FirewallD-ni RHEL/CentOS 7 we Fedora 21-de nädip sazlamaly

Net-filtr hemmämiziň bilşimiz ýaly Linux-da gorag diwary. Firewalld tor zolaklaryny goldaýan diwar diwarlaryny dolandyrmak üçin dinamiki daemondyr. Öňki wersiýasynda RHEL & CentOS 6 iptables-i paket süzgüç çarçuwasy üçin daemon hökmünde ulanýardyk. RHEL / CentOS 7/8 , Fedora we openSUSE - rong> iptables interfeýsi firewalld bilen çalşylýar.

Iptable-leriň ýerine Firewalld ulanyp başlamak maslahat berilýär, sebäbi bu geljekde bes edilip bilner. Şeýle-de bolsa, iptables henizem goldanýar we yum buýrugy bilen gurup bolýar. Firewalld we iptables ikisini-de gapma-garşylyga sebäp bolup biljek bir ulgamda saklap bilmeris.

Iptables-de öň GIRIŞ, OUTPUT & FORWARD CHAINS diýip sazlaýardyk, ýöne bu ýerde Firewalld-da düşünje Zonalary ulanýar. Düzgüne görä, bu makalada ara alnyp maslahatlaşyljak firewalld-da dürli zonalar bar.

Jemgyýetçilik zonasy we hususy zona ýaly esasy zona. Bu zonalar bilen işlemek üçin, görkezilen zona goldawy bilen interfeýsi goşmaly we hyzmatlary firewalld-a goşup bileris.

Düzgüne görä, köp hyzmatlar bar, firewalldyň iň gowy aýratynlyklaryndan biri, öňünden kesgitlenen hyzmatlar bilen gelýär we bu hyzmatlary diňe göçürmek bilen hyzmatlarymyzy goşmak üçin mysal hökmünde alyp bileris.

“Firewalld” IPv4, IPv6 we Ethernet köprüleri bilen ajaýyp işleýär. Firewalld-da aýratyn iş wagty we hemişelik konfigurasiýa bolup biler.

Zonalar bilen nädip işlemelidigimize we öz hyzmatlarymyzy we firewalld-dan has gyzykly ulanylyşyna başlalyň.

Operating System :	CentOS Linux release 7.0.1406 (Core)
IP Address       :	192.168.0.55
Host-name	:	server1.tecmintlocal.com

1-nji ädim: “FireOS” -y “CentOS” -da gurmak

1. “Firewalld” bukjasy, RHEL/CentOS 7/8, Fedora we openSUSE-de gurnalan. Notok bolsa, aşakdaky yum buýrugyny ulanyp gurup bilersiňiz.

# yum install firewalld -y

2. “Firewalld” bukjasy gurlansoň, “iptables” hyzmatynyň işleýändigini ýa-da ýokdugyny barlamagyň wagty geldi, işleýän bolsa, aşakdaky buýruklar bilen iptables hyzmatyny duruzmaly we maskalamaly (mundan beýläk ulanmaly däl).

# systemctl status iptables
# systemctl stop iptables
# systemctl mask iptables

2-nji ädim: Firewalld komponentlerini ara alyp maslahatlaşmak

3. Firewalld konfigurasiýasyna başlamazdan ozal her zonany ara alyp maslahatlaşmak isleýärin. Düzgüne görä, käbir zonalar bar. Zona interfeýsi bellemeli. Zona, baglanyşyk almak üçin interfeýsde ynamly ýa-da inkär edilen zonany kesgitleýär. Zona hyzmatlar we portlar bolup biler.

Bu ýerde, Firewalld-da bar bolan her zonany suratlandyrmakçy.

  • Zolak zolagy : Bu düşýän zonany ulansak, gelýän islendik paket taşlanýar. Bu, iptables -j drop goşmak üçin ulanýanlarymyz bilen deňdir. Açyş düzgünini ulansak, jogap ýok diýmek, diňe çykýan set birikmeleri elýeterli bolar.
  • Blok zolagy : Blok zolagy gelýän tor birikmeleriniň icmp-host-gadaganlygy bilen ret ediljekdigini inkär eder. Diňe serweriň içinde gurlan birikmelere rugsat berler.
  • Jemgyýetçilik zolagy : Saýlanan baglanyşyklary kabul etmek üçin jemgyýetçilik zonasyndaky düzgünleri kesgitläp bileris. Bu, diňe serwerimizde ýörite portuň açylmagyna mümkinçilik döreder, beýleki birikmeler taşlanar.
  • Daşarky zona : Bu zona maskarad bilen marşrutizator opsiýalary hökmünde hereket eder, beýleki birikmeler taşlanar we kabul edilmez, diňe kesgitlenen birikmä rugsat berler.
  • DMZ zonasy : Käbir hyzmatlara halka girmäge rugsat bermeli bolsak, ony DMZ zonasynda kesgitläp bilersiňiz. Bu hem diňe saýlanan giriş birikmeleriniň aýratynlygy bar.
  • Iş zolagy: Bu zonada diňe içerki torlary kesgitläp bileris, ýagny hususy torlaryň traffigine rugsat berilýär.
  • Öý zolagy : Bu zona öýlerde ýörite ulanylýar, bu zonany torlardaky beýleki kompýuterlere her zona ýaly kompýuteriňize zyýan ýetirmezlik üçin ulanyp bileris. Bu hem diňe saýlanan gelýän birikmelere mümkinçilik berýär.
  • Içerki zona : Bu, saýlanan rugsat berlen birikmeler bilen iş zolagyna meňzeýär.
  • Ynamly zona : Ynamly zonany düzsek, ähli traffik kabul ediler.

