Korisna pravila 'FirewallD' za konfiguriranje i upravljanje vatrozidom u Linuxu
Firewalld pruža način za konfiguriranje dinamičkih pravila vatrozida u Linuxu koja se mogu primijeniti trenutno, bez potrebe za ponovnim pokretanjem vatrozida, a također podržava D-BUS i koncepte zona što konfiguraciju čini jednostavnom.
Firewalld zamijenio je stari Fedorin mehanizam vatrozida (Fedora 18 nadalje), RHEL/CentOS 7 i druge najnovije distribucije oslanjaju se na ovaj novi mehanizam. Jedan od najvećih motiva uvođenja novog firewall sustava je taj što je stari firewall potrebno ponovno pokrenuti nakon svake izmjene, čime se prekidaju sve aktivne veze. Kao što je gore rečeno, najnoviji vatrozid podržava dinamičke zone koje su korisne za konfiguriranje različitih skupova zona i pravila za vašu uredsku ili kućnu mrežu putem naredbenog retka ili korištenjem GUI metode.
U početku, koncept vatrozida izgleda vrlo teško konfigurirati, ali usluge i zone olakšavaju tako što oboje drže zajedno kao što je opisano u ovom članku.
U našem ranijem članku, gdje smo vidjeli kako se igrati s vatrozidom i njegovim zonama, sada ovdje, u ovom članku, vidjet ćemo neka korisna pravila vatrozida za konfiguriranje vaših trenutnih Linux sustava korištenjem naredbenog retka.
- Konfiguracija vatrozida u RHEL/CentOS 7
Svi primjeri obuhvaćeni ovim člankom praktično su testirani na distribuciji CentOS 7, a također rade na distribucijama RHEL i Fedora.
Prije implementacije pravila vatrozida, provjerite je li usluga vatrozida omogućena i pokrenuta.
systemctl status firewalld
Gornja slika pokazuje da je vatrozid aktivan i radi. Sada je vrijeme da provjerite sve aktivne zone i aktivne usluge.
firewall-cmd --get-active-zones
firewall-cmd --get-services
Ako u slučaju da niste upoznati s naredbenim redkom, vatrozidom možete upravljati i iz GUI-a, za to trebate imati GUI paket instaliran na sustavu, ako niste, instalirajte ga pomoću sljedeće naredbe.
yum install firewalld firewall-config
Kao što je gore rečeno, ovaj je članak posebno napisan za ljubitelje naredbenog retka i svi primjeri koje ćemo pokriti temelje se samo na naredbenom retku, bez GUI načina..oprostite....
Prije nego krenete dalje, prvo potvrdite na kojoj ćete javnoj zoni konfigurirati Linux vatrozid i navedite sve aktivne usluge, portove, bogata pravila za javnu zonu pomoću sljedeće naredbe.
firewall-cmd --zone=public --list-all
Na gornjoj slici još nema dodanih aktivnih pravila, pogledajmo kako dodati, ukloniti i izmijeniti pravila u preostalom dijelu ovog članka….
1. Dodavanje i uklanjanje portova u Firewalldu
Da biste otvorili bilo koji priključak za javnu zonu, koristite sljedeću naredbu. Na primjer, sljedeća naredba otvorit će port 80 za javnu zonu.
firewall-cmd --permanent --zone=public --add-port=80/tcp
Slično tome, da biste uklonili dodani priključak, samo upotrijebite opciju ‘–ukloni’ s naredbom firewalld kao što je prikazano u nastavku.
firewall-cmd --zone=public --remove-port=80/tcp
Nakon dodavanja ili uklanjanja određenih portova, svakako potvrdite je li port dodan ili uklonjen pomoću opcije ‘–list-ports’.
firewall-cmd --zone=public --list-ports
2. Dodavanje i uklanjanje usluga u Firewalldu
Prema zadanim postavkama firewalld dolazi s unaprijed definiranim uslugama, ako želite dodati popis određenih usluga, morate stvoriti novu xml datoteku sa svim uslugama uključenim u datoteku ili možete također definirati ili ukloniti svaku uslugu ručno pokretanjem sljedećeg naredbe.
Na primjer, sljedeće naredbe će vam pomoći da dodate ili uklonite određene usluge, kao što smo učinili za FTP ovdje u ovom primjeru.
firewall-cmd --zone=public --add-service=ftp
firewall-cmd --zone=public --remove-service=ftp
firewall-cmd --zone=public --list-services
3. Blokirajte dolazne i odlazne pakete (Panic Mode)
Ako želite blokirati sve dolazne ili odlazne veze, trebate koristiti način rada 'panic-on' da blokirate takve zahtjeve. Na primjer, sljedeće pravilo ispustit će sve postojeće uspostavljene veze na sustavu.
firewall-cmd --panic-on
Nakon što omogućite način panike, pokušajte pingati bilo koju domenu (recimo google.com) i provjerite je li način panike UKLJUČEN pomoću '–query-panic >' kao što je navedeno u nastavku.
ping google.com -c 1
firewall-cmd --query-panic
Vidite li na gornjoj slici panični upit koji kaže “Nepoznati host google.com“. Sada pokušajte onemogućiti način panike, a zatim još jednom pingajte i provjerite.
firewall-cmd --query-panic
firewall-cmd --panic-off
ping google.com -c 1
Ovaj put će biti ping zahtjev s google.com..