld. Sepandan, sitiyasyon rive lè administratè a sistèm bezwen yo kreye yon zòn itilizatè, tankou "publicweb" pou sèvè a sit entènèt enstale oswa "PriveN" - pou sèvè a dns. Sou de egzanp sa yo, nou pral analize adisyon a nan branch yo:
- Kreye de nouvo zòn pèmanan pa sudo firewall-cmd --permanent --new-zòn = publicweb ak sudo firewall-cmd --permanent --new-zòn = privatedns.
- Yo pral disponib apre rdemare zouti nan sudo firewall-cmd --reload. Montre zòn pèmanan, antre nan Sudo firewall-cmd --permanent --zòn yo.
- Bay yo sèvis ki nesesè yo, tankou "SSH", "http" ak "https". Sa yo fè pa sudo firewall-cmd a --zone = publicweb --Add-sèvis = ssh, sudo firewall-cmd --zone = publicweb --do-sèvis = publicweb --do firewall-cmd - publicweb - publicweb - Add- sèvis = https, kote --zone = publicweb se non zòn nan pou ajoute. Ou ka wè aktivite a nan sèvis pa annatant firewall-cmd --zone = publicweb --list-tout.
Soti nan atik sa a, ou te aprann kouman yo kreye zòn koutim epi ajoute sèvis yo. Nou te deja di yo kòm default ak plase interfaces pi wo a, ou ka sèlman presize non yo kòrèk. Pa bliye rekòmanse firewall la apre yo fin fè nenpòt chanjman pèmanan.
Kòm ou ka wè, firewalld firewall se yon zouti san patipri varmetik ki pèmèt ou fè konfigirasyon ki pi fleksib nan firewall la. Li rete sèlman a asire w ke sèvis piblik la lanse ak sistèm nan ak règ yo espesifye imedyatman kòmanse travay yo. Fè l 'ak Sudo SystemctL la Pèmèt Firewalld lòd.