Indi zonalar barada has gowy düşünje aldyňyz, indi elýeterli zolaklary, deslapky zolaklary tapalyň we aşakdaky buýruklary ulanyp ähli zonalary sanap geçeliň.

# firewall-cmd --get-zones

# firewall-cmd --get-default-zone

# firewall-cmd --list-all-zones

Bellik: aboveokardaky buýrugyň çykyşy bir sahypa gabat gelmez, sebäbi bu blok, dmz, düşmek, daşarky, öý, içerki, jemgyýetçilik, ynamdar we iş ýaly ähli zonalary görkezer. Zonalarda haýsydyr bir baý düzgün bar bolsa, işjeň hyzmatlar ýa-da portlar degişli zona maglumatlary bilen sanawda görkeziler.

3-nji ädim: Bellenen firewalld zolagyny düzmek

4. Bellenen zonany içerki, daşarky, düşýän, işleýän ýa-da başga bir zona hökmünde bellemek isleseňiz, deslapky zonany bellemek üçin aşakdaky buýrugy ulanyp bilersiňiz. Bu ýerde “içerki” zonany deslapky görnüşde ulanýarys.

# firewall-cmd --set-default-zone=internal

5. Zonany düzeniňizden soň, aşakdaky buýrugy ulanyp, deslapky zonany barlaň.

# firewall-cmd --get-default-zone

6. Ynha, interfeýsimiz enp0s3 , haýsy interfeýsiň çäklendirilen zolagyny barlamaly bolsak, aşakdaky buýrugy ulanyp bileris.

# firewall-cmd --get-zone-of-interface=enp0s3

7. “Firewalld” -yň başga bir gyzykly aýratynlygy “icmptype”, firewalld tarapyndan goldanýan icmp görnüşlerinden biridir. Goldanýan icmp görnüşleriniň sanawyny almak üçin aşakdaky buýrugy ulanyp bileris.

# firewall-cmd --get-icmptypes

4-nji ädim: Firewalld-da öz hyzmatlaryňyzy döretmek

8. Hyzmatlar, Firewalld tarapyndan ulanylýan portlar we opsiýalar bilen düzgünleriň toplumy. Işledilen hyzmatlar, “Firewalld” hyzmaty işledilende awtomatiki usulda ýüklener.

Düzgüne görä, ähli hyzmatlaryň sanawyny almak üçin aşakdaky buýrugy ulanyň.

# firewall-cmd --get-services

9. defaulthli elýeterli hyzmatlaryň sanawyny almak üçin aşakdaky kataloga giriň, bu ýerde hyzmatlaryň sanawyny alarsyňyz.

# cd /usr/lib/firewalld/services/

10. Öz hyzmatyňyzy döretmek üçin ony aşakdaky ýerde kesgitlemeli. Mysal üçin, bu ýerde RTMP porty 1935 üçin bir hyzmat goşmak isleýärin, ilki bilen hyzmatlaryň haýsydyr biriniň göçürmesini ediň.

# cd /etc/firewalld/services/
# cp /usr/lib/firewalld/services/ssh.xml /etc/firewalld/services/

Soňra, hyzmat faýlymyzyň göçürilen ýerine geçiň, indiki suratda görkezilişi ýaly ssh.xml faýlyň adyny rtmp.xml diýip üýtgediň.

# cd /etc/firewalld/services/

11. Soňra faýly aşakdaky suratda görkezilişi ýaly RTMP hyzmaty üçin ulanmaly sözbaşy, düşündiriş, teswirnama we port belgisi görnüşinde açyň we redaktirläň.

12. Bu üýtgeşmeleri işjeňleşdirmek üçin firewalld hyzmatyny täzeden açyň ýa-da sazlamalary täzeden açyň.

# firewall-cmd --reload

13. Hyzmatyň goşulandygyny ýa-da ýokdugyny tassyklamak üçin elýeterli hyzmatlaryň sanawyny almak üçin aşakdaky buýrugy işlediň.

