Centos 6 отключает брандмауэр

Обновлено: 21.11.2024

У меня есть тестовый кластер RedHat 6, мне нужно отключить брандмауэр на всех узлах.

Я пробовал использовать chkconfig, но он не работает. Любым другим путем?
Я пробовал "chkconfig iptables off"

Фробозз

[Х]ард|Гоуд

chkconfig установит режим загрузки, но не изменит текущее состояние работы. Судя по вашей команде, после перезагрузки я ожидаю, что сценарий инициализации iptables не запустится. Вы можете просмотреть состояние всех служб и уровни выполнения, на которых они будут запущены, с помощью простого chkconfig.

Чтобы очистить и остановить iptables в работающей системе, попробуйте следующее

Цифровой Viper-X-

[H]F Наркоман

chkconfig установит режим загрузки, но не изменит текущее состояние работы. Судя по вашей команде, после перезагрузки я ожидаю, что сценарий инициализации iptables не запустится. Вы можете просмотреть состояние всех служб и уровни выполнения, на которых они будут запущены, с помощью простого chkconfig.

Чтобы очистить и остановить iptables в работающей системе, попробуйте следующее


Извините, я должен был уточнить, я уже отключил его с помощью службы iptables stop (и iptables6 stop), chkconfig не сохраняется при перезагрузке, вот в чем проблема.

Эрен8879

Высшая [жесткость]

возможно, проверьте файл:

Вот мой контент (включен iptables)

--enabled
--port=161:udp
--service=dns
--service=ssh

Возможно, попробуйте установить для первой строки значение --disabled

Фробозз

[Х]ард|Гоуд

Извините, я должен был уточнить, я уже отключил его с помощью службы iptables stop (и iptables6 stop), chkconfig не сохраняется при перезагрузке, вот в чем проблема.

Ага. Теперь вы больше занимаетесь расследованиями. Однако следующее может быть более простым, чем то, что вы ищете.

Сначала нужно запустить chkconfig и убедиться, что сохраненное поведение действительно соответствует вашему уровню выполнения. Иногда вы можете споткнуться на уровне запуска, если вы обычно используете SSH в какой-то коробке и не видите очевидного графического интерфейса, смотрящего на вас.
3 должно быть отключено, если уровень запуска 3, 5 должен быть отключен, если уровень запуска 5 и т. д.

Если у вас отображаются какие-либо записи, значит, они есть в ваших сценариях инициализации. где-то.
Я бы заглянул в /etc/rc.local и посмотрел, не добавилось ли что-нибудь туда. Затем просмотрите свои сценарии в /etc/init.d/. Стоит проверить /var/log/boot.log, чтобы узнать, где он срабатывает.

Если он пуст (как указано выше), а ваш кластер по-прежнему не обменивается данными, я бы провел поверхностную проверку SELinux с помощью команды sestatus. Когда он блокирует процессы, они могут совершать ошибки, которые на самом деле не приведут вас к причине.

Цифровой Viper-X-

[H]F Наркоман

Стюготы

Высшая [жесткость]

служба iptables остановлена ​​
служба ip6tables остановлена ​​
chkconfig --level 123456 iptables выключена
chkconfig --level 123456 ip6tables выключена

Цифровой Viper-X-

[H]F Наркоман

служба iptables остановлена ​​
служба ip6tables остановлена ​​
chkconfig --level 123456 iptables выключена
chkconfig --level 123456 ip6tables выключена

Можете ли вы объяснить --levels? между прочим, он уже отображается как выключенный.

Цифровой Viper-X-

[H]F Наркоман

Ага. Теперь вы больше занимаетесь расследованиями. Однако следующее может быть более простым, чем то, что вы ищете.

Сначала нужно запустить chkconfig и убедиться, что сохраненное поведение действительно соответствует вашему уровню выполнения. Иногда вы можете споткнуться на уровне запуска, если вы обычно используете SSH в какой-то коробке и не видите очевидного графического интерфейса, смотрящего на вас.
3 должно быть отключено, если уровень запуска 3, 5 должен быть отключен, если уровень запуска 5 и т. д.

Если у вас отображаются какие-либо записи, значит, они есть в ваших сценариях инициализации. где-то.
Я бы заглянул в /etc/rc.local и посмотрел, не добавилось ли что-нибудь туда. Затем просмотрите свои сценарии в /etc/init.d/. Стоит проверить /var/log/boot.log, чтобы узнать, где он срабатывает.

Если он пуст (как указано выше), а ваш кластер по-прежнему не обменивается данными, я бы провел поверхностную проверку SELinux с помощью команды sestatus. Когда он блокирует процессы, они могут совершать ошибки, которые на самом деле не приведут вас к причине.

Я проверил журнал загрузки, там нет упоминания об iptables, также проверил init.d, там есть только скрипт iptables, но я нигде не вижу, чтобы он выполнялся? его нет и в /etc/rc.local.

Теперь я запутался,
SELINUX отключен. только что проверил еще раз, есть ли что-нибудь еще, что может запустить брандмауэр после перезагрузки?

Брандмауэр является важным компонентом защиты компьютерной системы или сети компьютеров от внешних атак (как правило, от атак через интернет-соединение). На любом компьютере, подключенном напрямую к Интернету, должен быть установлен брандмауэр для защиты от вредоносных действий.Точно так же любая внутренняя сеть должна иметь какой-либо брандмауэр между ней и внешним подключением к Интернету.

Как и другие дистрибутивы Linux, CentOS 6 поставляется с мощной технологией брандмауэра, известной как встроенная iptables. О настройке iptables могут быть написаны и написаны целые книги. Если вы хотите узнать больше об iptables, мы рекомендуем Linux Firewall Configuration — Packet Filtering и iptables, которые можно найти в Интернете по адресу:

К счастью, CentOS 6 также предоставляет некоторые инструменты, упрощающие настройку брандмауэра для обычного пользователя. В этой главе описываются шаги, необходимые для настройки брандмауэра CentOS 6 с помощью этих инструментов.

Содержание

Настройка базового брандмауэра CentOS 6

Чтобы запустить стандартный инструмент настройки брандмауэра CentOS 6, откройте системное меню рабочего стола и нажмите «Администрирование», а затем «Брандмауэр». Кроме того, инструмент можно запустить из командной строки следующим образом:

Введите пароль root, если будет предложено это сделать. После загрузки инструмент брандмауэра должен выглядеть следующим образом:

По умолчанию брандмауэр будет активен в только что установленной системе CentOS 6. Это предпочтительное состояние для брандмауэра, если только система не работает в защищенной сетевой среде или не имеет сетевого подключения. Чтобы включить или отключить брандмауэр, нажмите соответствующую кнопку на панели инструментов окна «Конфигурация брандмауэра». Текущее состояние брандмауэра отображается в поле состояния в нижней части окна.

Настройка параметров брандмауэра с помощью мастера

По умолчанию брандмауэр разрешает доступ к системе только через безопасную оболочку (SSH) и рассматривает все установленные сетевые адаптеры как ненадежные устройства. Эти параметры можно настроить вручную с помощью инструмента настройки брандмауэра. В качестве альтернативы можно использовать инструмент Wizard для настройки брандмауэра на основе ответов на ряд вопросов. Чтобы получить доступ к мастеру, просто нажмите кнопку Wizard на панели инструментов инструмента настройки брандмауэра.

Мастер задаст вопросы о том, подключена ли система к сети, являетесь ли вы новичком или опытным пользователем и, наконец, используется ли система в качестве настольного компьютера или сервера. После сбора информации мастер соответствующим образом настроит брандмауэр. Например, если вы заявляете, что являетесь новичком, использующим систему в качестве настольного компьютера, мастер настроит брандмауэр, чтобы разрешить печать и доступ к файлам и принтерам в других системах, использующих Samba. Режим для начинающих также отключает доступ к более продвинутым параметрам конфигурации брандмауэра. Чтобы изменить уровень квалификации или профиль конфигурации (рабочий стол или сервер), используйте настройки, доступные через меню «Параметры».

Несмотря на то, что подход с помощью мастера подходит для самых простых настроек, для более сложных требований потребуется настроить параметры вручную.

Настройка параметров порта брандмауэра

Основная область инструмента настройки брандмауэра состоит из списка категорий на левой панели и текущих соответствующих настроек для этой категории на правой панели.

Категория доверенных служб определяет, какие порты TCP/IP открыты для трафика через брандмауэр. Существует ряд так называемых известных портов, которые назначаются определенным серверам (например, порт 80 для веб-сервера).

Более подробный список сервисов и портов можно найти в Интернете по адресу:

Чтобы активировать или деактивировать параметр, просто установите флажок рядом с сервисом.

Настройка других портов

Список известных портов, конечно, не единственный доступный порт. На самом деле существуют тысячи портов, доступных для использования приложениями и службами. Чтобы открыть определенный порт, используйте категорию «Другие порты» инструмента настройки брандмауэра. Чтобы открыть порт, нажмите кнопку «Добавить», чтобы открыть диалоговое окно «Порт и протокол», показанное ниже:

В этом диалоговом окне представлен гораздо более обширный список портов. Либо выберите нужный порт из списка, либо введите его вручную, если его нет в списке, выбрав опцию User Defined. При ручном определении порта необходимо указать как номер порта, так и протокол (TCP или UDP), чтобы брандмауэр не мешал трафику на этом порту.

Настройка доверенных интерфейсов

Доверенный интерфейс – это сетевой адаптер (физический или программный), через который известно, что трафик поступает из защищенной сетевой среды. Например, система CentOS 6, действующая как брандмауэр для внутренней сети, может содержать два сетевых адаптера, один из которых подключен через шлюз или модем к Интернету, а другой подключен к защищенной внутренней сети. В такой ситуации первый адаптер будет настроен как недоверенный, так как он открыт для трафика из внешнего мира.Предполагая, что внутренняя сеть защищена брандмауэром и другими мерами предотвращения вторжений, второй адаптер можно считать заслуживающим доверия.

Маскарад

Маскарад более известен в кругах администраторов сетей как преобразование сетевых адресов (NAT). При использовании системы CentOS 6 в качестве шлюза в Интернет для сети компьютеров маскировка позволяет всем внутренним системам использовать IP-адрес этой системы CentOS 6 при общении через Интернет. Это имеет то преимущество, что скрывает внутренние IP-адреса любых систем от вредоносных внешних объектов, а также позволяет избежать необходимости выделения общедоступного IP-адреса каждому компьютеру в сети.

Эта услуга также предоставляется большинством маршрутизаторов и шлюзов, поэтому эта функция брандмауэра CentOS 6 используется редко.

Переадресация портов

Переадресация портов используется в сочетании с маскировкой, когда система CentOS 6 действует как шлюз в Интернет для внутренней сети компьютерных систем. Переадресация портов позволяет пересылать трафик, поступающий на брандмауэр через Интернет через определенный порт, в определенную систему во внутренней сети. Возможно, это лучше всего описать на примере.

Настройте переадресацию портов, выбрав категорию «Переадресация портов» в окне «Конфигурация брандмауэра» и нажав кнопку Добавить. Появится следующий диалог:

В приведенном выше диалоговом окне выберите сетевое устройство, с которого будет пересылаться трафик (сетевое устройство, обрабатывающее трафик, поступающий из Интернета), протокол и порт, для которых будет действовать переадресация, и IP-адрес. системы внутренней сети, на которую должен быть направлен трафик. При необходимости также укажите альтернативный номер порта в целевой системе.

Чтобы перенаправить трафик на другой порт в локальной системе (другими словами, на систему, на которой работает брандмауэр), выберите параметр "Локальная переадресация" и укажите порт назначения.

ICMP-фильтрация

Протокол управляющих сообщений Интернета (ICMP) используется клиентскими системами в сети для отправки друг другу сообщений об ошибках. Это также основа команды ping, которая используется сетевыми администраторами и пользователями для определения того, активен ли конкретный клиент в сети. Категория «Фильтрация ICMP» позволяет блокировать определенные типы сообщений ICMP. Например, администратор может заблокировать входящие ICMP-сообщения ping (эхо-запрос), чтобы предотвратить возможность атаки типа «отказ в обслуживании» (DoS) на основе ping (когда сервер злонамеренно бомбардируется таким количеством ping-сообщений, что становится неспособным ответить). на законные запросы).

Пользовательские правила

Категория «Пользовательские правила» позволяет указать отдельные правила iptables и загрузить их в брандмауэр. Это обеспечивает высокий уровень гибкости для выполнения таких задач, как блокировка сообщений с определенного IP-адреса или диапазона адресов. Мощь и гибкость iptables позволяют накладывать практически любые мыслимые ограничения на трафик, проходящий через брандмауэр. К сожалению, сама эта сила делает подробный обзор технологии далеко за рамками этой книги.

Настройка брандмауэра с терминала с помощью iptables

Помимо использования графического инструмента для настройки правил брандмауэра, команду iptables также можно использовать в командной строке. Чтобы просмотреть текущие настройки iptables, в окне терминала можно выполнить следующую команду:

Если мы сейчас проверим текущие правила, мы увидим, что это теперь указано:

Правило впоследствии может быть удалено следующим образом:

Учитывая сложность iptables, неудивительно, что для упрощения процесса создания правил был создан ряд удобных графических инструментов настройки (таких как Guarddog и Firestarter).

Вы читаете образец главы из книги CentOS 6 Essentials Essentials.

Купите копию полностью обновленной версии CentOS 8 в формате электронной книги (24,99 долл. США) или печати (36,99 долл. США)

Печать CentOS 8 Essentials и электронная книга (ePub/PDF/Kindle) содержат 31 главу и более 260 страниц. Узнать больше.

Привет всем. При установке CentOS ближе к концу агент установки позволяет пользователю отключить брандмауэр CentOS по умолчанию. Я не делал этого во время установки, но я хотел бы отключить его сейчас.

Как вернуться в агент установки, чтобы отключить брандмауэр CentOS?

Модератор форума AlanBartlett Сообщений: 9342 Присоединился: 22.10.2007 11:30:09 Местоположение: ~/Earth/UK/England/Suffolk Контактное лицо:

У вас [i]могут[/i] также быть запущены [b]ip6tables[/b], так что также

[b]service ip6tables stop
chconfig --del ip6tables[/b]

Пожалуйста, просмотрите справочные страницы для обеих этих команд

[b]man service
man chkconfig[/b]

Только что удалось выйти в Сеть на уровне командной строки, я могу пинговать, телнетить, ftp и т. д., так что я думаю, мне нужен какой-то брандмауэр. Мне тоже нужно пройти через chmod дело. Может быть, я могу отключить входящий ping и входящее соединение telnet.

С другой стороны, это должен быть веб-сервер!

Слишком много для крупного новичка за один день :(

Ваш сервер не будет долго работать в сети без брандмауэра, с включенным telnet с открытым текстом и новичком у руля.

Возможно, вы захотите переосмыслить это.

Да, Майк, я согласен, и ничто не порадует меня лучше, чем передать опытному системному администратору с соответствующим бэкграундом. Но найти таких людей сложнее, чем вы думаете в США, каждый после 3 лет обучения в университете хочет работать в мегамиллиардной компании с шестизначной зарплатой, опциями и неограниченным карьерным ростом, что понятно, ведь образование чертовски дорого. Но не все из нас владеют мегамиллиардными компаниями. Мысль: примерно 50% всех рабочих мест в США связаны с малым и средним бизнесом, и нам нужны такие технари, как вы. Остальные принадлежат правительствам и компаниям из списка Fortune 500. Президент Клинтон протолкнул законопроект о поддержке малого и среднего бизнеса, который все еще действует.

Что касается iptables, мне нужно включать и выключать их на этапе сборки и, вероятно, попробовать другие брандмауэры.

Спасибо за ваши мысли по этому поводу.

[quote]
MajorNewbie писал:
Да, Майк, я согласен и ничто не порадует меня лучше, чем сдать опытному системному администратору с соответствующим бэкграундом. Но найти таких людей сложнее, чем вы думаете в США, каждый после 3 лет обучения в университете хочет работать в мегамиллиардной компании с шестизначной зарплатой, опциями и неограниченным карьерным ростом, что понятно, ведь образование чертовски дорого. Но не все из нас владеют мегамиллиардными компаниями. Мысль: примерно 50% всех рабочих мест в США связаны с малым и средним бизнесом, и нам нужны такие технари, как вы. Остальные принадлежат правительствам и компаниям из списка Fortune 500. Президент Клинтон протолкнул законопроект о поддержке малого и среднего бизнеса, который все еще действует.

Рассматривали ли вы возможность нанять консультанта с фиксированной почасовой оплатой? Администрирование системы может осуществляться удаленно, поэтому вам не обязательно нанимать штатного системного администратора на месте. Консультант, даже с немного более высокой почасовой ставкой, вероятно, будет работать НАМНОГО дешевле, чем штатный системный администратор. Я уверен, что многие из более опытных пользователей здесь, на форумах, также занимаются внештатной консультационной работой. Просто мысль.

В качестве альтернативы можно купить лицензионную копию RHEL вместе с их поддержкой :-)

Покупка поддержки у RH не поможет мне, если я хочу переложить задачи системного администратора на кого-то более современного. Кроме того, RH чертовски дорог.

Однако я хочу, чтобы подрядчик приходил несколько раз в неделю или занимался удаленным администрированием. Я должен доверять этому человеку. В любом случае, я думаю, что моих старых (более старых?) знаний об X может быть достаточно, чтобы настроить несколько сетевых серверов и выйти в Сеть, пока я пытаюсь получить:
(1) sysadm + dba (mySQL) < br />(2) веб-разработчика для Coldfusion (на платформе J2EE)

Я разместил объявление на специализированном сайте, единственный ответ был от агента, который назвал мне x-сумму, чтобы найти подходящего человека, чтобы сделать то, что я почти закончил делать, с готовностью Verizon. :(

В любом случае, мы не по теме; вы в Англии; и я не хочу расстраивать модераторов.

Я не уверен, что процедура отключения брандмауэра ("служба iptables stop" для немедленного отключения, а затем "chkconfig iptables off" для сохранения изменений) работает правильно в моем случае. Я сделал именно это, и после перезагрузки я получаю ответ от «статуса службы iptables»:

Таблица: nat
Chain PREROUTING (policy ACCEPT)
num target prot opt ​​source destination

Цепь POSTROUTING (политика ПРИНЯТА)
num target prot opt ​​source target
1 MASQUERADE all -- 192.168.122.0/24 0.0.0.0/0

Chain OUTPUT (policy ACCEPT)
num target prot opt ​​source target

Таблица: фильтр
Chain INPUT (политика ACCEPT)
num target prot opt ​​источник назначение
1 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53 < br />2 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:53
3 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:67
4 ПРИНЯТЬ tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:67

Chain FORWARD (policy ACCEPT)
num target prot opt ​​source target
1 ACCEPT all -- 0.0.0.0/0 192.168.122.0/24 state RELATED,ESTABLISHED
2 ACCEPT all - - 192.168.122.0/24 0.0.0.0/0
3 ПРИНЯТЬ все -- 0.0.0.0/0 0.0.0.0/0
4 ОТКЛОНИТЬ все -- 0.0.0.0/0 0.0.0.0/0 отклонить -with icmp-port-unreachable
5 REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable

Chain OUTPUT (policy ACCEPT)
num target prot opt ​​source target

Я бы подумал, что если брандмауэр действительно отключен, ответ должен быть "Брандмауэр остановлен".

firewalld — это брандмауэр по умолчанию в Red Hat Enterprise Linux, и он включен по умолчанию, но Redhat может отключить брандмауэр, и вы также увидите, как проверить состояние брандмауэра в Linux. Обычно нет необходимости отключать брандмауэр, но это может быть очень удобно для целей тестирования или других сценариев.

В этом руководстве вы узнаете, как проверить состояние firewalld, включить или отключить автоматический запуск службы при загрузке системы, а также как остановить или запустить службу firewalld в RHEL.

В этом уроке вы узнаете:

  • Остановить или запустить брандмауэр в RHEL
  • Включить или отключить автоматический запуск брандмауэра
  • Как проверить статус службы firewalld в RHEL

Как проверить состояние брандмауэра в Linux


Чтобы узнать, как проверить состояние брандмауэра в Linux, используйте следующую команду systemctl. Это скажет вам, работает ли служба или нет.

Вывод команды:

Из приведенного выше вывода видно, что брандмауэр включен, что означает, что он запустится автоматически после перезагрузки и что он также активен в данный момент. Кроме того, вы даже можете проверить все применяемые в настоящее время правила с помощью:

Redhat Отключить брандмауэр, запустить/остановить

Брандмауэр в системе Red Hat Linux можно остановить, выполнив следующую команду Linux:

Чтобы снова включить брандмауэр, используйте эту команду:

Redhat Отключить брандмауэр, включить/отключить

Включение брандмауэра означает, что служба будет запускаться автоматически при загрузке системы. А его отключение означает, что он не запустится автоматически.

А чтобы полностью отключить брандмауэр Redhat, чтобы он не загружался после перезагрузки, выполните:

Теперь брандмауэр не запускался после перезагрузки системы. Чтобы снова включить брандмауэр, выполните:

Заключительные мысли

В этом руководстве вы узнали, как управлять системным брандмауэром в RHEL. Сюда входят такие параметры, как запуск, остановка, включение или отключение брандмауэра Redhat, а также проверка текущего состояния firewalld и его настроенных правил.

Читайте также: