Korisna 'FirewallD' pravila za konfigurisanje i upravljanje zaštitnim zidom u Linuxu
Firewalld pruža način za konfiguriranje dinamičkih pravila zaštitnog zida u Linuxu koja se mogu primijeniti odmah, bez potrebe za ponovnim pokretanjem zaštitnog zida, a također podržava D-BUS i koncepte zona što olakšava konfiguraciju.
Firewalld je zamijenio stari Fedorin firewall (Fedora 18 na dalje) mehanizam, RHEL/CentOS 7 i druge najnovije distribucije se oslanjaju na ovaj novi mehanizam. Jedan od najvećih motiva uvođenja novog firewall sistema je taj što je starom firewall-u potrebno ponovno pokretanje nakon svake promjene, čime se prekidaju sve aktivne veze. Kao što je gore rečeno, najnoviji firewalld podržava dinamičke zone što je korisno za konfiguriranje različitog skupa zona i pravila za vašu uredsku ili kućnu mrežu putem komandne linije ili korištenjem GUI metode.
U početku, koncept firewalld-a izgleda vrlo teško konfigurirati, ali usluge i zone olakšavaju tako što ih drže zajedno kako je opisano u ovom članku.
U našem ranijem članku, gdje smo vidjeli kako se igrati sa firewalld-om i njegovim zonama, sada ćemo ovdje, u ovom članku, vidjeti neka korisna pravila firewalld-a za konfiguriranje vaših trenutnih Linux sistema pomoću komandne linije.
- Konfiguracija zaštitnog zida u RHEL/CentOS 7
Svi primjeri obuhvaćeni u ovom članku su praktično testirani na CentOS 7 distribuciji, a rade i na RHEL i Fedora distribucijama.
Prije implementacije firewalld pravila, provjerite da li je usluga firewalld omogućena i radi.
systemctl status firewalld
Gornja slika pokazuje da je firewalld aktivan i da radi. Sada je vrijeme da provjerite sve aktivne zone i aktivne usluge.
firewall-cmd --get-active-zones
firewall-cmd --get-services
U slučaju da niste upoznati sa komandnom linijom, takođe možete upravljati firewalld-om iz GUI-a, za ovo morate imati GUI paket instaliran na sistemu, ako ne instalirate pomoću sljedeće naredbe.
yum install firewalld firewall-config
Kao što je gore rečeno, ovaj članak je posebno napisan za ljubitelje komandne linije i svi primjeri, koje ćemo pokriti su bazirani samo na komandnoj liniji, bez GUI načina..izvinite....
Prije nego što krenete dalje, prvo provjerite na kojoj javnoj zoni ćete konfigurirati Linux firewall i navedite sve aktivne usluge, portove, bogata pravila za javnu zonu koristeći sljedeću naredbu.
firewall-cmd --zone=public --list-all
Na gornjoj slici još uvijek nema dodanih aktivnih pravila, da vidimo kako dodati, ukloniti i modificirati pravila u preostalom dijelu ovog članka...
1. Dodavanje i uklanjanje portova u Firewalld-u
Da biste otvorili bilo koji port za javnu zonu, koristite sljedeću naredbu. Na primjer, sljedeća komanda će otvoriti port 80 za javnu zonu.
firewall-cmd --permanent --zone=public --add-port=80/tcp
Slično tome, da biste uklonili dodani port, samo koristite opciju „–remove“ sa komandom firewalld kao što je prikazano ispod.
firewall-cmd --zone=public --remove-port=80/tcp
Nakon dodavanja ili uklanjanja određenih portova, provjerite je li port dodat ili uklonjen pomoću opcije „–list-ports“.
firewall-cmd --zone=public --list-ports
2. Dodavanje i uklanjanje usluga u Firewalld-u
Podrazumevano firewalld dolazi sa unapred definisanim uslugama, ako želite da dodate listu određenih usluga, morate da kreirate novu xml datoteku sa svim uslugama uključenim u datoteci ili možete takođe da definišete ili uklonite svaku uslugu ručno tako što ćete pokrenuti sledeće komande.
Na primjer, sljedeće naredbe će vam pomoći da dodate ili uklonite određene usluge, kao što smo to učinili za FTP ovdje u ovom primjeru.
firewall-cmd --zone=public --add-service=ftp
firewall-cmd --zone=public --remove-service=ftp
firewall-cmd --zone=public --list-services
3. Blokirajte dolazne i odlazne pakete (režim panike)
Ako želite blokirati sve dolazne ili odlazne veze, trebate koristiti način „panika“ da blokirate takve zahtjeve. Na primjer, sljedeće pravilo će ispustiti bilo koju postojeću uspostavljenu vezu na sistemu.
firewall-cmd --panic-on
Nakon što omogućite način rada panike, pokušajte pingovati bilo koju domenu (recimo google.com) i provjerite da li je način panike UKLJUČEN koristeći '–query-panic >' opcija kao što je navedeno u nastavku.
ping google.com -c 1
firewall-cmd --query-panic
Vidite li na gornjoj slici, panični upit kaže „Nepoznati host google.com“. Sada pokušajte da onemogućite režim panike i onda još jednom pingujte i proverite.
firewall-cmd --query-panic
firewall-cmd --panic-off
ping google.com -c 1
Sada će ovaj put biti ping zahtjev sa google.com.