# firewall-cmd --get-services

5-nji ädim: Firewalld zolaklaryna hyzmatlary bellemek

14. Bu ýerde firewall-cmd buýrugyny ulanyp, diwar diwaryny nädip dolandyrmalydygyny görmekçi. Gorag diwarynyň we ähli işjeň zolaklaryň häzirki ýagdaýyny bilmek üçin aşakdaky buýrugy ýazyň.

# firewall-cmd --state
# firewall-cmd --get-active-zones

15. enp0s3 interfeýsi üçin jemgyýetçilik zolagyny almak üçin, bu /etc/firewalld/firewalld.conf faýlynda DefaultZone=hökmünde kesgitlenýän adaty interfeýsdir. köpçülik .

Bu deslapky interfeýs zonasyndaky ähli hyzmatlary sanamak üçin.

# firewall-cmd --get-service

6-njy ädim: Firewalld zolaklaryna hyzmatlar goşmak

16. aboveokardaky mysallarda rtmp hyzmatyny döretmek arkaly öz hyzmatlarymyzy nädip döretmelidigini gördük, bu ýerde rtmp hyzmatyny zona nädip goşmalydygyny hem göreris.

# firewall-cmd --add-service=rtmp

17. Goşulan zonany aýyrmak üçin ýazyň.

# firewall-cmd --zone=public --remove-service=rtmp

Aboveokardaky ädim diňe wagtlaýyn döwürdi. Hemişelik bolmagy üçin aşakdaky buýrugy erman hemişelik opsiýasy bilen işletmeli.

# firewall-cmd --add-service=rtmp --permanent
# firewall-cmd --reload

18. Tor çeşmesiniň aralygynyň düzgünlerini kesgitläň we portlaryň islendigini açyň. Mysal üçin, tor aralygyny açmak isleseňiz, 192.168.0.0/24 we 1935 port aşakdaky buýruklary ulanyň.

# firewall-cmd --permanent --add-source=192.168.0.0/24
# firewall-cmd --permanent --add-port=1935/tcp

Haýsydyr bir hyzmatlary ýa-da portlary goşanyňyzdan ýa-da aýyranyňyzdan soň, firewalld hyzmatyny täzeden açyň.

# firewall-cmd --reload 
# firewall-cmd --list-all

7-nji ädim: Tor aralygy üçin baý düzgünleri goşmak

19. http, https, vnc-server, PostgreSQL ýaly hyzmatlara rugsat bermek islesem, aşakdaky düzgünleri ulanýarsyňyz. Ilki bilen düzgüni goşuň we ony hemişelik ediň we düzgünleri täzeden ýükläň we ýagdaýyny barlaň.

# firewall-cmd --add-rich-rule 'rule family="ipv4" source address="192.168.0.0/24" service name="http" accept' 
# firewall-cmd --add-rich-rule 'rule family="ipv4" source address="192.168.0.0/24" service name="http" accept' --permanent

# firewall-cmd --add-rich-rule 'rule family="ipv4" source address="192.168.0.0/24" service name="https" accept'
# firewall-cmd --add-rich-rule 'rule family="ipv4" source address="192.168.0.0/24" service name="https" accept' --permanent

# firewall-cmd --add-rich-rule 'rule family="ipv4" source address="192.168.0.0/24" service name="vnc-server" accept'
# firewall-cmd --add-rich-rule 'rule family="ipv4" source address="192.168.0.0/24" service name="vnc-server" accept' --permanent

# firewall-cmd --add-rich-rule 'rule family="ipv4" source address="192.168.0.0/24" service name="postgresql" accept'
# firewall-cmd --add-rich-rule 'rule family="ipv4" source address="192.168.0.0/24" service name="postgresql" accept' --permanent

Indi, Tor aralygy 192.168.0.0/24 ýokardaky hyzmaty serwerimden ulanyp biler. erman Hemişelik opsiýasyny her düzgünde ulanyp bolýar, ýöne düzgüni kesgitlemeli we müşderiniň elýeterliligini barlamaly, şondan soň hemişelik etmeli.

20. aboveokardaky düzgünleri goşanyňyzdan soň, diwar diwarynyň düzgünlerini täzeden ýüklemegi we ulanylýan düzgünleri sanamagy ýatdan çykarmaň:

# firewall-cmd --reload
# firewall-cmd --list-all

Firewalld hakda has giňişleýin bilmek.

# man firewalld

Ine, RHEL/CentOS we Fedora-da Firewalld ulanyp, net-süzgüç gurmagyň usullaryny gördük.

Net-süzgüç, her Linux paýlanyşy üçin gorag diwary üçin çarçuwadyr. Her RHEL we CentOS neşirlerinde iptable ulanýardyk, ýöne has täze wersiýalarynda Firewalld-y hödürlediler. Firewalld-a düşünmek we ulanmak has aňsat. Theazmakdan lezzet alarsyňyz diýip umyt edýärin.