Įrengtos operacinėje sistemoje įdiegta ugniasienė naudojama neleistinam eismui tarp kompiuterių tinklų. Rankinis arba automatiškai sukuria specialias ugniasienės taisykles, kurios yra atsakingos už prieigos kontrolę. OS, sukurta "Linux" branduoliui, Centos 7 yra įmontuota ugniasienė, ir ją valdo ugniasienė. Numatytasis ugniasienė dalyvauja, ir mes norėtume apie tai kalbėti šiandien.
Pritaikyti užkardą Centose 7
Kaip minėta pirmiau, standartinė užkarda Centose 7 priskiriamas užkardos įrankis. Štai kodėl ugniasienės nustatymas bus svarstomas šio įrankio pavyzdyje. Filtravimo taisykles galite nustatyti su tomis pačiomis Iptables, tačiau ji atliekama šiek tiek kitokia. Rekomenduojame susipažinti su minėtos naudingumo konfigūracija spustelėję toliau pateiktą nuorodą ir pradėsime firewalld išmontavimą.Jei vieną kartą turėsite laikinai arba visam laikui išjungti užkardą, mes rekomenduojame naudoti kitame straipsnyje pateiktas instrukcijas pagal šią nuorodą.
Skaityti daugiau: Išjunkite ugniasienę Centose 7
Peržiūrėti numatytasis taisykles ir prieinamas zonas
Netgi reguliariai užkarda turi savo aiškias taisykles ir prieinamas zonas. Prieš pradedant politiko redagavimą, mes patariame susipažinti su dabartine konfigūracija. Tai daroma naudojant paprastas komandas:
- Numatytoji zona nustatys ugniasienės-cmd - numatytąją zonos komandą.
- Po jo aktyvinimo pamatysite naują eilutę, kurioje bus rodomas norimas parametras. Pavyzdžiui, "Viešoji" zona yra laikoma ekrano ekrane.
- Tačiau kelios zonos gali būti aktyvios nedelsiant, be to, jie yra susieti su atskira sąsaja. Sužinokite šią informaciją per ugniasienės-cmd - aktyvias-zonas.
- "Firewall-Cmd" - visos komandos bus rodomos numatytosios zonos taisyklės. Atkreipkite dėmesį į žemiau esantį ekrano kopiją. Jūs matote, kad aktyvi zona "visuomenei" priskiriamas "Numatytoji" taisyklė - numatytoji funkcija, papildoma EKP0S3 sąsaja ir dvi paslaugos.
- Jei turite būtinybę išmokti visas turimas ugniasienės zonas, įveskite ugniasienės-cmd - zonas.
- Konkrečios zonos parametrai yra apibrėžti per ugniasienės-cmd --zone = vardas - sąrašą, kur pavadinimas yra zonos pavadinimas.
Nustačius reikiamus parametrus, galite pereiti prie jų pakeitimo ir papildymo. Analizuosime keletą populiariausių konfigūracijų išsamiai.
Sąsajos zonų nustatymas
Kaip žinote iš aukščiau pateiktos informacijos, jūsų numatytoji zona yra apibrėžta kiekvienai sąsajai. Tai bus jame, kol nustatymai pakeis naudotoją arba programiškai. Galima rankiniu būdu perduoti sąsają į zoną per sesiją, ir jis atliekamas aktyvuojant SUDO ugniasienės-cmd --zone = Pradžia Command --Change-Interface = Eth0. Rezultatas "sėkmė" rodo, kad perdavimas buvo sėkmingas. Prisiminkite, kad tokie nustatymai iš naujo nustatomi iš naujo po užkardos.
Su tokiu parametrų pasikeitimu reikėtų nepamiršti, kad paslaugų veikimas gali būti atstatytas. Kai kurie iš jų nepalaiko veikimo tam tikrose zonose, tarkim, SSH, nors ir prieinama "namuose", bet naudotojui ar specialiojoje paslaugoje dirbs. Įsitikinkite, kad sąsaja buvo sėkmingai susieta su nauju filialu, įvesdami ugniasienės-cmd - aktyvios zonos.
Jei norite iš naujo nustatyti anksčiau padarytus nustatymus, tiesiog paleiskite ugniasienės paleidimą: sudo Systemctl Restart Firewalld.Service.
Kartais ne visada patogu keisti sąsajos zoną tik vienoje sesijoje. Tokiu atveju jums reikės redaguoti konfigūracijos failą, kad visi nustatymai būtų emigruoti nuolat. Norėdami tai padaryti, mes rekomenduojame naudoti "Nano" teksto redaktorių, kuris yra įdiegtas iš oficialaus "Sudo Yum" saugojimo Nano. Toliau išlieka tokie veiksmai:
- Atidarykite konfigūracijos failą per redaktorių įvedant SUDO NANO / ETC / SYSSCONFIG / Tinklo-scenarijus / IFCFG-ETH0, kur ETH0 yra reikiamos sąsajos pavadinimas.
- Patvirtinkite savo paskyros autentifikavimą atlikti tolesnius veiksmus.
- "Zone" parametro išdėstymas ir pakeiskite savo vertę norimam, pavyzdžiui, viešai ar namuose.
- Laikykite Ctrl + O klavišus, kad išsaugotumėte pakeitimus.
- Nenaudokite failo pavadinimo, bet tiesiog spustelėkite įvesti.
- Išeikite iš teksto redaktoriaus per Ctrl + X.
Dabar sąsajos zona bus tas, kurį nurodėte, kol bus atliktas kitas konfigūracijos failo redagavimas. Atnaujintų parametrų, paleiskite "Sudo Systemctl Restart" tinklą.
Numatytosios zonos nustatymas
Aukščiau, mes jau parodėme komandą, kuri leidžia jums išmokti numatytąją zoną. Jis taip pat gali būti pakeistas nustatydami parametrą į pasirinktą. Norėdami tai padaryti, konsolėje, pakanka užregistruoti sudo ugniasienės-cmd - Numatytoji zona = vardas, kur pavadinimas yra reikiamos zonos pavadinimas.
Komandos sėkmė bus patvirtinta užrašą "Sėkmė" atskiroje eilutėje. Po to visos dabartinės sąsajos bus gimę į nurodytą zoną, jei kita nėra nurodyta konfigūracijos failuose.
Programų ir komunalinių paslaugų taisyklių kūrimas
Straipsnio pradžioje kalbėjomės apie kiekvienos zonos veikimą. Apibrėžiant paslaugas, komunalines paslaugas ir programas tokiose šakose leis taikyti individualius parametrus kiekvienam iš jų kiekvienam vartotojo užklausoms. Norėdami pradėti, mes rekomenduojame jus supažindinti su visais prieinamų paslaugų sąrašu: ugniasienės-cmd - paslaugos.
Rezultatas bus rodomas tiesiai į konsolę. Kiekvienas serveris yra padalintas iš vietos, ir jūs galite lengvai rasti jus dominančią priemonę. Jei trūksta reikalingos paslaugos, jis turėtų būti įdiegtas. Dėl diegimo taisyklių skaitykite oficialioje programinės įrangos dokumentuose.
Pirmiau minėta komanda parodo tik paslaugų pavadinimus. Išsami informacija apie kiekvieną iš jų gaunama per individualų failą kelyje / USR / LIB / ugniasienės / paslaugos. Tokie dokumentai turi XML formatą, pavyzdžiui, SSH atrodo taip: /usr/lib/firewalld/services/ssh.xml, ir dokumentas turi tokį turinį:
Ssh.
"Secure Shell" (SSH) yra nuotolinių įrenginių komandų prisijungimo ir vykdymo protokolas. Jis užtikrina saugų šifruotą ryšį. Jei planuojate pasiekti savo mašiną "Remotenet" per SSH per užkardinę sąsają, įjunkite šią parinktį. Jei norite, kad ši parinktis būtų naudinga, jums reikia "Openssh-Server" paketo.
Paslaugų palaikymas yra įjungtas konkrečioje zonoje rankiniu būdu. Terminale, turėtumėte nustatyti sudo ugniasienės-cmd --zone = visuomenės --DD-service = http komanda, kur --Zone = visuomenė yra aktyvinimo zona, ir --dd-service = http - paslaugų pavadinimas. Atkreipkite dėmesį, kad toks pakeitimas galioja tik per vieną sesiją.
Nuolatinis papildymas atliekamas per SUDO ugniasienės-cmd --zone = Public --Permanent --DD-service = http, o rezultatas "Sėkmė" rodo sėkmingą operacijos užbaigimą.
Galite peržiūrėti visišką nuolatinių taisyklių sąrašą konkrečios zonos rodant sąrašą atskiroje konsolės eilutėje: sudo ugniasienės-cmd --zone = viešieji --permanent - sąrašą.
Sprendimų problema, susijusi su prieigos prie paslaugų stoka
Standartinės užkardos taisyklės nurodomos populiariausios ir saugios paslaugos, bet ir kai kurie standartiniai ar trečiųjų šalių programų IT blokai. Šiuo atveju vartotojas rankiniu būdu turi pakeisti nustatymus, kad išspręstumėte problemą su prieiga. Tai galite padaryti dviem skirtingais metodais.
Portai Port.
Kaip žinote, visos tinklo paslaugos naudoja konkretų uostą. Jis yra lengvai aptinkamas užkarda, ir blokai gali būti atliekami. Siekiant išvengti tokių veiksmų iš ugniasienės, turite atidaryti norimą SUDO ugniasienės-cmd --zone = Port-Port = 0000 / TCP, kur --zone = visuomenė yra uosto teritorija, - ddd- Port = 0000 / TCP - prievado numeris ir protokolas. "Firewall-Cmd -List" prievadų parinktis parodys atvirų uostų sąrašą.
Jei jums reikia atidaryti uostus įtraukti į diapazoną, naudokite SUDO ugniasienės-cmd string --Zone = visuomenės --DD-Port = 0000-9999 / UDP, kur --D-Port = 0000-9999 / UDP - Port Range ir jų protokolą.
Minėtos komandos leidžia tik išbandyti panašių parametrų naudojimą. Jei jis praėjo sėkmingai, turėtumėte pridėti tuos pačius uostus į pastovius parametrus, ir tai daroma įvedant SUDO ugniasienės-cmd --zone = Public --Permanent --Ad-Port = 0000 / TCP arba sudo ugniasienė-Cmd - Zona = Public --Permanent --Ad-Port = 0000-9999 / UDP. Atvirų nuolatinių uostų sąrašas peržiūrimas taip: sudo ugniasienės-cmd --zone = viešieji --permanent - sąrašai.
Paslaugų apibrėžimas
Kaip matote, pridėti prievadų nesukelia jokių sunkumų, tačiau procedūra yra sudėtinga, kai programos naudoja didelę sumą. Norėdami stebėti visus naudotus uostus tampa sunku, atsižvelgiant į tai, kad paslaugų nustatymas bus teisingas:
- Nukopijuokite konfigūracijos failą rašydami sudo cp /lib/lib/lib/plifalld/services/service.xml /etc/firewalld/services/example.xml, kur service.xml yra paslaugos failo pavadinimas, ir pavyzdys.Xml yra jo kopijų pavadinimas.
- Atidarykite kopiją, kad pakeistumėte bet kurį teksto redaktorių, pvz., Sudo nano /etc/firewalld/services/example.xml.
- Pavyzdžiui, sukūrėme HTTP paslaugos kopiją. Dokumente iš esmės matote įvairius metaduomenis, pavyzdžiui, trumpą pavadinimą ir aprašymą. Jis veikia serverį dirbti tik pakeitus uosto numerį ir protokolą. Virš eilutės "" turėtų būti pridėta atidaryti uostą. TCP - naudojamas protokolas, 0000 - prievado numeris.
- Išsaugoti visus pakeitimus (Ctrl + O), uždarykite failą (Ctrl + X) ir tada paleiskite ugniasienę, kad pritaikytumėte parametrus per "Sudo" užkardos-cmd --Reload. Po to paslauga bus rodoma sąraše, kurį galima peržiūrėti per ugniasienės-cmd - paslaugos.
Jūs turite pasirinkti tinkamiausią paslaugų problemos sprendimą su prieiga prie paslaugos ir atlikti pateiktus nurodymus. Kaip matote, visi veiksmai atliekami gana lengvai, ir neturėtų būti jokių sunkumų.
Sukurti pasirinktines zonas
Jūs jau žinote, kad iš pradžių daugybė įvairių zonų su apibrėžtų taisyklių buvo sukurta ugniasienės. Tačiau situacijos atsiranda, kai sistemos administratorius turi sukurti naudotojo zoną, pvz., "PublicWeb" už įdiegtą žiniatinklio serverį arba "Privatizentus" - DNS serveriui. Šiais dviem pavyzdžiais analizuosime filialų pridėjimą:
- Sukurkite dvi naujas nuolatines zonas Sudo ugniasienės-Cmd --Permanent --New-Zone = Publicweb ir sudo ugniasienės-cmd --Permanent --New-Zone = Privatizenai.
- Jie bus prieinami perkraunant "Sudo" užkardos-cmd --Relad įrankį. Norėdami rodyti nuolatines zonas, įveskite "Sudo" ugniasienės-cmd - clemanent - zonas.
- Priskirkite jiems reikalingas paslaugas, pvz., "SSH", "http" ir "https". Tai daroma Sudo ugniasienės-cmd --zone = publicweb --add-service = ssh, sudo ugniasienės-cmd --zone = publicweb --do-service = publicweb - do firewall-cmd - publicweb - publicweb ADD-SERVICE = HTTPS, kur --Zone = PublicWeb yra zonos pavadinimas, kurį norite pridėti. Galite peržiūrėti paslaugų veiklą laukiančia ugniasienė-cmd --zone = viešbėgio - sąrašą - visi.
Iš šio straipsnio jūs sužinojote, kaip sukurti pasirinktines zonas ir pridėti paslaugas jiems. Mes jau pranešėme jiems kaip numatytąsias ir priskiriant sąsajas aukščiau, galite nurodyti tik teisingus pavadinimus. Nepamirškite iš naujo paleisti ugniasienės po to, kai atliksite nuolatinius pokyčius.
Kaip matote, "Firewalld" užkarda yra gana tūrinė priemonė, leidžianti jums padaryti lanksčiausią ugniasienės konfigūraciją. Tik lieka tik įsitikinti, kad naudingumas paleidžiamas su sistema ir nurodytomis taisyklėmis, nedelsiant pradėti savo darbą. Padarykite jį su "Sudo Systemcl" įgalinkite "Firewalld" komandą.