Настройка брандмауэра Linux
Обновлено: 21.11.2024
брандмауэр — это способ защитить компьютеры от любого нежелательного трафика извне. Он позволяет пользователям контролировать входящий сетевой трафик на хост-компьютерах, определяя набор правил брандмауэра. Эти правила используются для сортировки входящего трафика и его блокировки или пропуска.
firewalld — это демон службы брандмауэра, который предоставляет динамически настраиваемый брандмауэр на основе хоста с интерфейсом D-Bus. Будучи динамическим, он позволяет создавать, изменять и удалять правила без необходимости перезапуска демона брандмауэра каждый раз при изменении правил.
firewalld использует концепции зон и сервисов, которые упрощают управление трафиком. Зоны — это предопределенные наборы правил. Сетевые интерфейсы и источники могут быть назначены зоне. Разрешенный трафик зависит от сети, к которой подключен ваш компьютер, и уровня безопасности, назначенного этой сети. Службы брандмауэра – это предопределенные правила, которые охватывают все необходимые параметры, разрешающие входящий трафик для определенной службы, и применяются в пределах зоны.
Службы используют один или несколько портов или адресов для сетевого взаимодействия. Брандмауэры фильтруют связь на основе портов. Чтобы разрешить сетевой трафик для службы, ее порты должны быть открыты. firewalld блокирует весь трафик на портах, которые явно не установлены как открытые. Некоторые зоны, например доверенные, по умолчанию разрешают весь трафик.
Рисунок 5.1. Стек брандмауэра
5.1.1. Зоны
firewalld можно использовать для разделения сетей на разные зоны в соответствии с уровнем доверия, который пользователь решил установить для интерфейсов и трафика в этой сети. Соединение может быть только частью одной зоны, но зона может использоваться для многих сетевых подключений.
NetworkManager уведомляет firewalld о зоне интерфейса. Вы можете назначать зоны интерфейсам с помощью NetworkManager, инструмента настройки брандмауэра или инструмента командной строки firewall-cmd. Последние два редактируют только соответствующие файлы конфигурации NetworkManager. Если вы измените зону интерфейса с помощью firewall-cmd или firewall-config , запрос перенаправляется в NetworkManager и не обрабатывается firewalld .
Предопределенные зоны хранятся в каталоге /usr/lib/firewalld/zones/ и могут быть мгновенно применены к любому доступному сетевому интерфейсу. Эти файлы копируются в каталог /etc/firewalld/zones/ только после их изменения. В следующей таблице описаны настройки по умолчанию для предопределенных зон:
Все входящие сетевые подключения отклоняются сообщением icmp-host-prohibited для IPv4 и icmp6-adm-prohibited для IPv6 . Возможны только сетевые подключения, инициированные внутри системы.
Для общедоступных компьютеров в вашей демилитаризованной зоне с ограниченным доступом к вашей внутренней сети. Принимаются только выбранные входящие соединения.
Все входящие сетевые пакеты отбрасываются без уведомления. Возможны только исходящие сетевые подключения.
Для использования во внешних сетях с включенным маскированием, особенно для маршрутизаторов. Вы не доверяете другим компьютерам в сети, чтобы они не навредили вашему компьютеру. Принимаются только выбранные входящие подключения.
Для использования дома, когда вы в основном доверяете другим компьютерам в сети. Принимаются только выбранные входящие подключения.
Для использования во внутренних сетях, когда вы в основном доверяете другим компьютерам в сети. Принимаются только выбранные входящие соединения.
Для использования в общественных местах, где вы не доверяете другим компьютерам в сети. Принимаются только выбранные входящие подключения.
Для использования на работе, когда вы в основном доверяете другим компьютерам в сети. Принимаются только выбранные входящие соединения.
Одна из этих зон установлена как зона по умолчанию. Когда интерфейсные соединения добавляются в NetworkManager, они назначаются зоне по умолчанию. При установке зона по умолчанию в firewalld установлена как публичная зона. Зону по умолчанию можно изменить.
