FirewallD ulanyp, tora girmegi nädip çäklendirmeli

Linux ulanyjysy hökmünde, CentOS/RHEL 8 we Fedora ýaly RHEL esasly paýlanyş diwarlary bolan gorag diwar gorag diwaryny ulanyp, käbir hyzmatlara ýa-da IP adreslere toruň girmegine rugsat bermek ýa-da çäklendirmek üçin saýlap bilersiňiz.

Gorag diwary gorag diwary, diwar gorag düzgünlerini düzmek üçin firewall-cmd buýruk setirini ulanýar.

Islendik konfigurasiýany ýerine ýetirmezden ozal, ilki bilen systemctl kömekçi programmasyny ulanyp, firewalld hyzmatyny işledeliň:

$ sudo systemctl enable firewalld

Işledilensoň, indi firewalld hyzmatyny ýerine ýetirip başlap bilersiňiz:

$ sudo systemctl start firewalld

Firewalld-yň ýagdaýyny buýrugy işledip barlap bilersiňiz:

$ sudo systemctl status firewalld

Aşakdaky çykyş firewalld hyzmatynyň işleýändigini we işleýändigini tassyklaýar.

Firewalld ulanyp düzgünleri düzmek

“Firewalld” işleýänimizden soň, göni konfigurasiýa edip bileris. Firewalld, serwere girmek üçin portlary, gara sanawy, şeýle hem ak sanaw IP-lerini goşmaga we blokirlemäge mümkinçilik berýär. Sazlamalar ýerine ýetirilenden soň, täze düzgünleriň güýje girmegi üçin gorag diwaryny täzeden açyň.

Port goşmak üçin, HTTPS üçin 443 port diýiň, aşakdaky sintaksisden peýdalanyň. Portuň belgisinden soň portuň TCP ýa-da UDP portydygyny kesgitlemeli:

$ sudo firewall-cmd --add-port=22/tcp --permanent

Şonuň ýaly-da, UDP portuny goşmak üçin UDP opsiýasyny görkezilişi ýaly görkeziň:

$ sudo firewall-cmd --add-port=53/udp --permanent

- hemişelik baýdagy gaýtadan açylandan soň hem düzgünleriň dowam etmegini üpjün edýär.

22-nji port ýaly TCP portuny blokirlemek üçin buýrugy işlediň.

$ sudo firewall-cmd --remove-port=22/tcp --permanent

Şonuň ýaly-da, UDP portuny blokirlemek şol bir sintaksis boýunça bolar:

$ sudo firewall-cmd --remove-port=53/udp --permanent

Tor hyzmatlary/etc/hyzmatlar faýlynda kesgitlenendir. Https ýaly hyzmata rugsat bermek üçin buýrugy ýerine ýetiriň:

$ sudo firewall-cmd --add-service=https

Hyzmaty blokirlemek üçin, meselem, FTP, ýerine ýetiriň:

$ sudo firewall-cmd --remove-service=https

Gorag diwaryndan ýekeje IP adrese rugsat bermek üçin buýrugy ýerine ýetiriň:

$ sudo firewall-cmd --permanent --add-source=192.168.2.50

Şeýle hem, CIDR (Klassyz domenara marşrutlaşdyrma) belligini ulanyp, bir topar IP ýa-da tutuş bir sete rugsat berip bilersiňiz. Mysal üçin, 255.255.255.0 subnetdäki tutuş bir subnetiň ýerine ýetirilmegine rugsat beriň.

$ sudo firewall-cmd --permanent --add-source=192.168.2.0/24

Gorag diwaryndaky ak sanawly IP-ni aýyrmak isleseňiz, görkezilişi ýaly --remove-source baýdagyny ulanyň:

$ sudo firewall-cmd --permanent --remove-source=192.168.2.50

Tutuş subnet üçin işlediň:

$ sudo firewall-cmd --permanent --remove-source=192.168.2.50/24

Şu wagta çenli portlary we hyzmatlary nädip goşup we aýyryp boljakdygyny, ak sanawlaşdyrylan IP-leri ak sanawda we aýyryp boljakdygyny gördük. IP adresi blokirlemek üçin bu maksat üçin “baý düzgünler” ulanylýar.

Mysal üçin IP 192.168.2.50 blokirlemek üçin buýrugy işlediň:

$ sudo firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='192.168.2.50' reject"

Subhli seti blokirlemek üçin işlediň:

$ sudo firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='192.168.2.0/24' reject"

Gorag diwarynyň düzgünlerine haýsydyr bir üýtgeşme girizen bolsaňyz, üýtgeşmeleriň derrew ulanylmagy üçin aşakdaky buýrugy işletmeli:

$ sudo firewall-cmd --reload

Gorag diwaryndaky ähli düzgünlere göz aýlamak üçin buýrugy ýerine ýetiriň:

$ sudo firewall-cmd --list-all

CentOS/RHEL 8-de FirewallD ulanyp, tora girmäge nädip rugsat bermelidigi ýa-da çäklendirilmegi baradaky bu gollanmany tamamlaýar. Bu gollanmany peýdaly taparsyňyz diýip umyt edýäris.