Kako ograničiti pristup mreži pomoću FirewallD

Kao korisnik Linuxa, možete odlučiti dopustiti ili ograničiti mrežni pristup nekim uslugama ili IP adresama koristeći vatrozid firewalld koji je izvorni za CentOS/RHEL 8 i većinu RHEL bazirane distribucije kao što je Fedora.

Vatrozid firewalld koristi uslužni program naredbenog retka firewall-cmd za konfiguraciju pravila vatrozida.

Prije nego što možemo izvršiti bilo kakve konfiguracije, najprije omogućimo uslugu firewalld pomoću uslužnog programa systemctl kao što je prikazano:

sudo systemctl enable firewalld

Nakon što je omogućeno, sada možete pokrenuti uslugu firewalld izvršavanjem:

sudo systemctl start firewalld

Možete provjeriti status vatrozida pokretanjem naredbe:

sudo systemctl status firewalld

Ispis u nastavku potvrđuje da je usluga firewalld pokrenuta i radi.

Konfiguriranje pravila pomoću Firewallda

Sada kada imamo pokrenut vatrozid, možemo odmah krenuti s izradom nekih konfiguracija. Firewalld vam omogućuje dodavanje i blokiranje portova, crnu listu, kao i bijelu listu IP adresa kako biste omogućili pristup poslužitelju. Nakon što završite s konfiguracijama, uvijek ponovno učitajte vatrozid kako bi nova pravila stupila na snagu.

Dodavanje TCP/UDP priključka

Za dodavanje porta, recimo port 443 za HTTPS, upotrijebite donju sintaksu. Imajte na umu da nakon broja priključka morate navesti je li port TCP ili UDP port:

sudo firewall-cmd --add-port=22/tcp --permanent

Slično tome, da biste dodali UDP port, odredite opciju UDP kao što je prikazano:

sudo firewall-cmd --add-port=53/udp --permanent

Oznaka --permanent osigurava postojanje pravila čak i nakon ponovnog pokretanja.

Blokiranje TCP/UDP porta

Za blokiranje TCP priključka, poput priključka 22, pokrenite naredbu.

sudo firewall-cmd --remove-port=22/tcp --permanent

Slično, blokiranje UDP priključka slijedit će istu sintaksu:

sudo firewall-cmd --remove-port=53/udp --permanent

Dopuštanje usluge

Mrežne usluge definirane su u datoteci /etc/services. Da biste omogućili uslugu kao što je https, izvršite naredbu:

sudo firewall-cmd --add-service=https

Blokiranje usluge

Za blokiranje usluge, na primjer, FTP, izvršite:

sudo firewall-cmd --remove-service=https

Stavljanje IP adrese na popis dopuštenih

Da biste dopustili jednu IP adresu preko vatrozida, izvršite naredbu:

sudo firewall-cmd --permanent --add-source=192.168.2.50

Također možete dopustiti raspon IP-ova ili cijelu podmrežu koristeći CIDR (Classless Inter-Domain Routing) notaciju. Na primjer, da biste dopustili cijelu podmrežu u 255.255.255.0 podmreži, izvršite.

sudo firewall-cmd --permanent --add-source=192.168.2.0/24

Uklanjanje IP adrese s popisa dopuštenih

Ako želite ukloniti IP s popisa dopuštenih na vatrozidu, koristite oznaku --remove-source kao što je prikazano:

sudo firewall-cmd --permanent --remove-source=192.168.2.50

Za cijelu podmrežu pokrenite:

sudo firewall-cmd --permanent --remove-source=192.168.2.50/24

Blokiranje IP adrese

Do sada smo vidjeli kako možete dodavati i uklanjati priključke i usluge, kao i stavljati na popis dopuštenih i uklanjati IP adrese s popisa dopuštenih. Za blokiranje IP adrese koriste se ‘bogata pravila’.

Na primjer, da biste blokirali IP 192.168.2.50 pokrenite naredbu:

sudo firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='192.168.2.50' reject"

Za blokiranje cijele podmreže pokrenite:

sudo firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='192.168.2.0/24' reject"

Spremanje pravila vatrozida

Ako ste unijeli bilo kakve promjene u pravila vatrozida, trebate pokrenuti naredbu u nastavku da bi se promjene odmah primijenile:

sudo firewall-cmd --reload

Pregledavanje pravila vatrozida

Da biste morali zaviriti u sva pravila vatrozida, izvršite naredbu:

sudo firewall-cmd --list-all

Ovime se završava ovaj vodič o tome kako dopustiti ili ograničiti pristup mreži pomoću FirewallD na CentOS/RHEL 8. Nadamo se da vam je ovaj vodič bio od pomoći.