Примечание
Имена сетевых зон были выбраны так, чтобы они не говорили сами за себя и чтобы пользователи могли быстро принять разумное решение. Во избежание проблем с безопасностью просмотрите конфигурацию зоны по умолчанию и отключите все ненужные службы в соответствии со своими потребностями и оценкой рисков.
5.1.2. Предустановленные службы
Служба может представлять собой список локальных портов, протоколов, исходных портов и пунктов назначения, а также список автоматически загружаемых вспомогательных модулей брандмауэра, если служба включена.Использование служб экономит время пользователей, поскольку они могут выполнять несколько задач, таких как открытие портов, определение протоколов, включение пересылки пакетов и многое другое, за один шаг, а не настраивать все одну за другой.
Параметры конфигурации службы и общая информация о файлах описаны на справочной странице firewalld.service(5). Службы задаются с помощью отдельных файлов конфигурации XML, имена которых имеют следующий формат: имя-службы.xml . Имена протоколов предпочтительнее имен служб или приложений в firewalld .
5.1.3. Среда выполнения и постоянные настройки
Любые изменения, зафиксированные в режиме runtime, применяются только во время работы firewalld. При перезапуске firewalld настройки возвращаются к своим постоянным значениям.
Чтобы изменения сохранялись после перезагрузки, примените их снова, используя параметр --permanent. В качестве альтернативы, чтобы сделать изменения постоянными во время работы firewalld, используйте параметр --runtime-to-permanent firewall-cmd.
Если вы установите правила во время работы firewalld, используя только параметр --permanent, они не вступят в силу до перезапуска firewalld. Однако перезапуск firewalld закрывает все открытые порты и останавливает сетевой трафик.
5.1.4. Изменение настроек во время выполнения и постоянной конфигурации с помощью интерфейса командной строки
Используя CLI, вы не можете изменять настройки брандмауэра в обоих режимах одновременно. Вы только изменяете либо время выполнения, либо постоянный режим. Чтобы изменить настройки брандмауэра в постоянном режиме, используйте параметр --permanent с командой firewall-cmd.
Примечание
Возможно, особенно в удаленных системах, что неправильная настройка приведет к тому, что пользователь заблокирует доступ к машине. Чтобы предотвратить такие ситуации, используйте параметр --timeout. По истечении заданного периода времени любое изменение возвращается к своему предыдущему состоянию. Использование этих параметров исключает параметр --permanent.
Эта статья взята из моей книги Linux в действии и второго проекта Мэннинга, который еще не выпущен.
Брандмауэр
Брандмауэр — это набор правил. Когда пакет данных перемещается в защищенное сетевое пространство или выходит из него, его содержимое (в частности, информация о его происхождении, цели и протоколе, который он планирует использовать) проверяется на соответствие правилам брандмауэра, чтобы определить, следует ли его пропускать. Вот простой пример:
С одной стороны, iptables — это инструмент для управления правилами брандмауэра на компьютере с Linux.
С другой стороны, firewalld также является инструментом для управления правилами брандмауэра на компьютере с Linux.
У вас с этим проблемы? И не испортит ли вам день, если я скажу вам, что есть еще один инструмент, который называется nftables?
Хорошо, я признаю, что все это пахнет немного странно, поэтому позвольте мне объяснить. Все начинается с Netfilter, который контролирует доступ к сетевому стеку и из него на уровне модуля ядра Linux. На протяжении десятилетий основным инструментом командной строки для управления перехватчиками Netfilter был набор правил iptables.
Терминал Linux
Поскольку синтаксис, необходимый для вызова этих правил, может показаться немного запутанным, различные удобные для пользователя реализации, такие как ufw и firewalld, были введены в качестве интерпретаторов Netfilter более высокого уровня. Однако Ufw и firewalld в первую очередь предназначены для решения тех проблем, с которыми сталкиваются автономные компьютеры. Для создания полноразмерных сетевых решений часто требуются дополнительные возможности iptables или, с 2014 года, его замены nftables (с помощью инструмента командной строки nft).
iptables никуда не делся и по-прежнему широко используется. На самом деле, вам следует ожидать, что вы столкнетесь с сетями, защищенными iptables, в своей работе в качестве администратора в течение многих лет. Но nftables, дополнив классический набор инструментов Netfilter, привнесла некоторые важные новые функции.
С этого момента я покажу на примере, как firewalld и iptables решают простые проблемы с подключением.
Как вы могли догадаться по названию, firewalld является частью семейства systemd. Firewalld можно установить на компьютерах с Debian/Ubuntu, но он присутствует по умолчанию в Red Hat и CentOS. Если на вашем компьютере работает веб-сервер, такой как Apache, вы можете убедиться, что брандмауэр работает, перейдя в корневую папку вашего сервера. Если сайт недоступен, то firewalld выполняет свою работу.
Вы будете использовать инструмент firewall-cmd для управления настройками firewalld из командной строки. Добавление аргумента –state возвращает текущий статус брандмауэра:
Аргумент –reload применит эти правила к текущему сеансу:
Интересно, каковы текущие настройки вашего брандмауэра? Запустить –list-services :
Настройте заблокированный клиентский киоск с помощью iptables
Я уверен, вы видели киоски — это планшеты, сенсорные экраны и компьютеры, похожие на банкоматы, в коробках, которые аэропорты, библиотеки и предприятия оставляют лежать без дела, предлагая клиентам и прохожим просматривать контент. Дело в том, что большинство киосков обычно не хотят, чтобы пользователи чувствовали себя как дома и относились к ним как к своим собственным устройствам. Как правило, они не предназначены для браузинга, просмотра видео на YouTube или запуска атак типа «отказ в обслуживании» против Пентагона. Поэтому, чтобы убедиться, что они не используются не по назначению, вам нужно заблокировать их.
Один из способов — применить какой-либо режим киоска, будь то умелое использование диспетчера отображения Linux или на уровне браузера. Но чтобы убедиться, что вы заткнули все дыры, вы, вероятно, также захотите добавить некоторые жесткие сетевые элементы управления через брандмауэр. В следующем разделе я опишу, как это сделать с помощью iptables.
При использовании iptables следует помнить две важные вещи. Порядок, в котором вы задаете правила, имеет решающее значение, и сами по себе правила iptables не переживут перезагрузку. Я буду обращаться к тем, кто здесь, по одному.
Проект киоска
Чтобы проиллюстрировать все это, давайте представим, что мы работаем в магазине, который является частью более крупной сети под названием BigMart. Они существуют уже несколько десятилетий; на самом деле, наши воображаемые бабушки и дедушки, вероятно, выросли там, делая покупки. Но в наши дни ребята из штаб-квартиры BigMart, вероятно, просто считают часы, прежде чем Amazon разорит их навсегда.
Кроме того, вам нужно разрешить обновления и, при необходимости, загрузку пакетов. Наконец, вы захотите разрешить входящий доступ по SSH только с вашей локальной рабочей станции и заблокировать всех остальных. На рисунке ниже показано, как все это будет работать:
Скрипт
Вот как все это впишется в сценарий Bash:
Последние два правила относятся к входящим запросам SSH. Они уже не будут отклонены двумя предыдущими правилами отбрасывания, поскольку они используют порты не 80 или 443, а 22. В этом случае запросы на вход с моей рабочей станции будут приниматься, но запросы от любого другого места будут отбрасываться. Это важно: убедитесь, что IP-адрес, который вы используете для своего правила порта 22, совпадает с адресом машины, которую вы используете для входа в систему — если вы этого не сделаете, вы будете мгновенно заблокированы. Конечно, в этом нет ничего страшного, потому что в текущей конфигурации вы можете просто перезагрузить сервер, и все правила iptables будут удалены. Если вы используете контейнер LXC в качестве своего сервера и входите в систему с хоста LXC, используйте IP-адрес, который ваш хост использует для подключения к контейнеру, а не его общедоступный адрес.
Не забудьте обновить это правило, если IP-адрес моей машины когда-либо изменится; в противном случае вы будете заблокированы.
Ядро Linux включает подсистему Netfilter, которая используется для манипулирования или определения судьбы сетевого трафика, поступающего на ваш сервер или проходящего через него. Все современные брандмауэры Linux используют эту систему для фильтрации пакетов.
Система фильтрации пакетов ядра будет бесполезна для администраторов без пользовательского интерфейса для управления ею. Это цель iptables: когда пакет достигает вашего сервера, он будет передан подсистеме Netfilter для принятия, обработки или отклонения на основе правил, предоставленных ему из пользовательского пространства через iptables. Таким образом, iptables — это все, что вам нужно для управления брандмауэром, если вы с ним знакомы, но для упрощения задачи доступно множество внешних интерфейсов.
ufw — простой брандмауэр
Инструментом настройки брандмауэра по умолчанию для Ubuntu является ufw. Разработанный для упрощения настройки брандмауэра iptables, ufw предоставляет удобный способ создания брандмауэра на базе хоста IPv4 или IPv6.
ufw по умолчанию изначально отключен. Со страницы руководства ufw:
«ufw не предназначен для предоставления полной функциональности брандмауэра через командный интерфейс, но вместо этого предоставляет простой способ добавления или удаления простых правил. В настоящее время он в основном используется для межсетевых экранов на основе хоста».
Ниже приведены примеры использования ufw:
Во-первых, необходимо включить ufw. В командной строке терминала введите:
Чтобы открыть порт (в данном примере SSH):
Правила также можно добавлять в формате нумерованные:
Аналогично, чтобы закрыть открытый порт:
Чтобы удалить правило, используйте команду удаления, а затем правило:
Также можно разрешить доступ к порту с определенных хостов или сетей. В следующем примере разрешается доступ по SSH с хоста 192.168.0.2 к любому IP-адресу на этом хосте:
Замените 192.168.0.2 на 192.168.0.0/24, чтобы разрешить доступ по SSH из всей подсети.
ufw можно отключить:
Чтобы увидеть состояние брандмауэра, введите:
Чтобы получить более подробную информацию о статусе, используйте:
Чтобы просмотреть формат нумерованный:
Примечание
Если порт, который вы хотите открыть или закрыть, определен в /etc/services , вы можете использовать имя порта вместо номера. В приведенных выше примерах замените 22 на ssh.
Это краткое введение в использование ufw. Пожалуйста, обратитесь к справочной странице ufw для получения дополнительной информации.
Интеграция приложений ufw
Приложения, которые открывают порты, могут включать профиль ufw, в котором указаны порты, необходимые для правильной работы приложения. Профили хранятся в /etc/ufw/applications.d и могут быть отредактированы, если порты по умолчанию были изменены.
Чтобы просмотреть, какие приложения установили профиль, введите в терминале следующее:
Подобно разрешению трафика на порт, использование профиля приложения выполняется путем ввода:
Также доступен расширенный синтаксис:
Замените Samba и 192.168.0.0/24 профилем используемого приложения и диапазоном IP-адресов вашей сети.
Примечание
Нет необходимости указывать протокол для приложения, поскольку эта информация подробно описана в профиле. Также обратите внимание, что имя приложения заменяет номер порта.
Чтобы просмотреть сведения о том, какие порты, протоколы и т. д. определены для приложения, введите:
Не все приложения, требующие открытия сетевого порта, поставляются с профилями ufw, но если вы профилировали приложение и хотите, чтобы файл был включен в пакет, отправьте сообщение об ошибке пакета в Launchpad.
Маскарад IP
Цель маскировки IP-адресов — разрешить компьютерам с частными немаршрутизируемыми IP-адресами в вашей сети получать доступ к Интернету через машину, выполняющую маскировку. Трафик из вашей частной сети, предназначенный для Интернета, должен обрабатываться, чтобы ответы можно было направить обратно на машину, которая сделала запрос. Для этого ядро должно изменить исходный IP-адрес каждого пакета, чтобы ответы направлялись обратно на него, а не на частный IP-адрес, с которого был отправлен запрос, что невозможно в Интернете. . Linux использует отслеживание соединений (conntrack), чтобы отслеживать, какие соединения принадлежат каким машинам, и соответствующим образом перенаправлять каждый возвращаемый пакет. Таким образом, трафик, покидающий вашу частную сеть, «маскируется» под исходящий от вашего шлюза Ubuntu. Этот процесс упоминается в документации Microsoft как общий доступ к подключению к Интернету.
Маскарад ufw
Правила разделены на два разных файла: правила, которые должны выполняться перед правилами командной строки ufw, и правила, которые выполняются после правил командной строки ufw.
Во-первых, в ufw должна быть включена пересылка пакетов. Необходимо будет изменить два файла конфигурации, в /etc/default/ufw измените DEFAULT_FORWARD_POLICY на «ACCEPT»:
Затем отредактируйте /etc/ufw/sysctl.conf и раскомментируйте:
Аналогично раскомментируйте для переадресации IPv6:
Комментарии не являются строго обязательными, но рекомендуется документировать вашу конфигурацию. Кроме того, при изменении любых файлов rules в /etc/ufw убедитесь, что эти строки являются последними строками для каждой измененной таблицы:
Для каждой Table требуется соответствующий оператор COMMIT. В этих примерах показаны только таблицы nat и filter, но вы также можете добавить правила для raw и mangle таблицы.
Примечание
В приведенном выше примере замените eth0, eth1 и 192.168.0.0/24. с соответствующими интерфейсами и диапазоном IP-адресов для вашей сети.
Наконец, отключите и снова включите ufw, чтобы изменения вступили в силу:
Маскарад iptables
iptables также можно использовать для включения маскарадинга.
Как и в случае с ufw, первым делом включите пересылку пакетов IPv4, отредактировав файл /etc/sysctl.conf и раскомментировав следующую строку:
Если вы хотите включить переадресацию IPv6, также раскомментируйте:
Затем выполните команду sysctl, чтобы активировать новые настройки в файле конфигурации:
Маскарад IP-адресов теперь можно выполнить с помощью одного правила iptables, которое может немного отличаться в зависимости от конфигурации вашей сети:
Приведенная выше команда предполагает, что ваше личное адресное пространство — 192.168.0.0/16, а ваше устройство с выходом в Интернет — ppp0. Синтаксис разбит следующим образом:
-t nat — правило заходит в таблицу nat
-A POSTROUTING – правило добавляется (-A) в цепочку POSTROUTING
-s 192.168.0.0/16 — правило применяется к трафику, исходящему из указанного адресного пространства
-o ppp0 — правило применяется к трафику, который планируется направить через указанное сетевое устройство
-j MASQUERADE — трафик, соответствующий этому правилу, должен «перейти» (-j) к цели MASQUERADE, чтобы ею можно было манипулировать, как описано выше
Кроме того, каждая цепочка в таблице фильтров (таблица по умолчанию, где происходит большая или вся фильтрация пакетов) имеет политику по умолчанию ACCEPT, но если вы создаете брандмауэр в дополнение к устройства шлюза, возможно, вы установили политики DROP или REJECT, и в этом случае ваш замаскированный трафик должен быть разрешен через цепочку FORWARD, чтобы приведенное выше правило работало:
Приведенные выше команды разрешат всем подключениям из вашей локальной сети к Интернету и всему трафику, связанному с этими подключениями, возвращаться на машину, которая их инициировала.
Если вы хотите, чтобы маскировка включалась при перезагрузке, что вы, вероятно, и делаете, отредактируйте файл /etc/rc.local и добавьте любые команды, использованные выше. Например, добавьте первую команду без фильтрации:
Журналы брандмауэра необходимы для распознавания атак, устранения неполадок в правилах брандмауэра и обнаружения необычной активности в вашей сети. Тем не менее, вы должны включить правила ведения журнала в свой брандмауэр, чтобы они были сгенерированы, и правила ведения журнала должны предшествовать любому применимому правилу завершения (правило с целью, которая решает судьбу пакета, например ACCEPT, DROP или REJECT).
Если вы используете ufw, вы можете включить ведение журнала, введя в терминале следующее:
Чтобы отключить вход в ufw, просто замените on на off в приведенной выше команде.
Если вы используете iptables вместо ufw, введите:
Тогда запрос на порт 80 с локального компьютера создаст журнал в dmesg, который выглядит следующим образом (одна строка разделена на 3, чтобы соответствовать этому документу):
Вышеприведенный журнал также появится в /var/log/messages , /var/log/syslog и /var/log/kern.log . Это поведение можно изменить, соответствующим образом отредактировав /etc/syslog.conf или установив и настроив ulogd и используя цель ULOG вместо LOG. Демон ulogd — это сервер пользовательского пространства, который прослушивает инструкции по регистрации от ядра специально для брандмауэров и может записывать в любой файл, который вам нравится, или даже в базу данных PostgreSQL или MySQL. Анализ журналов брандмауэра можно упростить с помощью инструментов анализа журналов, таких как logwatch, fwanalog, fwlogwatch или lire.
Другие инструменты
Существует множество инструментов, которые помогут вам создать полноценный брандмауэр, даже не зная iptables. Инструмент командной строки с текстовыми файлами конфигурации:
- Shorewall — это очень мощное решение, которое поможет вам настроить расширенный брандмауэр для любой сети.
Ссылки
Вики-страница Ubuntu Firewall содержит информацию о разработке ufw.
Кроме того, справочная страница ufw содержит очень полезную информацию: man ufw .
Брандмауэр — это первая линия защиты вашего компьютера от сетевых вторжений. Загрузите нашу памятку, чтобы убедиться, что вы в безопасности.
Разумный брандмауэр — это первая линия защиты вашего компьютера от вторжений из сети. Когда вы дома, вы, вероятно, находитесь за брандмауэром, встроенным в маршрутизатор, предоставленный вашим интернет-провайдером. Однако, когда вы находитесь вдали от дома, единственный брандмауэр, который у вас есть, — это тот, который работает на вашем компьютере, поэтому важно настроить и контролировать брандмауэр на вашем компьютере с Linux. Если вы используете сервер Linux, не менее важно знать, как управлять брандмауэром, чтобы защитить его от нежелательного трафика как локально, так и удаленно.
Установите брандмауэр
Многие дистрибутивы Linux поставляются с уже установленным брандмауэром, и традиционно это был iptables. Он чрезвычайно эффективен и настраивается, но может быть сложным в настройке. К счастью, разработчики создали несколько интерфейсов, помогающих пользователям управлять своим брандмауэром без написания длинных правил iptables.
В Fedora, CentOS, Red Hat и подобных дистрибутивах брандмауэром по умолчанию является firewalld, который настраивается и управляется с помощью команды firewall-cmd. В Debian и большинстве других дистрибутивов firewalld можно установить из репозитория программного обеспечения. Ubuntu поставляется с несложным брандмауэром (ufw), поэтому для использования firewalld необходимо включить репозиторий юниверса:
Вы также должны деактивировать ufw:
Нет причин не использовать ufw. Это отличный интерфейс брандмауэра. Однако в этой статье основное внимание уделяется firewalld из-за его широкой доступности и интеграции с systemd, которая поставляется практически с каждым дистрибутивом.
Независимо от вашего дистрибутива, чтобы брандмауэр был эффективным, он должен быть активен и загружаться во время загрузки:
Знакомство с зонами брандмауэра
Firewalld стремится максимально упростить настройку брандмауэра. Для этого устанавливаются зоны. Зона — это набор разумных общих правил, которые подходят для повседневных нужд большинства пользователей. По умолчанию их девять:
- доверенный: разрешены все сетевые подключения. Это наименее параноидальный параметр брандмауэра, и его следует использовать только в надежной среде, например в тестовой лаборатории или в семейном доме, где все в локальной сети, как известно, настроены дружелюбно.
- домашний, рабочий, внутренний. В этих трех зонах принимается большинство входящих подключений. Каждый из них исключает трафик на портах, которые обычно не ожидают активности. Любой из них является разумным параметром для использования в домашних условиях, когда нет причин ожидать, что сетевой трафик будет скрывать порты, и вы обычно доверяете другим пользователям в сети.
- public: для использования в общественных местах. Это параноидальная настройка, предназначенная для случаев, когда вы не доверяете другим компьютерам в сети. Принимаются только выбранные распространенные и в основном безопасные входящие соединения.
- dmz: DMZ означает демилитаризованную зону. Эта зона предназначена для общедоступных компьютеров, расположенных во внешней сети организации с ограниченным доступом во внутреннюю сеть. Для персональных компьютеров это обычно бесполезная зона, но важная опция для определенных типов серверов.
- external: для использования во внешних сетях с включенным маскированием (это означает, что адреса вашей частной сети сопоставляются с общедоступным IP-адресом и скрываются за ним). Как и в случае с демилитаризованной зоной, принимаются только выбранные входящие подключения, включая SSH.
- block: возможны только сетевые подключения, инициированные внутри этой системы, и все входящие сетевые подключения отклоняются с сообщением icmp-host-prohibited. Это крайне параноидальная настройка, которая важна для определенных типов серверов или персональных компьютеров в ненадежной или враждебной среде.
- drop: все без исключения входящие сетевые пакеты отбрасываются без ответа. Возможны только исходящие сетевые подключения. Единственная настройка, более параноидальная, чем эта, — выключение Wi-Fi и отсоединение кабеля Ethernet.
Вы можете прочитать о каждой зоне и любых других зонах, определенных вашим дистрибутивом или системным администратором, просмотрев файлы конфигурации в /usr/lib/firewalld/zones. Например, вот зона FedoraWorkstation, поставляемая с Fedora 31:
Получение текущей зоны
Вы можете в любой момент увидеть, в какой зоне находитесь, с помощью параметра --get-active-zones:
В ответ вы получаете имя активной зоны вместе с присвоенным ей сетевым интерфейсом. На ноутбуке это обычно означает, что карта Wi-Fi находится в зоне по умолчанию:
Изменить текущую зону
Чтобы изменить зону, переназначьте сетевой интерфейс другой зоне. Например, чтобы изменить пример карты wlp61s0 на общедоступную зону:
Дополнительные ресурсы по Linux
Вы можете изменить активную зону для интерфейса в любое время и по любой причине — идете ли вы в кафе и чувствуете необходимость повысить политику безопасности вашего ноутбука, или вы идете на работу и вам нужно чтобы открыть некоторые порты для входа во внутреннюю сеть или по любой другой причине. Параметры firewall-cmd автоматически заполняются при нажатии клавиши Tab, поэтому, если вы помните ключевые слова «изменение» и «зона», вы можете спотыкаться о команду, пока не выучите ее наизусть.
Подробнее
С помощью брандмауэра вы можете делать гораздо больше, включая настройку существующих зон, настройку зоны по умолчанию и многое другое. Чем удобнее вам пользоваться брандмауэрами, тем безопаснее ваши действия в Интернете, поэтому мы создали памятку для быстрого и легкого ознакомления.
Загрузите памятку по брандмауэру
Защитите вашу домашнюю сеть с помощью Raspberry Pi
Несмотря на то, что Raspberry Pi 3 был недавно анонсирован, у Raspberry Pi 2 еще много жизни, и он более чем подходит для многих интересных и полезных задач. У меня есть несколько.
Сделайте Linux сильнее с помощью брандмауэров
Узнайте, как работают брандмауэры и какие параметры следует настроить для повышения безопасности Linux.
Читайте также: