Nyttige 'FirewallD'-regler for å konfigurere og administrere brannmur i Linux


Brannmur gir en måte å konfigurere dynamiske brannmurregler i Linux som kan brukes umiddelbart, uten behov for omstart av brannmur, og den støtter også D-BUS og sonekonsepter som gjør konfigurasjonen enkel.

Brannmur erstattet gamle Fedoras brannmur (Fedora 18 og utover) mekanisme, RHEL/CentOS 7 og andre nyeste distribusjoner er avhengige av denne nye mekanismen. Et av de største motivene for å introdusere nytt brannmursystem er at den gamle brannmuren trenger en omstart etter hver endring, og dermed bryter alle aktive tilkoblinger. Som sagt ovenfor, at den nyeste brannmuren støtter dynamiske soner som er nyttig for å konfigurere forskjellige sett med soner og regler for kontoret eller hjemmenettverket ditt via en kommandolinje eller ved å bruke en GUI-metode.

I utgangspunktet ser brannmurkonseptet veldig vanskelig ut å konfigurere, men tjenester og soner gjør det enklere ved å holde begge sammen som beskrevet i denne artikkelen.

I vår tidligere artikkel, hvor vi har sett hvordan du spiller med brannmur og dens soner, nå her, i denne artikkelen, vil vi se noen nyttige brannmurregler for å konfigurere dine nåværende Linux-systemer ved hjelp av kommandolinjemåten.

  1. Brannmurkonfigurasjon i RHEL/CentOS 7

Alle eksemplene som dekkes i denne artikkelen er praktisk testet på CentOS 7-distribusjon, og fungerer også på RHEL- og Fedora-distribusjoner.

Før du implementerer brannmurregler, må du først sjekke om brannmurtjenesten er aktivert og kjører.

systemctl status firewalld

Bildet ovenfor viser at brannmuren er aktiv og kjører. Nå er det på tide å sjekke alle aktive soner og aktive tjenester.

firewall-cmd --get-active-zones
firewall-cmd --get-services

Hvis du ikke er kjent med kommandolinjen, kan du også administrere brannmur fra GUI, for dette må du ha GUI-pakken installert på systemet, hvis ikke installer den ved å bruke følgende kommando.

yum install firewalld firewall-config

Som sagt ovenfor, er denne artikkelen spesielt skrevet for kommandolinjeelskere, og alle eksemplene som vi skal dekke er kun basert på kommandolinjen, ingen GUI-måte..beklager…..

Før du går videre, sørg for å bekrefte hvilken offentlig sone du skal konfigurere Linux-brannmuren på og liste opp alle aktive tjenester, porter, rike regler for offentlig sone ved å bruke følgende kommando.

firewall-cmd --zone=public --list-all

I bildet ovenfor er det ikke lagt til noen aktive regler ennå, la oss se hvordan du legger til, fjerner og endrer regler i den gjenværende delen av denne artikkelen ....

1. Legge til og fjerne porter i brannmur

For å åpne en hvilken som helst port for offentlig sone, bruk følgende kommando. For eksempel vil følgende kommando åpne port 80 for offentlig sone.

firewall-cmd --permanent --zone=public --add-port=80/tcp

På samme måte, for å fjerne lagt til port, bruk bare «–fjern»-alternativet med brannmurkommando som vist nedenfor.

firewall-cmd --zone=public --remove-port=80/tcp

Etter å ha lagt til eller fjernet spesifikke porter, sørg for å bekrefte om porten er lagt til eller fjernet ved å bruke «–list-ports»-alternativet.

firewall-cmd --zone=public --list-ports

2. Legge til og fjerne tjenester i brannmur

Som standard leveres brannmur med forhåndsdefinerte tjenester, hvis du vil legge til en liste over spesifikke tjenester, må du opprette en ny xml-fil med alle tjenester inkludert i filen, ellers kan du også definere eller fjerne hver tjeneste manuelt ved å kjøre følgende kommandoer.

For eksempel vil følgende kommandoer hjelpe deg med å legge til eller fjerne spesifikke tjenester, slik vi gjorde for FTP her i dette eksemplet.

firewall-cmd --zone=public --add-service=ftp
firewall-cmd --zone=public --remove-service=ftp
firewall-cmd --zone=public --list-services

3. Blokker innkommende og utgående pakker (panikkmodus)

Hvis du ønsker å blokkere innkommende eller utgående tilkoblinger, må du bruke en «panikk-på»-modus for å blokkere slike forespørsler. Følgende regel vil for eksempel fjerne enhver eksisterende etablert tilkobling på systemet.

firewall-cmd --panic-on

Etter å ha aktivert panikkmodus, prøv å pinge et hvilket som helst domene (si google.com) og sjekk om panikkmodus er ved å bruke '–query-panic >'-alternativet som er oppført nedenfor.

ping google.com -c 1
firewall-cmd --query-panic

Ser du på bildet ovenfor, sier panikkspørringen «Ukjent vert google.com». Prøv nå å deaktivere panikkmodus og ping og sjekk igjen.

firewall-cmd --query-panic
firewall-cmd --panic-off
ping google.com -c 1

Nå denne gangen kommer det en ping-forespørsel fra google.com.