Kako ograničiti pristup mreži koristeći FirewallD

Kao korisnik Linuxa, možete odlučiti da dozvolite ili ograničite pristup mreži nekim uslugama ili IP adresama koristeći firewalld firewall koji je izvorni za CentOS/RHEL 8 i većinu RHEL bazirane distribucije kao što je Fedora.

Vatrozid firewalld koristi uslužni program komandne linije firewall-cmd da konfiguriše pravila zaštitnog zida.

Prije nego što budemo mogli izvršiti bilo kakvu konfiguraciju, prvo omogućimo uslugu firewalld pomoću uslužnog programa systemctl kao što je prikazano:

sudo systemctl enable firewalld

Jednom kada je omogućeno, sada možete pokrenuti uslugu firewalld tako što ćete izvršiti:

sudo systemctl start firewalld

Status firewalld-a možete provjeriti pokretanjem naredbe:

sudo systemctl status firewalld

Donji izlaz potvrđuje da je usluga firewalld pokrenuta i radi.

Konfiguriranje pravila korištenjem Firewalld-a

Sada kada imamo pokrenut firewalld, možemo odmah preći na izradu nekih konfiguracija. Firewalld vam omogućava da dodajete i blokirate portove, crnu listu, kao i bijelu listu IP adresa kako biste omogućili pristup serveru. Kada završite s konfiguracijama, uvijek se pobrinite da ponovo učitate zaštitni zid kako bi nova pravila stupila na snagu.

Dodavanje TCP/UDP porta

Da dodate port, recite port 443 za HTTPS, koristite sintaksu ispod. Imajte na umu da morate navesti da li je port TCP ili UDP port nakon broja porta:

sudo firewall-cmd --add-port=22/tcp --permanent

Slično tome, da dodate UDP port, navedite opciju UDP kao što je prikazano:

sudo firewall-cmd --add-port=53/udp --permanent

Oznaka --permanent osigurava da pravila traju čak i nakon ponovnog pokretanja.

Blokiranje TCP/UDP porta

Da blokirate TCP port, kao što je port 22, pokrenite naredbu.

sudo firewall-cmd --remove-port=22/tcp --permanent

Slično tome, blokiranje UDP porta slijedi istu sintaksu:

sudo firewall-cmd --remove-port=53/udp --permanent

Dozvoljavanje usluge

Mrežne usluge su definirane u datoteci /etc/services. Da dozvolite uslugu kao što je https, izvršite naredbu:

sudo firewall-cmd --add-service=https

Blokiranje usluge

Da blokirate uslugu, na primjer, FTP, izvršite:

sudo firewall-cmd --remove-service=https

Stavljanje IP adrese na bijelu listu

Da dozvolite jednu IP adresu preko zaštitnog zida, izvršite naredbu:

sudo firewall-cmd --permanent --add-source=192.168.2.50

Također možete dozvoliti niz IP adresa ili cijelu podmrežu koristeći CIDR (Classless Inter-Domain Routing) notaciju. Na primjer, da dozvolite cijelu podmrežu u podmreži 255.255.255.0, izvršite.

sudo firewall-cmd --permanent --add-source=192.168.2.0/24

Uklanjanje IP adrese sa bijele liste

Ako želite da uklonite IP adresu sa bele liste na firewall-u, koristite oznaku --remove-source kao što je prikazano:

sudo firewall-cmd --permanent --remove-source=192.168.2.50

Za cijelu podmrežu pokrenite:

sudo firewall-cmd --permanent --remove-source=192.168.2.50/24

Blokiranje IP adrese

Do sada smo vidjeli kako možete dodati i ukloniti portove i usluge, kao i staviti na bijelu listu i ukloniti IP adrese s bijele liste. Za blokiranje IP adrese, u tu svrhu se koriste "bogata pravila".

Na primjer da blokirate IP 192.168.2.50 pokrenite naredbu:

sudo firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='192.168.2.50' reject"

Za blokiranje cijele podmreže pokrenite:

sudo firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='192.168.2.0/24' reject"

Čuvanje pravila zaštitnog zida

Ako ste napravili bilo kakve promjene u pravilima zaštitnog zida, potrebno je da pokrenete naredbu ispod da bi promjene bile odmah primijenjene:

sudo firewall-cmd --reload

Pregled pravila zaštitnog zida

Da biste morali zaviriti u sva pravila u firewall-u, izvršite naredbu:

sudo firewall-cmd --list-all

Ovim se završava ovaj vodič o tome kako dozvoliti ili ograničiti pristup mreži koristeći FirewallD na CentOS/RHEL 8. Nadamo se da vam je ovaj vodič bio od pomoći.