Настройка брандмауэра Centos 8

Обновлено: 22.11.2024

Позвольте мне начать с того, что я не очень хорошо разбираюсь в Linux. Вероятно, можно сказать, что я знаю достаточно о вариантах Linux, чтобы быть опасными, но мой основной опыт связан с сетями, ОС VMWare и Windows Server. Если я смогу найти краткое руководство по тому, что я хочу сделать в Linux, не проблема, но выйти из чего-то подобного может быть немного рискованно.

В прошлом я практически не имел дела с брандмауэрами Linux, потому что я всегда отключал встроенные брандмауэры ОС и использовал выделенный внешний брандмауэр.

При этом у меня есть вариант использования, когда у меня нет возможности иметь выделенный внешний брандмауэр, поэтому у меня нет другого выбора, кроме как использовать встроенный брандмауэр. Из прочитанного я кое-что добился, но не совсем там, где хотел бы быть.

То, что я хочу сделать, "достаточно просто". Я хочу:

Разрешить все исходящие
Разрешить SMTP из любого места (в идеале IPV4 и IPV6)
Разрешить «TCP Port1» с «x» IPv4-адреса
Разрешить «TCP Port2» с «x» IPv4-адреса
Разрешить «TCP Port3» с IPv4-адреса «x»
Отбрасывать весь остальной трафик, как если бы IP-адрес не работал

Идея заключается в том, что он принимает всю входящую почту для моих доменов, и в случае, если мое подключение к Интернету прервется или мой сервер по какой-либо причине станет недоступен, вся входящая почта будет буферизоваться на неопределенный срок, пока мой сервер не вернется в оперативный режим и затем доставьте его в эту точку, и он также служит исходящей точкой ретрансляции для моего почтового сервера, поэтому вся почта приходит и уходит с одного и того же IP-адреса.

Мне удалось пройти часть пути, используя следующее:

firewall-cmd --permanent --zone=public --add-icmp-block-inversion
firewall-cmd --permanent --zone=public --add-rich-rule 'rule family=" ipv4" source address="IPx" port port=Port1 protocol=tcp accept'
firewall-cmd --permanent --zone=public --add-rich-rule 'rule family="ipv4" source address=" IPx" port port=Port2 protocol=tcp accept'
firewall-cmd --permanent --zone=public --add-rich-rule 'rule family="ipv4" source address="IPx" port port=Port3 протокол=принять TCP'

Проблема с этими командами (ну, с ICMP) заключается в том, что когда я пингую их, я получаю сообщение "Целевая сеть недоступна". вместо ожидаемого/желаемого «тайм-аута».

Остальные три (не ICMP), вероятно, именно такие, какие мне нужны/хочется. Используя переключатель «--permanent», они сохраняются при перезагрузке. Я просто не уверен, что «расширенные правила» — это лучший способ добиться того, чего я хочу, потому что это для меня ново.

SMTP указан в разделе "службы" команды "firewall-cmd --zone=public --list-all", но я не уверен, что это все, что нужно, поскольку при запуске Postfix он по-прежнему не отвечает. если я попытаюсь подключиться к нему по телнету через порт 25.

Если бы это был брандмауэр pfSense, ASA или Watchguard, это было бы несложно.

Как лучше всего это сделать? Часть «FirewallD» WebMin, кажется, не дает никаких намеков на то, что что-то вроде «Rich Rules» возможно, и если я внесу изменение с ее помощью, он стирает настроенные мной Rich Rules.

Можно ли настроить такие вещи в разделе WebMin FirewallD? Или это должен быть только CLI? Есть советы/предложения?

Брандмауэр – это метод мониторинга и фильтрации входящего и исходящего сетевого трафика. Он работает, определяя набор правил безопасности, которые определяют, разрешать или блокировать определенный трафик. Правильно настроенный брандмауэр — один из наиболее важных аспектов общей безопасности системы.

CentOS 8 поставляется с демоном брандмауэра с именем firewalld . Это комплексное решение с интерфейсом D-Bus, которое позволяет динамически управлять системным брандмауэром.

В этом руководстве мы поговорим о настройке и управлении брандмауэром в CentOS 8. Мы также объясним основные концепции FirewallD.

Чтобы настроить службу брандмауэра, вы должны войти в систему как пользователь root или пользователь с привилегиями sudo .

firewalld использует концепции зон и служб. В зависимости от зон и служб, которые вы настроите, вы сможете контролировать, какой трафик разрешен или заблокирован в системе и из нее.

Firewalld можно настроить и управлять с помощью утилиты командной строки firewall-cmd.

В CentOS 8 iptables заменен на nftables в качестве серверной части брандмауэра по умолчанию для демона firewalld.

Зоны – это предустановленные наборы правил, определяющие уровень доверия сетей, к которым подключен ваш компьютер. Зоне можно назначить сетевые интерфейсы и источники.

Ниже приведены зоны, предоставляемые FirewallD, упорядоченные в соответствии с уровнем доверия зоны от недоверенных до доверенных:

• drop: все входящие соединения сбрасываются без какого-либо уведомления. Разрешены только исходящие соединения.
• block: все входящие подключения отклоняются сообщением icmp-host-prohibited для IPv4 и icmp6-adm-prohibited для IPv6n. Разрешены только исходящие соединения.
• public: для использования в ненадежных общедоступных местах.Вы не доверяете другим компьютерам в сети, но можете разрешить выбранные входящие подключения.
• external: для использования во внешних сетях с включенной маскировкой NAT, когда ваша система выступает в качестве шлюза или маршрутизатора. Разрешены только выбранные входящие подключения.
• внутренний: для использования во внутренних сетях, когда ваша система выступает в качестве шлюза или маршрутизатора. Другие системы в сети обычно являются доверенными. Разрешены только выбранные входящие подключения.
• dmz: используется для компьютеров, расположенных в вашей демилитаризованной зоне, которые имеют ограниченный доступ к остальной части вашей сети. Разрешены только выбранные входящие подключения.
• work: Используется для рабочих машин. Другие компьютеры в сети обычно являются доверенными. Разрешены только выбранные входящие подключения.
• home: используется для домашних компьютеров. Другие компьютеры в сети обычно являются доверенными. Разрешены только выбранные входящие подключения.
• доверенный: разрешены все сетевые подключения. Доверяйте всем компьютерам в сети.

Службы брандмауэра – это предопределенные правила, которые применяются в пределах зоны и определяют необходимые параметры, разрешающие входящий трафик для определенной службы. Службы позволяют легко выполнять несколько задач за один шаг.

Например, служба может содержать определения открытия портов, переадресации трафика и т. д.

Firewalld использует два отдельных набора настроек: среду выполнения и постоянную конфигурацию.

Конфигурация среды выполнения — это фактическая рабочая конфигурация, которая не сохраняется при перезагрузке. Когда демон firewalld запускается, он загружает постоянную конфигурацию, которая становится рабочей конфигурацией.

По умолчанию при внесении изменений в конфигурацию Firewalld с помощью утилиты firewall-cmd изменения применяются к конфигурации среды выполнения. Чтобы сделать изменения постоянными, добавьте к команде параметр --permanent.

Чтобы применить изменения в обоих наборах конфигурации, вы можете использовать один из следующих двух способов:

Измените конфигурацию среды выполнения и сделайте ее постоянной:

Измените постоянную конфигурацию и перезагрузите демон firewalld:

В CentOS 8 firewalld установлен и включен по умолчанию. Если по какой-то причине он не установлен в вашей системе, вы можете установить и запустить демон, набрав:

Вы можете проверить состояние службы брандмауэра с помощью:

Если брандмауэр включен, команда должна вывести . В противном случае вы увидите, что не работает .

Если вы не меняли ее, по умолчанию устанавливается зона public , и все сетевые интерфейсы назначаются этой зоне.

Зона по умолчанию используется для всего, что не назначено явно другой зоне.

Вы можете увидеть зону по умолчанию, набрав:

Чтобы получить список всех доступных зон, введите:

Чтобы увидеть активные зоны и назначенные им сетевые интерфейсы:

Выходные данные ниже показывают, что интерфейсы eth0 и eth1 назначены общедоступной зоне:

Вы можете распечатать настройки конфигурации зоны с помощью:

Из приведенного выше вывода видно, что публичная зона активна и использует цель по умолчанию — REJECT . Выходные данные также показывают, что зона используется интерфейсами eth0 и eth1 и разрешает трафик DHCP-клиента и SSH.

Если вы хотите проверить конфигурации всех доступных зон, введите:

Команда выводит огромный список с настройками всех доступных зон.

Цель определяет поведение зоны по умолчанию для входящего трафика, который не указан. Можно выбрать один из следующих вариантов: по умолчанию, ПРИНЯТЬ, ОТКЛОНИТЬ и ОТМЕНИТЬ.

Чтобы установить цель зоны, укажите зону с параметром --zone и цель с параметром --set-target.

Например, чтобы изменить цель общедоступной зоны на DROP, вы должны выполнить:

Вы можете создавать определенные наборы правил для разных зон и назначать им разные интерфейсы. Это особенно полезно, когда на вашем компьютере несколько интерфейсов.

Чтобы назначить интерфейс другой зоне, укажите зону с параметром --zone и интерфейс с параметром --change-interface.

Например, следующая команда назначает интерфейс eth1 рабочей зоне:

Подтвердите изменения, введя:

Чтобы изменить зону по умолчанию, используйте параметр --set-default-zone, за которым следует имя зоны, которую вы хотите сделать по умолчанию.

Например, чтобы изменить зону по умолчанию на домашнюю, выполните следующую команду:

Подтвердите изменения с помощью:

Firewalld также позволяет создавать собственные зоны. Это удобно, если вы хотите создать правила для каждого приложения.

В следующем примере мы создадим новую зону с именем memcached , откроем порт 11211 и разрешим доступ только с IP-адреса 192.168.100.30:

Создайте зону:

Добавить правила в зону:

Перезагрузите демон firewalld, чтобы активировать изменения:

С помощью firewalld вы можете разрешить трафик для определенных портов и/или источников на основе предопределенных правил, называемых службами.

Чтобы получить список всех доступных по умолчанию служб, введите:

Чтобы убедиться, что служба была успешно добавлена, используйте параметр --list-services:

Чтобы оставить порт 80 открытым после перезагрузки, запустите ту же команду еще раз с параметром --permanent или выполните:

Используйте параметр --list-services вместе с параметром --permanent для проверки ваших изменений:

Синтаксис для удаления службы такой же, как и для ее добавления. Просто используйте --remove-service вместо флага --add-service:

Как мы уже упоминали, службы по умолчанию хранятся в каталоге /usr/lib/firewalld/services. Самый простой способ создать новую службу — скопировать существующий файл службы в каталог /etc/firewalld/services, который является местом для созданных пользователем служб, и изменить настройки файла.

Например, чтобы создать определение службы для Plex Media Server, вы можете использовать файл службы SSH:

Откройте только что созданный файл plexmediaserver.xml и измените краткое имя и описание службы в тегах и . Самый важный тег, который вам нужно изменить, — это тег порта, который определяет номер порта и протокол, который вы хотите открыть.

В следующем примере мы открываем порты 1900 UDP и 32400 TCP.

Сохраните файл и перезагрузите службу FirewallD:

Теперь вы можете использовать службу plexmediaserver в своих зонах так же, как и любую другую службу.

Firewalld также позволяет быстро включить весь трафик с доверенного IP-адреса или определенного порта без создания определения службы.

Чтобы разрешить весь входящий трафик с определенного IP-адреса (или диапазона), укажите зону с параметром --zone и исходный IP-адрес с параметром --add-source.

Например, чтобы разрешить весь входящий трафик с адреса 192.168.1.10 в общедоступную зону, выполните:

Сделайте новое правило постоянным:

Проверьте изменения с помощью следующей команды:

Синтаксис для удаления исходного IP такой же, как и для его добавления. Просто используйте параметр --remove-source вместо параметра --add-source:

Чтобы разрешить весь входящий трафик через заданный порт, укажите зону с параметром --zone, а также порт и протокол с параметром --add-port.

Например, чтобы открыть порт 8080 в общедоступной зоне для текущего сеанса, который вы запустили:

Протокол может быть tcp , udp , sctp или dccp .

Проверьте изменения:

Чтобы оставить порт открытым после перезагрузки, добавьте правило в постоянные настройки, запустив ту же команду с флагом --permanent или выполнив:

Синтаксис удаления порта такой же, как и при добавлении порта. Просто используйте --remove-port вместо --add-port.

Чтобы перенаправить трафик с одного порта на другой, сначала включите маскировку для нужной зоны с помощью параметра --add-masquerade. Например, чтобы включить маскировку для внешней зоны, введите:

В следующем примере мы перенаправляем трафик с порта 80 на порт 8080 на том же сервере:

В следующем примере мы перенаправляем трафик с порта 80 на порт 80 на сервере с IP-адресом 10.10.10.2:

В следующем примере мы перенаправляем трафик с порта 80 на порт 8080 на сервере с IP-адресом 10.10.10.2:

Чтобы сделать правило переадресации постоянным, используйте:

Вы узнали, как настраивать и управлять службой firewalld в вашей системе CentOS 8.

Обязательно разрешите все входящие подключения, необходимые для правильной работы вашей системы, и ограничьте все ненужные подключения.

Чтобы приступить к настройке брандмауэра в любой операционной системе, нам сначала нужно понять, что такое брандмауэр и для чего он нужен. Итак, давайте сначала узнаем о брандмауэре.

Что такое брандмауэр?

Простыми словами, брандмауэр – это система, используемая для сетевой безопасности путем мониторинга, контроля и фильтрации сетевого трафика (входящего или исходящего). Мы можем установить некоторые правила безопасности, если хотим разрешить или заблокировать определенный трафик. Таким образом, для безопасности системы необходим хорошо настроенный брандмауэр.

Firewalld: система управления брандмауэром

Если говорить о конфигурации брандмауэра в операционной системе CentOS 8, CentOS 8 поставляется со службой брандмауэра, известной как firewalld. Демон firewalld — отличное программное обеспечение для управления брандмауэром, позволяющее управлять сетевым трафиком системы и контролировать его. Он используется несколькими основными дистрибутивами Linux для настройки брандмауэра и в качестве системы фильтрации сетевых пакетов.

В этом посте вы узнаете все о firewalld и покажете, как установить и настроить брандмауэр в операционной системе CentOS 8. Мы также попробуем пару основных команд и выполним некоторые базовые настройки брандмауэра для управления сетевым трафиком. Давайте начнем с понимания основных концепций Firewalld.

Основные понятия Firewalld

Демон Firewalld использует команду firewall-cmd. firewall-cmd — это утилита командной строки или клиент демона firewalld. Давайте обсудим и разберем некоторые концепции этого инструмента.

Для управления трафиком firewalld использует зоны и службы. Итак, чтобы понять и начать работать с firewalld, вам сначала нужно понять, что такое зоны и службы в firewalld.

Зоны

Зоны подобны части сети, где мы устанавливаем некоторые правила или устанавливаем определенные требования безопасности для управления и контроля потока трафика в соответствии с определенными правилами зоны. Мы сначала объявляем правила зоны, а затем ей назначается Сетевой интерфейс, на котором применяются правила безопасности.

Мы можем установить или изменить любое правило в зависимости от сетевой среды. Для общедоступных сетей мы можем установить некоторые строгие правила для конфигурации нашего брандмауэра. Хотя для домашней сети вам не нужно устанавливать какие-то строгие правила, некоторые базовые правила вполне подойдут.

Существует несколько предопределенных брандмауэром зон на основе уровня доверия. Поэтому лучше понять их и использовать в соответствии с уровнем безопасности, который мы хотим установить.

• drop: это зона с самым низким уровнем безопасности. В этой зоне будет проходить исходящий трафик, а входящий трафик не будет пропущен.
• block: эта зона почти такая же, как и указанная выше зона перетаскивания, но мы получим уведомление, если соединение в этой зоне обрывается.
• public: эта зона предназначена для ненадежных общедоступных сетей, в которых вы хотите ограничить входящие подключения в зависимости от ситуации.
• external: эта зона используется для внешних сетей, когда вы используете брандмауэр в качестве шлюза. Он используется для внешней части шлюза, а не для внутренней части.
• internal: напротив внешней зоны, эта зона предназначена для внутренних сетей, когда вы используете брандмауэр в качестве шлюза. Он находится напротив внешней зоны и используется во внутренней части шлюза.
• dmz: это имя зоны происходит от демилитаризованной зоны, где система будет иметь минимальный доступ к остальной части сети. Эта зона используется явно для компьютеров в менее загруженной сетевой среде.
• work: эта зона используется для систем рабочей среды, чтобы иметь почти все доверенные системы.
• home: эта зона используется для домашних сетей, где большинство систем заслуживают доверия.
• доверенная: эта зона имеет самый высокий уровень безопасности. Эта зона используется там, где мы можем доверять каждой системе.

Соблюдение и использование зон не является обязательным, так как они определены заранее. Мы можем изменить правила зоны и назначить ей сетевой интерфейс позже.

Настройки правил брандмауэра

В брандмауэре может быть два типа наборов правил:

Когда мы добавляем или изменяем набор правил, он применяется только к работающему брандмауэру. После перезагрузки службы firewalld или перезагрузки системы служба firewalld загрузит только постоянные конфигурации. Недавно добавленные или измененные наборы правил не будут применяться, поскольку изменения, которые мы вносим в firewalld, используются только в конфигурации времени выполнения.

Чтобы загружать недавно добавленные или измененные наборы правил при перезагрузке системы или перезагрузке службы firewalld, нам нужно добавить их в постоянные конфигурации firewalld.

Чтобы добавить наборы правил и сохранить их в конфигурации на постоянной основе, просто используйте флаг –permanent в команде:

После добавления наборов правил в постоянные конфигурации перезагрузите firewall-cmd с помощью команды:

С другой стороны, если вы хотите добавить наборы правил среды выполнения к постоянным настройкам, используйте команду, введенную ниже:

С помощью приведенной выше команды все наборы правил среды выполнения будут добавлены в постоянные настройки брандмауэра.

Установка и включение брандмауэра

Firewalld предустановлен в последней версии CentOS 8. Однако, если по какой-то причине он не работает или не установлен, вы можете установить его с помощью команды:

Чтобы запустить службу firewalld, выполните команду, введенную ниже:

Лучше, если вы будете автоматически запускаться при загрузке, и вам не придется запускать его снова и снова.

Чтобы включить демон firewalld, выполните приведенную ниже команду:

Чтобы проверить состояние службы firewall-cmd, выполните приведенную ниже команду:

Вы можете увидеть в выводе; брандмауэр работает отлично.

Правила брандмауэра по умолчанию

Давайте рассмотрим некоторые правила брандмауэра по умолчанию, чтобы понять их и при необходимости полностью изменить.

Чтобы узнать выбранную зону, выполните команду firewall-cmd с флагом –get-default-zone, как показано ниже:

Он покажет активную зону по умолчанию, которая контролирует входящий и исходящий трафик для интерфейса.

Зона по умолчанию останется единственной активной зоной, пока мы не дадим firewalld никаких команд для изменения зоны по умолчанию.

Мы можем получить активные зоны, выполнив команду firewall-cmd с флагом –get-active-zones, как показано ниже:

В выводе видно, что брандмауэр контролирует наш сетевой интерфейс, и наборы правил общедоступной зоны будут применяться к сетевому интерфейсу.

Если вы хотите определить наборы правил для общедоступной зоны, выполните команду, введенную ниже:

Глядя на выходные данные, вы можете убедиться, что эта общедоступная зона является зоной по умолчанию и активной зоной, и наш сетевой интерфейс подключен к этой зоне.

Изменение зоны сетевого интерфейса

Поскольку мы можем менять зоны и зону сетевого интерфейса, изменение зон удобно, когда на нашем компьютере установлено более одного интерфейса.

Чтобы изменить зону сетевого интерфейса, вы можете использовать команду firewall-cmd, указать имя зоны в параметре –zone и имя сетевого интерфейса в параметре –change-interface:

Чтобы проверить, изменена зона или нет, запустите команду firewall-cmd с параметром –get-active zone:

Вы можете видеть, что зона интерфейса успешно изменена, как мы и хотели.

Изменить зону по умолчанию

Если вы хотите изменить зону по умолчанию, вы можете использовать параметр –set-default-zone и указать имя зоны, которое вы хотите установить с помощью команды firewall-cmd:

Например, для изменения зоны по умолчанию на домашнюю вместо общедоступной:

Для проверки выполните приведенную ниже команду, чтобы получить имя зоны по умолчанию:

Хорошо, поиграв с зонами и сетевыми интерфейсами, давайте узнаем, как устанавливать правила для приложений в брандмауэре в операционной системе CentOS 8.

Настройка правил для приложений

Мы можем настроить брандмауэр и установить правила для приложений, поэтому давайте узнаем, как добавить службу в любую зону.

Добавить службу в зону

Нам часто нужно добавить некоторые сервисы в зону, в которой мы сейчас работаем.

Мы можем получить все службы, используя параметр –get-services в команде firewall-cmd:

Чтобы получить более подробную информацию о какой-либо службе, мы можем просмотреть файл .xml этой конкретной службы. Сервисный файл помещается в каталог /usr/lib/firewalld/services.

Чтобы включить или добавить службу в любую зону, мы можем использовать параметр –add-service и предоставить ему имя службы.

Если мы не укажем параметр –zone, служба будет включена в зону по умолчанию.

В отличие от этого, если вы хотите добавить службу в определенную зону, укажите имя зоны в параметре –zone:

Чтобы проверить добавление службы в публичную зону, вы можете использовать параметр –list-services в команде firewall-cmd:

В приведенном выше выводе вы можете видеть, что отображаются службы, добавленные в общедоступную зону.

Но, если вы хотите добавить все конфигурации среды выполнения в постоянные конфигурации брандмауэра, выполните команду firewall-cmd с параметром –runtime-to-permanent:

Все требуемые или нежелательные конфигурации среды выполнения будут добавлены к постоянным конфигурациям с помощью приведенной выше команды. Поэтому лучше использовать флаг –permanent, если вы хотите добавить конфигурацию к постоянным конфигурациям.

Теперь, чтобы проверить изменения, перечислите службы, добавленные в постоянные конфигурации, с помощью параметров –permanent и –list-services в команде firewall-cmd:

Как открыть IP-адреса и порты в брандмауэре

Используя брандмауэр, мы можем разрешить прохождение всех или некоторых определенных IP-адресов и открыть определенные порты в соответствии с нашими требованиями.

Разрешить исходный IP-адрес

Чтобы разрешить поток трафика с определенного IP-адреса, вы можете разрешить и добавить IP-адрес источника, сначала указав зону и используя параметр –add-source:

Если вы хотите навсегда добавить исходный IP-адрес в конфигурацию брандмауэра, выполните команду firewall-cmd с параметром –runtime-to-permanent:

Для проверки вы также можете перечислить источники, используя приведенную ниже команду:

В приведенной выше команде обязательно укажите зону, источники которой вы хотите перечислить.

Если по какой-либо причине вы хотите удалить исходный IP-адрес, команда для удаления исходного IP-адреса будет выглядеть следующим образом:

Открыть исходный порт

Чтобы открыть порт, нам сначала нужно указать зону, а затем мы можем использовать параметр –add-port, чтобы открыть порт:

В приведенной выше команде /tcp — это протокол; вы можете указать протокол в соответствии с вашими потребностями, например, UDP, SCTP и т. д.

Для проверки вы также можете перечислить порты, используя приведенную ниже команду:

В приведенной выше команде обязательно укажите зону, порты которой вы хотите вывести.

Чтобы оставить порт открытым и добавить эти конфигурации в постоянную конфигурацию, либо используйте флаг –permanent в конце вышеуказанной команды, либо выполните приведенную ниже команду, чтобы добавить всю конфигурацию времени выполнения в постоянную конфигурацию брандмауэра:

Если по какой-либо причине вы хотите удалить порт, команда для удаления порта будет выглядеть следующим образом:

Заключение

В этом подробном и глубоком посте вы узнали, что такое брандмауэр, основные концепции брандмауэра, что такое зоны и настройки правил брандмауэра. Вы научились устанавливать и включать службу firewalld в операционной системе CentOS 8.

При настройке брандмауэра вы узнали о правилах брандмауэра по умолчанию, о том, как составить список зон по умолчанию, активных зон и всех зон команды firewall-cmd. Кроме того, этот пост содержит краткое объяснение того, как изменить зону сетевого интерфейса, как установить правила для приложений, такие как добавление службы в зону, открытие IP-адресов и портов в брандмауэре.

Прочитав этот пост, вы будете управлять потоком трафика на свой сервер и изменять наборы правил зоны, потому что в этом посте есть подробное описание того, как администрировать, настраивать и управлять брандмауэром в операционной системе CentOS 8.

Если вы хотите узнать больше о брандмауэре, обязательно посетите официальную документацию Firewalld.

Брандмауэр является неотъемлемой частью любой системы и может использоваться для защиты сервера от несанкционированного доступа из внешнего мира. Это помогает предотвратить вход хакеров на серверы в сети. Брандмауэр также можно использовать для настройки определенных правил, чтобы ограничить доступ к определенным портам системы на основе IP-адреса.

Основная функциональность брандмауэра заключается в том, чтобы контролировать входящий и исходящий трафик и выбирать, следует ли блокировать конкретное соединение или пропускать его, на основе определенного набора правил безопасности.

Шаги по настройке FirewallD в CentOS 8

FirewallD использует концепции служб и зон вместо правил и цепочек iptables. Используя это, вы можете настроить, какой трафик должен быть разрешен или запрещен в системе и из нее.FirewallD использует утилиту firewall-cmd для управления конфигурацией брандмауэра.

В CentOS 8 FirewallD использует концепцию служб и зон вместо правил и цепочек iptables, и с их помощью вы можете настроить, какой трафик разрешен или запрещен в системе и из нее. FirewallD использует утилиту firewall-cmd для управления конфигурацией брандмауэра.

Выполните приведенную ниже команду, чтобы установить FirewallD в CentOS 8. По умолчанию он доступен в CentOS 8.

Теперь запустите и включите FirewallD с помощью приведенных ниже команд.

Выполните приведенную ниже команду, чтобы проверить состояние службы FirewallD.

Ниже приведены предварительно определенные зоны, включенные в FirewallD:

drop — все входящие соединения были прерваны без ответа, разрешены только исходящие соединения.

блокировка — то же самое, что и удаление зоны, но все входящие соединения блокируются сообщениями icmp-host-protected или icmp6-adm-prohibited.

общедоступные — представляет собой ненадежные общедоступные области.

external — внешние сети, если брандмауэр использует их в качестве шлюза. Поскольку он настроен на маскировку NAT, внутренняя сеть останется частной, но доступной.

внутренняя — принимаются только выбранные входящие подключения для внутренней сети.

dmz — Демилитаризованная зона общедоступна для внутренней сети с ограниченным доступом и принимает только выбранные входящие соединения.

work — использование рабочих машин.

home — Использование для домашних компьютеров.

доверенный — принимать все сетевые подключения.

Настройка брандмауэра с помощью FirewallD

По умолчанию общедоступная зона является зоной по умолчанию после включения службы брандмауэра.

Приведенная ниже команда используется для получения списка зон по умолчанию.

Выполните приведенную ниже команду, чтобы получить список всех доступных зон.

Выполните приведенную ниже команду, чтобы узнать, какие зоны используются сетевым интерфейсом.

Приведенные ниже команды используются для изменения зоны по умолчанию и проверки.

ПРИМЕЧАНИЕ. Замените имя зоны исходным именем зоны, которое необходимо установить по умолчанию.

Команды ниже используются для временного открытия.

Команды ниже используются для постоянного открытия.

Выполните приведенную ниже команду, чтобы перезагрузить службу.

Проверьте наличие открытых портов/служб.

Команды ниже используются для постоянного открытия.

Выполните приведенную ниже команду, чтобы перезагрузить службу.

Отключить/остановить службу FirewallD

Если возникает необходимость остановить или отключить службу FirewallD на сервере, это можно сделать, выполнив следующие команды.

Читайте также:

  
• Как удалить учетную запись Microsoft в Windows 10 с правами администратора
  
• Как включить монофонический звук в Windows 10
  
• Стереомикшер Windows 10 что это такое
  
• Зарезервировано системой, как удалить windows 7
  
• Как обновить php ubuntu