Kako ograničiti pristup mreži pomoću FirewallD
Kao korisnik Linuxa, možete odlučiti dopustiti ili ograničiti mrežni pristup nekim uslugama ili IP adresama koristeći vatrozid firewalld koji je izvorni za CentOS/RHEL 8 i većinu RHEL bazirane distribucije kao što je Fedora.
Vatrozid firewalld koristi uslužni program naredbenog retka firewall-cmd za konfiguraciju pravila vatrozida.
Prije nego što možemo izvršiti bilo kakve konfiguracije, najprije omogućimo uslugu firewalld pomoću uslužnog programa systemctl kao što je prikazano:
sudo systemctl enable firewalld
Nakon što je omogućeno, sada možete pokrenuti uslugu firewalld izvršavanjem:
sudo systemctl start firewalld
Možete provjeriti status vatrozida pokretanjem naredbe:
sudo systemctl status firewalld
Ispis u nastavku potvrđuje da je usluga firewalld pokrenuta i radi.
Konfiguriranje pravila pomoću Firewallda
Sada kada imamo pokrenut vatrozid, možemo odmah krenuti s izradom nekih konfiguracija. Firewalld vam omogućuje dodavanje i blokiranje portova, crnu listu, kao i bijelu listu IP adresa kako biste omogućili pristup poslužitelju. Nakon što završite s konfiguracijama, uvijek ponovno učitajte vatrozid kako bi nova pravila stupila na snagu.
Dodavanje TCP/UDP priključka
Za dodavanje porta, recimo port 443 za HTTPS, upotrijebite donju sintaksu. Imajte na umu da nakon broja priključka morate navesti je li port TCP ili UDP port:
sudo firewall-cmd --add-port=22/tcp --permanent
Slično tome, da biste dodali UDP port, odredite opciju UDP kao što je prikazano:
sudo firewall-cmd --add-port=53/udp --permanent
Oznaka --permanent
osigurava postojanje pravila čak i nakon ponovnog pokretanja.
Blokiranje TCP/UDP porta
Za blokiranje TCP priključka, poput priključka 22, pokrenite naredbu.
sudo firewall-cmd --remove-port=22/tcp --permanent
Slično, blokiranje UDP priključka slijedit će istu sintaksu:
sudo firewall-cmd --remove-port=53/udp --permanent
Dopuštanje usluge
Mrežne usluge definirane su u datoteci /etc/services. Da biste omogućili uslugu kao što je https, izvršite naredbu:
sudo firewall-cmd --add-service=https
Blokiranje usluge
Za blokiranje usluge, na primjer, FTP, izvršite:
sudo firewall-cmd --remove-service=https
Stavljanje IP adrese na popis dopuštenih
Da biste dopustili jednu IP adresu preko vatrozida, izvršite naredbu:
sudo firewall-cmd --permanent --add-source=192.168.2.50
Također možete dopustiti raspon IP-ova ili cijelu podmrežu koristeći CIDR (Classless Inter-Domain Routing) notaciju. Na primjer, da biste dopustili cijelu podmrežu u 255.255.255.0 podmreži, izvršite.
sudo firewall-cmd --permanent --add-source=192.168.2.0/24
Uklanjanje IP adrese s popisa dopuštenih
Ako želite ukloniti IP s popisa dopuštenih na vatrozidu, koristite oznaku --remove-source
kao što je prikazano:
sudo firewall-cmd --permanent --remove-source=192.168.2.50
Za cijelu podmrežu pokrenite:
sudo firewall-cmd --permanent --remove-source=192.168.2.50/24
Blokiranje IP adrese
Do sada smo vidjeli kako možete dodavati i uklanjati priključke i usluge, kao i stavljati na popis dopuštenih i uklanjati IP adrese s popisa dopuštenih. Za blokiranje IP adrese koriste se ‘bogata pravila’.
Na primjer, da biste blokirali IP 192.168.2.50 pokrenite naredbu:
sudo firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='192.168.2.50' reject"
Za blokiranje cijele podmreže pokrenite:
sudo firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='192.168.2.0/24' reject"
Spremanje pravila vatrozida
Ako ste unijeli bilo kakve promjene u pravila vatrozida, trebate pokrenuti naredbu u nastavku da bi se promjene odmah primijenile:
sudo firewall-cmd --reload
Pregledavanje pravila vatrozida
Da biste morali zaviriti u sva pravila vatrozida, izvršite naredbu:
sudo firewall-cmd --list-all
Ovime se završava ovaj vodič o tome kako dopustiti ili ograničiti pristup mreži pomoću FirewallD na CentOS/RHEL 8. Nadamo se da vam je ovaj vodič bio od pomoći.