Կազմաձեւեք Firewall- ը Centos 7-ում

Օպերացիոն համակարգում տեղադրված firewall- ը օգտագործվում է համակարգչային ցանցերի միջեւ չարտոնված երթեւեկությունը կանխելու համար: Ձեռնարկ կամ ինքնաբերաբար ստեղծում է հատուկ կանոններ Firewall- ի համար, որոնք պատասխանատու են մուտքի վերահսկման համար: Linux միջուկի վրա, որը զարգացած է Linux միջուկի վրա, Centos 7 Կա ներկառուցված firewall, եւ այն վերահսկվում է Firewall- ի կողմից: Լռելյայն firewall- ը ներգրավված է, եւ մենք այսօր կցանկանայինք խոսել այդ մասին:

Անհատականացրեք Firewall- ը Centos 7-ում

Ինչպես նշվեց վերեւում, Centos 7-ում ստանդարտ firewall- ը նշանակվում է firewalld գործիք: Այդ իսկ պատճառով Firewall- ի պարամետրը կքննարկվի այս գործիքի օրինակով: Դուք կարող եք զտիչ կանոնները դնել նույն iPlables- ով, բայց այն իրականացվում է մի փոքր այլ: Մենք խորհուրդ ենք տալիս ծանոթանալ նշված կոմունալ կազմաձեւմանը `կտտացնելով հետեւյալ հղումը, եւ մենք կսկսենք firewalld- ի ապամոնտաժումը:

Եթե ​​միանգամից ժամանակավորապես կամ մշտապես անջատելու եք firewall- ը, մենք խորհուրդ ենք տալիս օգտագործել հետեւյալ հղումով մյուս հոդվածում ներկայացված ցուցումները:

Կարդացեք ավելին. Անջատեք Firewall- ը Centos 7-ում

Դիտեք կանխադրված կանոնները եւ մատչելի գոտիները

Նույնիսկ կանոնավոր firewall- ն ունի իր որոշակի կանոններ եւ մատչելի գոտիներ: Քաղաքագետը խմբագրելուց առաջ մենք խորհուրդ ենք տալիս ծանոթանալ ներկայիս կազմաձեւին: Դա արվում է պարզ հրամանների միջոցով.

1. Լռելյայն գոտին կորոշի Firewall-CMD - դեֆոլտ-լռելյայն գոտի հրամանը:



2. Դրա ակտիվացումից հետո կտեսնեք նոր լար, որտեղ կցուցադրվի ցանկալի պարամետրը: Օրինակ, «հանրային» գոտին դիտարկվում է ստորեւ նկարահանության մեջ:



3. Այնուամենայնիվ, մի քանի գոտիներ անմիջապես կարող են ակտիվ լինել, բացի այդ, դրանք կապված են առանձին ինտերֆեյսի հետ: Բացահայտեք այս տեղեկատվությունը Firewall-CMD- ի միջոցով `ակտիվ-ակտիվ գոտիներ:



4. Firewall-CMD - ցուցակ-Ամբողջ հրամանը կցուցադրի լռելյայն գոտու համար սահմանված կանոնները: Ուշադրություն դարձրեք ներքեւում գտնվող սքրինշոթին: Դուք տեսնում եք, որ «հանրային» ակտիվ գոտին հանձնարարված է «Default» կանոնը `լռելյայն գործառույթը, ENP0S3 ինտերֆեյսը եւ երկու ծառայություններ:



5. Եթե ​​անհրաժեշտ է իմանալ բոլոր առկա Firewall գոտիները, մուտքագրեք firewall-cmd --get-ones:



6. Հատուկ գոտու պարամետրերը սահմանվում են Firewall-CMD - Zone = Name - List-All, որտեղ անունն է գոտու անվանումը:

Պահանջվող պարամետրերը որոշելուց հետո կարող եք տեղափոխվել դրանց փոփոխություն եւ լրացում: Եկեք վերլուծենք մանրամասնորեն ամենատարածված կազմաձեւերից մի քանիսը:

Ինտերֆեյսի գոտիներ տեղադրելը

Ինչպես գիտեք վերը նշված տեղեկատվությունից, ձեր լռելյայն գոտին սահմանվում է յուրաքանչյուր ինտերֆեյսի համար: Դա կլինի դրա մեջ, մինչեւ պարամետրերը փոխեն օգտագործողը կամ ծրագրավորմամբ: Հնարավոր է ձեռքով փոխանցել ինտերֆեյսը մեկ նստաշրջանի գոտի, եւ այն իրականացվում է `ակտիվացնելով Sudo Firewall-CMD - Zone = Home Command-Interface = Eth0: Արդյունքը «հաջողություն» հուշում է, որ փոխանցումը հաջող է: Հիշեցնենք, որ նման պարամետրերը վերականգնում են Firewall- ը վերագործարկելուց անմիջապես հետո:

