Hvordan du gjør brannmurkonfigurasjon i centos 8
For å komme i gang med brannmurkonfigurasjonen i et hvilket som helst operativsystem, må vi først forstå hva en brannmur er og hva den gjør. Så la oss lære om brannmur først.
Hva er en brannmur?
En brannmur, med enkle ord, er et system som brukes til nettverkssikkerhet ved å overvåke, kontrollere og filtrere nettverkstrafikken (innkommende eller utgående). Vi kan sette noen sikkerhetsregler hvis vi vil tillate eller blokkere noen spesifikk trafikk. Så for sikkerheten til systemet er en godt konfigurert brannmur viktig.
Firewalld: Et brannmurstyringssystem
Hvis vi snakker om brannmurkonfigurasjonen i CentOS 8 -operativsystem, kommer CentOS 8 med en brannmurtjeneste kjent som Firewalld. De Firewalld Daemon er en utmerket programvare for brannmuradministrasjon for å administrere og kontrollere systemets nettverkstrafikk. Det brukes av flere store Linux -distribusjoner for å utføre brannmurkonfigurasjonen og som et nettverkspakkefiltreringssystem.
Dette innlegget vil lære alt om Firewalld og vis deg hvordan du setter opp og gjør brannmurkonfigurasjon i CentOS 8 -operativsystem. Vi vil også prøve et par grunnleggende kommandoer og utføre noen grunnleggende brannmurkonfigurasjoner for å administrere nettverkstrafikk. La oss starte med forståelsen av grunnleggende Firewalld begreper.
Grunnleggende konsepter av brannmur
Firewalld Daemon bruker brannmur-cmd bak seg. Firewall-CMD er kommandolinjeverktøyet eller klienten til Firewalld Daemon. La oss diskutere og forstå noen begreper av dette verktøyet.
For å kontrollere trafikken, Firewalld bruker soner og tjenester. Så å forstå og begynne å jobbe med Firewalld, Du må først forstå hvilke soner og tjenester i Firewalld er.
Soner
Soner er som en del av nettverket der vi setter noen regler eller setter spesifikke sikkerhetskrav for å administrere og kontrollere trafikkflyten under de definerte reglene i sonen. Vi erklærer først reglene for en sone, og deretter blir et nettverksgrensesnitt tilordnet det, som sikkerhetsreglene blir brukt.
Vi kan sette eller endre enhver regel basert på nettverksmiljøet. For offentlige nettverk kan vi sette noen strenge regler for vår brannmurkonfigurasjon. Mens du for et hjemmenettverk ikke trenger å sette noen strenge regler, vil noen grunnleggende regler fungere bra.
Det er noen forhåndsdefinerte soner av Firewalld basert på tillitsnivået. Så det er bedre å forstå dem og bruke dem i henhold til sikkerhetsnivået vi ønsker å sette.
- miste: Dette er sonen med det laveste sikkerhetsnivået. I denne sonen vil utgående trafikk passere, og innkommende trafikk vil ikke få lov til å passere.
- blokkere: Denne sonen er nesten den samme som dråpesonen ovenfor, men vi vil få et varsel hvis en forbindelse blir droppet i denne sonen.
- offentlig: Denne sonen er for upålitelige offentlige nettverk, hvor du vil begrense de innkommende tilkoblingene basert på saks -scenariet.
- utvendig: Denne sonen brukes til eksterne nettverk når du bruker brannmuren som inngangsport. Den brukes til den ytre delen av porten i stedet for den indre delen.
- innvendig: Motsatt av den ytre sonen, er denne sonen for interne nettverk når du bruker brannmuren som inngangsport. Det er motsatt av den ytre sonen og brukt på den indre delen av porten.
- DMZ: Dette sonenavnet er avledet fra den demilitariserte sonen, der systemet vil ha minimal tilgang til resten av nettverket. Denne sonen brukes eksplisitt for datamaskinene i et mindre befolket nettverksmiljø.
- arbeid: Denne sonen brukes til at arbeidsmiljøsystemer har nesten alle de pålitelige systemene.
- hjem: Denne sonen brukes til hjemmenettverk der de fleste av systemene er pålitelige.
- pålitelig: Denne sonen er med det høyeste sikkerhetsnivået. Denne sonen brukes der vi kan stole på hvert system.
Det er ikke obligatorisk å følge og bruke sonene når de er forhåndsdefinerte. Vi kan endre sonens regler og tildele et nettverksgrensesnitt til det senere.
Firewalld Rules Innstillinger
Det kan være to typer regelsett i Firewalld:
- Runtime
- Fast
Når vi legger til eller endrer et regelsett, brukes det bare på den løpende brannmuren. Etter å ha lastet inn Firewalld -tjenesten eller systemet omstart, vil Firewalld -tjenesten bare laste inn de permanente konfigurasjonene. Nylig lagt til eller endret regelverk vil ikke bli brukt fordi endringene vi gjør i brannmuren bare brukes til runtime -konfigurasjonen.
For å laste inn de nylig lagt til eller endrede regelsett ved å starte på nytt systemet eller laste inn Firewalld -tjenesten på nytt, må vi legge dem til de permanente Firewalld -konfigurasjonene.
For å legge til regelsettene og holde dem i konfigurasjonen permanent, bruk ganske enkelt -permanent flagg til kommandoen:
$ sudo brannmur-cmd-permanent [alternativer]
Etter å ha lagt til regelsettene til de permanente konfigurasjonene, må du laste inn brannmur-CMD på nytt ved hjelp av kommandoen:
$ sudo Firewall-CMD-Reload
På den annen side, hvis du vil legge til runtime -regelsett til de permanente innstillingene, bruk kommandoen som er skrevet nedenfor:
$ sudo brannmur-cmd---runtime-to-permanent
Ved å bruke kommandoen ovenfor, vil alle RUNTIME -reglerett bli lagt til de permanente brannmurinnstillingene.
Installere og aktivere Firewalld
Firewalld kommer forhåndsinstallert på den siste versjonen av Centos 8. Av en eller annen grunn er det ødelagt eller ikke installert, kan du installere den ved hjelp av kommandoen:
$ sudo dnf install ildmalld
En gang Firewalld Daemon er installert, start Firewalld service hvis den ikke er aktivert som standard.
Å starte Firewalld Service, utfør kommandoen som er skrevet nedenfor:
$ sudo SystemCTL Start Firewalld
Det er bedre hvis du automatisk starter på bagasjerommet, og du ikke trenger å starte den igjen og igjen.
For å aktivere Firewalld Daemon, utfør kommandoen gitt nedenfor:
$ sudo SystemCTL Aktiver Firewalld
For å bekrefte tilstanden til Firewall-CMD-tjenesten, kjør kommandoen gitt nedenfor:
$ SUDO FIREWALL-CMD-State
Du kan se i utgangen; Brannmuren går helt bra.
Standard brannmurregler
La oss utforske noen av standard brannmurregler for å forstå dem og endre dem om nødvendig fullt ut.
For å kjenne den valgte sonen, utfør Firewall-CMD-kommandoen med -et-default-sone-flagget som vist nedenfor:
$ Firewall-CMD-Get-default-sone
Den vil vise standard aktive sone som kontrollerer den innkommende og utgående trafikken for grensesnittet.
Standardsonen vil forbli den eneste aktive sonen så lenge vi ikke gir Firewalld Eventuelle kommandoer for å endre standardsone.
Vi kan få de aktive sonene ved å utføre Firewall-CMD-kommandoen med -G-aktive soner som vist nedenfor:
$ Firewall-CMD-Få-aktive soner
Du kan se i utdataene at brannmuren kontrollerer nettverksgrensesnittet vårt, og regelsettene i den offentlige sonen vil bli brukt på nettverksgrensesnittet.
Hvis du vil få regelsett definert for den offentlige sonen, utfør kommandoen som er skrevet nedenfor:
$ sudo brannmur-cmd-list-all
Ved å se på utdataene, kan du være vitne til at denne offentlige sonen er standardsonen og en aktiv sone, og vårt nettverksgrensesnitt er koblet til denne sonen.
Endringssone for nettverksgrensesnittet
Siden vi kan endre soner og endre nettverksgrensesnittsonen, er endrede soner godt med når vi har mer enn ett grensesnitt på maskinen vår.
For å endre sonen for nettverksgrensesnittet, kan du bruke Firewall -CMD -kommandoen, oppgi sonenavnet til alternativet -zone, og nettverksgrensesnittnavnet til alternativet -Endre grensesnitt:
$ sudo Firewall-CMD-Zone = Work --Change-Interface = Eth1
For å bekrefte en av sonene endres eller ikke, kjør Firewall-CMD-kommandoen med-få-aktive sonalternativ:
$ SUDO FIREWALL-CMD-Få-aktive soner
Du kan se at sonen for grensesnittet blir endret etter hvert som vi ønsket.
Endre standardsone
I tilfelle du vil endre standardsonen, kan du bruke alternativet-Set-Default-Zone og oppgi det sonenavnet du vil angi med Firewall-CMD-kommandoen:
For eksempel for å endre standard sone til hjemmet i stedet for den offentlige sonen:
$ SUDO Firewall-CMD-Sett-Default-Zone = Hjem
For å bekrefte, utfør kommandoen gitt nedenfor for å få standard sonenavn:
$ SUDO FIREWALL-CMD-Få-default-sone
OK, etter å ha spilt med soner og nettverksgrensesnitt, la oss lære å angi regler for applikasjoner i brannmuren på CentOS 8 -operativsystem.
Sette regler for søknader
Vi kan konfigurere brannmuren og angi regler for applikasjoner, så la oss lære å legge til en tjeneste til enhver sone.
Legg til en tjeneste i en sone
Vi må ofte legge til noen tjenester til sonen vi jobber for tiden.
Vi kan få alle tjenestene ved å bruke alternativet-får-tjenesten i Firewall-CMD-kommandoen:
$ Firewall-CMD-Get-Services
For å få mer informasjon om enhver tjeneste, kan vi se på .XML -fil med den spesifikke tjenesten. Tjenestefilen er plassert i/USR/LIB/Firewalld/Services Directory.
Hvis vi for eksempel tar en titt på HTTP -tjenesten, vil det se slik ut:
$ CAT/USR/LIB/FIREWALLD/SERVICES/HTTP.XML
For å aktivere eller legge til tjenesten i enhver sone, kan vi bruke alternativet for å legge til tjenesten og gi den tjenestenavnet.
Hvis vi ikke gir alternativet -sonen, vil tjenesten bli inkludert i standardsonen.
For eksempel, hvis vi ønsker å legge til en HTTP -tjeneste i standardsonen, vil kommandoen gå slik:
$ SUDO Firewall-CMD-Legg til-Service = http
I motsetning til dette, hvis du vil legge til en tjeneste i en bestemt sone, må du nevne sonenavnet til -zone -alternativet:
$ sudo Firewall-CMD-Zone = public-Legg til-Service = HTTP
For å bekrefte tillegg av tjenesten til den offentlige sonen, kan du bruke alternativet--listetjeneste i Firewall-CMD-kommandoen:
$ sudo Firewall-CMD-Zone = public-List-Services
I opsjonen ovenfor kan du være vitne til at tjenestene som er lagt til i den offentlige sonen vises.
Imidlertid er HTTP -tjenesten som vi nettopp har lagt til i den offentlige sonen, i løpetidskonfigurasjonene til brannmuren. Så hvis du vil legge til tjenesten i den permanente konfigurasjonen, kan du gjøre det ved å tilby et ekstra -permanent flagg mens du legger til tjenesten:
$ sudo Firewall-CMD-Zone = public-Legg til-Service = http-Permanent
Men hvis du vil legge til alle runtime-konfigurasjonene i de permanente konfigurasjonene av brannmuren, må du utføre Firewall-CMD-kommandoen med-runtime-to-permanent alternativet:
$ sudo brannmur-cmd---runtime-to-permanent
Alle ettertraktede eller uønskede runtime -konfigurasjoner vil bli lagt til de permanente konfigurasjonene ved å kjøre kommandoen ovenfor. Så det er bedre å bruke -permanent flagget hvis du vil legge til en konfigurasjon til de permanente konfigurasjonene.
Nå, for å bekrefte endringene, må du oppgi tjenestene som er lagt til de permanente konfigurasjonene ved å bruke alternativet -Permanent og -liste -service i Firewall -CMD -kommandoen:
$ sudo Firewall-CMD-Zone = public-List-Services-Permanent
Hvordan åpne IP -adresser og porter på brannmuren
Ved hjelp av brannmuren kan vi la alle eller noen spesifikke IP -adresser passere og åpne noen spesifikke porter i henhold til vårt krav.
Tillat en kilde IP
For å tillate trafikkflyten fra en spesifikk IP -adresse, kan du tillate og legge til IP -adressen til kilden ved først å nevne sonen og bruke alternativet -ADD -kilden:
$ sudo Firewall-CMD-Zone = public-ADD-SOURCE = 192.168.1.10
Hvis du vil legge til kilde-IP-adressen til brannmurkonfigurasjonen permanent, utfør Firewall-CMD-kommandoen med-runtime-to-permanent alternativ:
$ sudo brannmur-cmd---runtime-to-permanent
For å bekrefte, kan du liste opp kildene ved å bruke kommandoen gitt nedenfor:
$ sudo Firewall-CMD-Zone = Public-List-Sources
I kommandoen ovenfor, sørg for å nevne sonen hvis kilder du vil liste opp.
Hvis du av en eller annen grunn vil fjerne en kilde -IP -adresse, vil kommandoen for å fjerne kilden IP -adresse gå slik:
$ SUDO Firewall-CMD-Zone = public-Fjern-Source = 192.168.1.10
Åpne en kildeport
For å åpne en port, må vi først nevne sonen, og så kan vi bruke alternativet -add -port for å åpne porten:
$ sudo Firewall-CMD-Zone = public-Legg til Port = 8080/TCP
I kommandoen ovenfor er /TCP protokollen; Du kan gi protokollen i henhold til ditt behov, som UDP, SCTP, etc.
For å bekrefte, kan du liste portene i tillegg ved å bruke kommandoen gitt nedenfor:
$ sudo Firewall-CMD-Zone = public-List-Porters
I kommandoen ovenfor, sørg for å nevne sonen hvis porter du vil liste opp.
For å holde porten åpen og legge til disse konfigurasjonene til den permanente konfigurasjonen, bruker enten -permanent flagget på slutten av kommandoen ovenfor eller utfører kommandoen gitt nedenfor for å legge til all runtime -konfigurasjonen til den permanente konfigurasjonen av brannmuren:
$ sudo brannmur-cmd---runtime-to-permanent
Hvis du av en eller annen grunn vil fjerne en port, vil kommandoen for å fjerne porten gå slik:
$ sudo Firewall-CMD-Zone = public-Fjern-Port = 8080/TCP
Konklusjon
I dette detaljerte og dyptgripende innlegget har du lært hva en brannmur er, de grunnleggende begrepene til en brannmur, hva soner er, og Firewalld Reglerinnstillinger. Du har lært å installere og aktivere Firewalld service på CentOS 8 operativsystem.
I konfigurasjonen av brannmuren har du lært om standard brannmurregler, hvordan du lister opp standardsoner, aktive soner og alle soner for brannmur-CMD. Dessuten inneholder dette innlegget en kort forklaring på hvordan du endrer sonen for nettverksgrensesnittet, hvordan du angir regler for applikasjoner som å legge til en tjeneste i en sone, åpne IP -adresser og porter på brannmuren.
Etter å ha lest dette innlegget, vil du administrere trafikkflyten til serveren din og endre sonens regelsett fordi dette innlegget har en detaljert beskrivelse av hvordan du administrerer, konfigurerer og administrerer brannmuren på CentOS 8 -operativsystemet.
Hvis du vil grave mer og lære mer om brannmur, ikke nøl med å besøke den offisielle dokumentasjonen av Firewalld.