FirewallD-ni RHEL, Rocky & AlmaLinux-da nädip sazlamaly


Net-filtr hemmämiziň bilşimiz ýaly Linux-da gorag diwary. Firewalld tor zolaklaryny goldaýan diwar diwarlaryny dolandyrmak üçin dinamiki daemondyr. Öňki wersiýasynda RHEL & CentOS iptables-i paket süzgüç çarçuwasy üçin daemon hökmünde ulanýardyk.

Fedora, Rocky Linux, CentOS Stream, AlmaLinux we openSUSE ýaly RHEL esasly paýlamalaryň has täze wersiýalarynda - iptables interfeýsi firewalld bilen çalşylýar.

[Şeýle hem halamagyňyz mümkin: Linux ulgamlary üçin peýdaly 10 açyk çeşme gorag diwarlary]

Iptable-leriň ýerine Firewalld ulanyp başlamak maslahat berilýär, sebäbi bu geljekde bes edilip bilner. Şeýle-de bolsa, iptables henizem goldanýar we yum buýrugy bilen gurup bolýar. Firewalld we iptables ikisini-de gapma-garşylyga sebäp bolup biljek bir ulgamda saklap bilmeris.

Iptables-de INPUT, OUTPUT & FORWARD CHAINS diýip sazlaýardyk, ýöne bu ýerde Firewalld-da düşünje Zonalary ulanýar. Düzgüne görä, bu makalada ara alnyp maslahatlaşyljak firewalld-da dürli zonalar bar.

Jemgyýetçilik zonasy we hususy zona ýaly esasy zona. Bu zonalar bilen işleşmek üçin görkezilen zona goldawy bilen interfeýsi goşmaly, soň bolsa firewalld-a hyzmatlary goşup bileris.

Düzgüne görä, köp hyzmatlar bar, firewalldyň iň gowy aýratynlyklaryndan biri, öňünden kesgitlenen hyzmatlar bilen gelýär we bu hyzmatlary diňe göçürmek bilen hyzmatlarymyzy goşmak üçin mysal hökmünde alyp bileris.

“Firewalld” IPv4, IPv6 we Ethernet köprüleri bilen ajaýyp işleýär. Firewalld-da aýratyn iş wagty we hemişelik konfigurasiýa bolup biler.

Zonalar bilen nädip işlemelidigimize we öz hyzmatlarymyzy döretmäge we Linux-da firewalld-yň has gyzykly ulanylyşyna başlalyň.

Operating System :	Red Hat Enterprise Linux release 9.0 (Plow)
IP Address       :	192.168.0.159
Host-name	:	tecmint-rhel9

1-nji ädim: RHEL esasly ulgamlarda Firewalld gurmak

1. “Firewalld” bukjasy RHEL, Fedora, Rocky Linux, CentOS Stream, AlmaLinux we openSUSE-de gurnalan. Notok bolsa, aşakdaky yum buýrugyny ulanyp gurup bilersiňiz.

# yum install firewalld -y

2. Firewalld paketi gurlansoň, iptables hyzmatynyň işleýändigini ýa-da işlemeýändigini barlamagyň wagty geldi, işleýän bolsa, aşakdaky buýruklar bilen iptables hyzmatyny duruzmaly we maskalamaly (mundan beýläk ulanmaly däl).

# systemctl status iptables
# systemctl stop iptables
# systemctl mask iptables

2-nji ädim: Firewalld komponentlerine düşünmek (zolaklar we düzgünler)

3. Firewalld konfigurasiýasyna başlamazdan ozal her zonany ara alyp maslahatlaşmak isleýärin. Düzgüne görä, käbir zonalar bar. Zona interfeýsi bellemeli. Zona, baglanyşyk almak üçin interfeýsde ygtybarly ýa-da inkär edilen zonany kesgitleýär. Zona hyzmatlar we portlar bolup biler.

Bu ýerde, Firewalld-da bar bolan her zonany suratlandyrmakçy.

  • Zolak zonasy : Açylýan zonany ulansak, gelýän islendik paket taşlanýar. Bu, iptables -j drop goşmak üçin ulanýanlarymyz bilen deňdir. Açyş düzgünini ulansak, jogap ýok diýmek, diňe çykýan set birikmeleri elýeterli bolar.
  • Blok zolagy : Blok zolagy gelýän tor birikmeleriniň icmp-host-gadaganlygy bilen ret ediljekdigini inkär eder. Diňe serweriň içinde gurlan birikmelere rugsat berler.
  • Jemgyýetçilik zolagy : Saýlanan baglanyşyklary kabul etmek üçin jemgyýetçilik zonasyndaky düzgünleri kesgitläp bileris. Bu, diňe serwerimizde ýörite portuň açylmagyna mümkinçilik döreder, beýleki birikmeler taşlanar.
  • Daşarky zona : Bu zona maskarad bilen marşrutizator opsiýalary hökmünde hereket eder, beýleki birikmeler taşlanar we kabul edilmez we diňe kesgitlenen birikmelere rugsat berler.
  • DMZ zonasy : Käbir hyzmatlara halka girmäge rugsat bermeli bolsak, ony DMZ zonasynda kesgitläp bilersiňiz. Bu hem diňe saýlanan giriş birikmeleriniň kabul edilmeginiň aýratynlygy bar.
  • Iş zolagy: Bu zonada diňe içerki torlary kesgitläp bileris, ýagny hususy torlaryň traffigine rugsat berilýär.
  • Öý zolagy : Bu zona öýlerde ýörite ulanylýar, bu zonany torlardaky beýleki kompýuterlere her zonadaky ýaly kompýuteriňize zyýan ýetirmezlik üçin ulanyp bileris. Bu hem diňe saýlanan gelýän birikmelere mümkinçilik berýär.
  • Içerki zona : Bu, saýlanan rugsat berlen birikmeler bilen iş zolagyna meňzeýär.
  • Ynamly zona : Ynamly zonany düzsek, ähli traffik kabul ediler.

Indi zonalar barada has gowy düşünje aldyňyz, indi elýeterli zolaklary we deslapky zolaklary tapalyň we aşakdaky buýruklary ulanyp ähli zonalary sanap geçeliň.

# firewall-cmd --get-zones
# firewall-cmd --get-default-zone
# firewall-cmd --list-all-zones

Bellik: aboveokardaky buýrugyň çykyşy bir sahypa gabat gelmez, sebäbi bu blok, dmz, düşmek, daşarky, öý, içerki, jemgyýetçilik, ynamdar we iş ýaly ähli zonalary görkezer. Zonalarda haýsydyr bir baý düzgün bar bolsa, mümkinçilikli hyzmatlar ýa-da portlar degişli zona maglumatlary bilen sanawda görkeziler.

3-nji ädim: Bellenen firewalld zolagyny düzmek

4. Bellenen zonany içerki, daşarky, düşmek, işlemek ýa-da başga bir zona hökmünde bellemek isleseňiz, deslapky zonany bellemek üçin aşakdaky buýrugy ulanyp bilersiňiz. Bu ýerde “içerki” zonany deslapky görnüşde ulanýarys.

# firewall-cmd --set-default-zone=internal

5. Zonany düzeniňizden soň, aşakdaky buýrugy ulanyp, deslapky zonany barlaň.

# firewall-cmd --get-default-zone

6. Ynha, interfeýsimiz enp0s3 , interfeýsiň çäklendirilen zolagyny barlamaly bolsak, aşakdaky buýrugy ulanyp bileris.

# firewall-cmd --get-zone-of-interface=enp0s3

7. “Firewalld” -yň başga bir gyzykly aýratynlygy “icmptype”, firewalld tarapyndan goldanýan icmp görnüşlerinden biridir. Goldanýan icmp görnüşleriniň sanawyny almak üçin aşakdaky buýrugy ulanyp bileris.

# firewall-cmd --get-icmptypes

4-nji ädim: Firewalld-da öz hyzmatlaryňyzy döretmek

8. Hyzmatlar, Firewalld tarapyndan ulanylýan portlar we opsiýalar bilen düzgünleriň toplumy. Işledilen hyzmatlar, “Firewalld” hyzmaty işledilende awtomatiki usulda ýüklener.

Düzgüne görä, ähli hyzmatlaryň sanawyny almak üçin aşakdaky buýrugy ulanyň.

# firewall-cmd --get-services

9. defaulthli elýeterli hyzmatlaryň sanawyny almak üçin aşakdaky kataloga giriň, bu ýerde hyzmatlaryň sanawyny alarsyňyz.

# cd /usr/lib/firewalld/services/

10. Öz hyzmatyňyzy döretmek üçin ony aşakdaky ýerde kesgitlemeli. Mysal üçin, bu ýerde RTMP porty 1935 üçin bir hyzmat goşmak isleýärin, ilki bilen hyzmatlaryň haýsydyr biriniň göçürmesini ediň.

# cd /etc/firewalld/services/
# cp /usr/lib/firewalld/services/ssh.xml /etc/firewalld/services/

Soňra, hyzmat faýlymyzyň göçürilen ýerine geçiň, indiki suratda görkezilişi ýaly ssh.xml faýlyň adyny rtmp.xml diýip üýtgediň.

# cd /etc/firewalld/services/
# mv ssh.xml rtmp.xml
# ls -l rtmp.xml

11. Indiki faýly aşakdaky suratda görkezilişi ýaly RTMP hyzmaty üçin ulanmaly sözbaşy, Düşündiriş, Protokol we Port belgisi hökmünde açyň we redaktirläň.

12. Bu üýtgeşmeleri işjeňleşdirmek üçin firewalld hyzmatyny täzeden açyň ýa-da sazlamalary täzeden açyň.

# firewall-cmd --reload

13. Hyzmatyň goşulandygyny ýa-da ýokdugyny tassyklamak üçin elýeterli hyzmatlaryň sanawyny almak üçin aşakdaky buýrugy işlediň.

# firewall-cmd --get-services

5-nji ädim: Firewalld zolaklaryna hyzmatlary bellemek

14. Bu ýerde firewall-cmd buýrugyny ulanyp, diwar diwaryny nädip dolandyrmalydygyny görmekçi. Gorag diwarynyň we ähli işjeň zolaklaryň häzirki ýagdaýyny bilmek üçin aşakdaky buýrugy ýazyň.

# firewall-cmd --state
# firewall-cmd --get-active-zones

15. enp0s3 interfeýsi üçin umumy zonany almak üçin, bu /etc/firewalld/firewalld.conf faýlynda DefaultZone=hökmünde kesgitlenýän adaty interfeýsdir. köpçülik .

Bu deslapky interfeýs zonasyndaky ähli hyzmatlary sanamak üçin.

# firewall-cmd --get-service

6-njy ädim: Firewalld zolaklaryna hyzmatlar goşmak

16. aboveokardaky mysallarda rtmp hyzmatyny döretmek arkaly öz hyzmatlarymyzy nädip döretmelidigini gördük, bu ýerde rtmp hyzmatyny zona nädip goşmalydygyny hem göreris.

# firewall-cmd --add-service=rtmp

17. Goşulan zonany aýyrmak üçin ýazyň.

# firewall-cmd --zone=public --remove-service=rtmp

Aboveokardaky ädim diňe wagtlaýyn döwürdi. Hemişelik bolmagy üçin aşakdaky buýrugy erman hemişelik opsiýasy bilen işletmeli.

# firewall-cmd --add-service=rtmp --permanent
# firewall-cmd --reload

18. Tor çeşmesiniň aralygynyň düzgünlerini kesgitläň we portlaryň islendigini açyň. Mysal üçin, tor aralygyny açmak isleseňiz, 192.168.0.0/24 we 1935 port aşakdaky buýruklary ulanyň.

# firewall-cmd --permanent --add-source=192.168.0.0/24
# firewall-cmd --permanent --add-port=1935/tcp

Haýsydyr bir hyzmatlary ýa-da portlary goşanyňyzdan ýa-da aýyranyňyzdan soň, firewalld hyzmatyny täzeden açyň.

# firewall-cmd --reload 
# firewall-cmd --list-all

7-nji ädim: Tor aralygy üçin Firewalld baý düzgünleri goşmak

19. http, https, vnc-server we PostgreSQL ýaly hyzmatlara rugsat bermek islesem, aşakdaky düzgünleri ulanýaryn. Ilki bilen düzgüni goşuň we ony hemişelik ediň we düzgünleri täzeden ýükläň we ýagdaýyny barlaň.

# firewall-cmd --add-rich-rule 'rule family="ipv4" source address="192.168.0.0/24" service name="http" accept' 
# firewall-cmd --add-rich-rule 'rule family="ipv4" source address="192.168.0.0/24" service name="http" accept' --permanent

# firewall-cmd --add-rich-rule 'rule family="ipv4" source address="192.168.0.0/24" service name="https" accept'
# firewall-cmd --add-rich-rule 'rule family="ipv4" source address="192.168.0.0/24" service name="https" accept' --permanent

# firewall-cmd --add-rich-rule 'rule family="ipv4" source address="192.168.0.0/24" service name="vnc-server" accept'
# firewall-cmd --add-rich-rule 'rule family="ipv4" source address="192.168.0.0/24" service name="vnc-server" accept' --permanent

# firewall-cmd --add-rich-rule 'rule family="ipv4" source address="192.168.0.0/24" service name="postgresql" accept'
# firewall-cmd --add-rich-rule 'rule family="ipv4" source address="192.168.0.0/24" service name="postgresql" accept' --permanent

Indi, Tor aralygy 192.168.0.0/24 ýokardaky hyzmaty serwerimden ulanyp biler. erman Hemişelik opsiýasyny her düzgünde ulanyp bolýar, ýöne düzgüni kesgitlemeli we müşderiniň elýeterliligini barlamaly, şondan soň hemişelik etmeli.

20. aboveokardaky düzgünleri goşanyňyzdan soň, diwar diwarynyň düzgünlerini täzeden ýüklemegi we ulanylýan düzgünleri sanamagy ýatdan çykarmaň:

# firewall-cmd --reload
# firewall-cmd --list-all

Firewalld hakda has giňişleýin bilmek.

# man firewalld

Ine, Fedora, Rocky Linux, CentOS Stream, AlmaLinux we openSUSE ýaly RHEL esasly paýlamalarda Firewalld ulanyp, net-süzgüç gurmagyň usullaryny gördük.

Net-süzgüç, her Linux paýlanyşy üçin gorag diwary üçin çarçuwadyr. Her RHEL we CentOS neşirlerinde iptable ulanýardyk, ýöne has täze wersiýalarynda Firewalld-y hödürlediler. Firewalld-a düşünmek we ulanmak has aňsat. Theazmakdan lezzet alarsyňyz diýip umyt edýärin.