Պարամետրերի նման փոփոխությամբ պետք է հաշվի առնել, որ ծառայությունների աշխատանքը կարող է վերափոխվել: Նրանցից ոմանք չեն պաշտպանում որոշակի գոտիներում գործող, ասենք, SSH, չնայած հասանելի է «տանը», բայց օգտագործողը կամ հատուկ ծառայությունը կաշխատեն: Համոզվեք, որ ինտերֆեյսը հաջողությամբ կապված է նոր մասնաճյուղի հետ, մուտքագրելով Firewall-CMD - գործիչ-ակտիվ գոտիներ:

Եթե ​​ցանկանում եք վերականգնել նախկինում պատրաստված պարամետրերը, պարզապես գործարկեք Firewall- ի վերագործարկումը. Sudo Systemctl Restart Firewalld.service.

Երբեմն միշտ չէ, որ հարմար է փոխել ինտերֆեյսի գոտին ընդամենը մեկ նստաշրջանում: Այս դեպքում ձեզ հարկավոր է խմբագրել կազմաձեւման ֆայլը, որպեսզի բոլոր պարամետրերը զգուշացվեն մշտական ​​հիմունքներով: Դա անելու համար մենք խորհուրդ ենք տալիս օգտագործել Nano տեքստի խմբագիր, որը տեղադրված է Sudo Yum Install Nano տեղադրված պաշտոնական պահեստից: Հաջորդը շարունակում է մնալ նման գործողություններ.

1. Բացեք կազմաձեւման ֆայլը խմբագրի միջոցով `մուտքագրելով SUDO Nano / ETC / Sysconfig / Network-scripips / IFCFGG-ET0, որտեղ էթվոմը պահանջվող ինտերֆեյսի անունն է:



2. Հաստատեք ձեր հաշվի վավերացումը `հետագա գործողություններ կատարելու համար:



3. Դասավորեք «գոտու» պարամետրը եւ փոխեք դրա արժեքը ցանկալիին, օրինակ, հանրային կամ տուն:



4. Պահեք Ctrl + O ստեղները `փոփոխությունները պահպանելու համար:



5. Մի փոխեք ֆայլի անունը, բայց պարզապես կտտացրեք Enter- ին:



6. Ելեք տեքստի խմբագրին Ctrl + X- ի միջոցով:

Այժմ ինտերֆեյսի գոտին կլինի այն մեկը, որը դուք նշել եք այն, մինչեւ կազմաձեւման ֆայլի հաջորդ խմբագրումը: Թարմացված պարամետրերի համար գործարկեք Sudo Systemctl RestArt Network.service եւ Sudo Systemctl Restart Firewalld.service.

Լռելյայն գոտու սահմանում

Վերեւում մենք արդեն ցուցադրել ենք մի թիմ, որը թույլ է տալիս սովորել լռելյայն գոտին: Այն կարող է նաեւ փոխվել `պարամետրը դնելով ձեր ընտրությամբ: Դա անելու համար, վահանակում, բավական է գրանցել Sudo Firewall-CMD - դեֆոլտ-գոտի = անուն, որտեղ անունը անհրաժեշտ գոտի է:

Հրամանության հաջողությունը կհրապարակվի «Հաջողություն» մակագրությամբ առանձին գծում: Դրանից հետո բոլոր ընթացիկ միջերեսները կծնվեն նշված գոտում, եթե մյուսը նշված չէ կազմաձեւման ֆայլերում:

Ծրագրերի եւ կոմունալ ծառայությունների կանոնների ստեղծում

Հոդվածի հենց սկզբում մենք խոսեցինք յուրաքանչյուր գոտու գործողությունների մասին: Նման մասնաճյուղերում ծառայությունների, կոմունալ ծառայությունների եւ ծրագրերի սահմանում թույլ կտա կիրառել անհատական ​​պարամետրեր յուրաքանչյուրի համար յուրաքանչյուր օգտագործողի խնդրանքների համար: Սկսելու համար մենք խորհուրդ ենք տալիս ծանոթանալ ներկայումս մատչելի ծառայությունների ամբողջական ցանկին. Firewall-CMD - ստեղների ծառայություններ:

Արդյունքը կցուցադրվի ուղղակիորեն վահանակի մեջ: Յուրաքանչյուր սերվեր բաժանվում է տարածության միջոցով, եւ հեշտությամբ կարող եք գտնել ձեզ հետաքրքրող գործիք: Եթե ​​պահանջվող ծառայությունը բացակայում է, ապա այն պետք է լրացուցիչ տեղադրվի: Տեղադրման կանոնների վերաբերյալ, կարդացեք ծրագրային ապահովման պաշտոնական փաստաթղթերում:

Վերոնշյալ հրամանը ցույց է տալիս միայն ծառայությունների անունները: Դրանցից յուրաքանչյուրի համար մանրամասն տեղեկություններ ստացվում են անհատական ​​ֆայլի միջոցով Ուղի / USR / LIB / Firewalld / ծառայություններ: Նման փաստաթղթերը ունեն XML ձեւաչափ, ուղին, օրինակ, SSH- ի նման, ինչպես նաեւ այսպիսին է.

SSH

Ապահով Shell (SSH) արձանագրություն է հեռավոր մեքենաներում հրամաններ մուտք գործելու եւ իրականացնելու համար: Այն ապահովում է անվտանգ կոդավորված հաղորդակցություններ: Եթե ​​պլանավորում եք մուտք գործել ձեր մեքենայի վերամշակման միջոցով SSH- ի միջոցով firewall ինտերֆեյսի միջոցով, միացրեք այս տարբերակը: Այս տարբերակի համար անհրաժեշտ է տեղադրել Openssh-Server փաթեթը:

Ծառայության աջակցությունն ակտիվացված է հատուկ գոտում ձեռքով: Տերմինալում դուք պետք է սահմանեք Sudo Firewall-CMD - Zone = Public - DD- ծառայություն = HTTP հրամանը, որտեղ - Zone = հանրային է ակտիվացման գոտի եւ HTTP - ծառայության անվանումը: Նկատի ունեցեք, որ նման փոփոխությունը ուժի մեջ կլինի միայն մեկ նստաշրջանի ընթացքում:

Մշտական ​​հավելումն իրականացվում է Sudo Firewall-CMD - Zone = Public - Public - Service = HTTP եւ «Հաջողություն» արդյունքը ցույց է տալիս գործողության հաջող ավարտը:

Կարող եք դիտել որոշակի գոտու մշտական ​​կանոնների ամբողջական ցուցակը `ցուցակը ցուցադրել վահանակի առանձին գծում. Sudo Firewall-CMD - Zone = հանրային - գերեզմանատ.

Որոշման խնդիր `ծառայության մատչելիության բացակայությամբ

Ստանդարտ firewall- ի կանոնները նշվում են ամենատարածված եւ անվտանգ ծառայություններով, ինչպես թույլատրված է, բայց որոշ ստանդարտ կամ երրորդ կողմի դիմումներ այն արգելափակում է: Այս դեպքում օգտագործողը ձեռքով պետք է փոխի կարգավորումները `խնդիրը լուծելու համար: Դուք կարող եք դա անել երկու տարբեր մեթոդներով:

Portes Port

Ինչպես գիտեք, ցանցային բոլոր ծառայությունները օգտագործում են հատուկ նավահանգիստ: Այն հեշտությամբ հայտնաբերվում է firewall- ի կողմից, եւ բլոկները կարող են իրականացվել: Firewall- ից նման գործողություններից խուսափելու համար հարկավոր է բացել սուդո firewall-cmd - cmon = publi - port-port = 0000 / TCP- ի ցանկալի նավահանգիստ = 0000 / TCP, որտեղ - Տարբեր Port = 0000 / TCP - նավահանգստի համարը եւ արձանագրությունը: Firewall-CMD - Լիստ-պորտերի տարբերակը կցուցադրի բաց նավահանգիստների ցուցակ:

Եթե ​​Ձեզ անհրաժեշտ է նավահանգիստներ բացել միջակայքում, օգտագործեք SUDO Firewall-CMD լարային լարերը - Zone = Publish - DD-Port = 0000-9999 / UDP, որտեղ -> Port = 0000-9999 / UDP - Port Range եւ նրանց արձանագրությունը:

Վերոնշյալ հրահանգները միայն թույլ են տալիս փորձարկել նման պարամետրերի օգտագործումը: Եթե ​​այն հաջողությամբ անցավ, ապա պետք է նույն նավահանգիստը ավելացնեք մշտական ​​պարամետրերին, եւ դա արվում է SUDO Firewall-CMD - Zone = Public - Port-CMD - Գոտու = հանրային - Port-Port = 0000-9999 / UDP: Բաց մշտական ​​նավահանգիստների ցանկը դիտվում է հետեւյալ կերպ. Sudo Firewall-CMD - Zone = հանրային - Ports.

Ծառայության որոշում

Ինչպես տեսնում եք, նավահանգիստները ավելացնելը որեւէ դժվարություն չի առաջացնում, բայց ընթացակարգը բարդ է, երբ դիմումները օգտագործում են մեծ քանակություն: Բոլոր օգտագործված նավահանգիստներին հետեւելու համար դժվար է, հաշվի առնելով, թե որքանով է ծառայության որոշումը կլինի ավելի ճիշտ տարբերակ.

1. Պատճենեք կազմաձեւման ֆայլը `գրելով SUDO CP / TRIFEWALLD/service/service.xml /etc/firewalld/service/example.xml, որտեղ ծառայության ֆայլը է .XML անվանումը դրա պատճենների անվանումը:



2. Բացեք պատճենը ցանկացած տեքստի խմբագրիչի միջոցով փոխելու համար, օրինակ, Sudo Nano /etc/firewalld/service.xml:



3. Օրինակ, մենք ստեղծել ենք HTTP ծառայության պատճենը: Փաստաթղթում, ըստ էության, տեսնում եք տարբեր մետատվյալներ, օրինակ, կարճ անուն եւ նկարագրություն: Այն ազդում է սերվերի վրա `միայն նավահանգստի եւ արձանագրության փոփոխությունը: Լարի վերեւում «» պետք է ավելացվի նավահանգիստը բացելու համար: TCP - օգտագործված արձանագրություն, A0000 - նավահանգստի համարը:



4. Պահպանեք բոլոր փոփոխությունները (Ctrl + O), փակեք ֆայլը (Ctrl + X), ապա վերագործարկեք Firewall- ը `պարամետրերը կիրառելու SUDO Firewall-CMD - արտադրանքի միջոցով: Դրանից հետո ծառայությունը կհայտնվի առկա ցանկում, որը կարելի է դիտել Firewall-CMD- ի միջոցով:

Դուք միայն պետք է ընտրեք ծառայության խնդրի ամենահարմար լուծումը `ծառայության հասանելիության եւ կատարված ցուցումները կատարելու համար: Ինչպես տեսնում եք, բոլոր գործողությունները կատարվում են բավականին հեշտ, եւ դժվարություններ չպետք է լինեն:

Ստեղծելով պատվերով գոտիներ

Դուք արդեն գիտեք, որ սկզբնականում Firewalld- ում ստեղծվել է մեծ թվով բազմազան տարբերակներ: Այնուամենայնիվ, իրավիճակները տեղի են ունենում այն ​​ժամանակ, երբ համակարգի ադմինիստրատորը պետք է ստեղծի օգտագործողի գոտի, ինչպիսիք են «PublicWeb» տեղադրված վեբ սերվերի կամ «PRIVATES» - ի համար: DNS սերվերի համար: Այս երկու օրինակների ընթացքում մենք կվերլուծենք մասնաճյուղերի ավելացումը.

1. Ստեղծեք երկու նոր մշտական ​​գոտիներ Sudo Firewall-CMD - New-Zone = PublicWeb եւ Sudo Firewall-CMD - New-Zone = PRIVATISS.



2. Դրանք հասանելի կլինեն սուդո Firewall-CMD - արտադրանքի գործիք վերագործարկելուց հետո: Մշտական ​​գոտիներ ցուցադրելու համար մուտքագրեք Sudo Firewall-CMD - Propermanent --get-Zones:



3. Նրանց հանձնարարեք անհրաժեշտ ծառայություններ, ինչպիսիք են «SSH», «HTTP» եւ «HTTPS»: Սրանք իրականացվում են Sudo Firewall-CMD - Zone = PublicWeb --Add-Service = SSH, SUDO Firewall-CMD - Zone = PublicWeb --Do-Service = Publicweb - PublicWeb - Add- Service = HTTPS, որտեղ - Zone = PublicWeb- ը գոտու անունն է `ավելացնելու համար: Դուք կարող եք դիտել ծառայությունների գործունեությունը `սպասվող Firewall-CMD --ZONE = PublicWeb - ցուցակ-բոլորի կողմից:

Այս հոդվածից դուք սովորեցիք, թե ինչպես ստեղծել մաքսային գոտիներ եւ դրանց ծառայություններ ավելացնել: Մենք արդեն նրանց ասել ենք որպես լռելյայն եւ վերոնշյալ ինտերֆեյսեր նշանակել, կարող եք նշել միայն ճիշտ անունները: Մի մոռացեք վերագործարկել firewall- ը ցանկացած մշտական ​​փոփոխություն կատարելուց հետո:

Ինչպես տեսնում եք, Firewalld Firewall- ը բավականին ծավալային գործիք է, որը թույլ է տալիս կատարել firewall- ի առավել ճկուն կազմաձեւը: Մնում է միայն համոզվել, որ կոմունալը գործարկվում է համակարգի հետ, եւ նշված կանոնները անմիջապես սկսում են իրենց աշխատանքը: Դարձրեք այն Sudo Systemctl- ով միացնել Firewalld հրամանը: