Phenquestions
Udržiavanie bezpečnosti siete je pre správcov systému kľúčové a konfigurácia brány firewall pomocou príkazového riadku je základnou zručnosťou, ktorú je potrebné sa naučiť. V tomto článku sa dozviete, ako riadiť bránu firewall pomocou brány firewall-cmd v príkazovom riadku systému Linux.
Brána firewall je v podstate softvér, ktorý môžete nakonfigurovať na riadenie prichádzajúcej a odchádzajúcej sieťovej prevádzky. Brány firewall môžu zabrániť iným používateľom v používaní sieťových služieb v systéme, ktorý používate. Väčšina systémov Linux sa dodáva s predvoleným firewallom. Staršie verzie systémov Linux používali iptables ako démona na filtrovanie paketov. Novšie verzie Fedory, RHEL / CentOS, openSUSE sa dodávajú s Firewalldom ako predvoleným démonom brány firewall. Firewalld môžete tiež nainštalovať do distribúcií Debianu a Ubuntu.
Odporúčam vám namiesto iptables použiť Firewalld. Neberte iba moje slovo. Viac informácií sa dozviete z nášho komplexného sprievodcu dostupnými firewallmi open-source pre váš systém Linux.
Firewalld je dynamický démon na správu brán firewall s podporou pre zóny v sieti alebo v bráne firewall. Zóny brány firewall definujú úrovne dôveryhodnosti zabezpečenia sieťových rozhraní, služieb alebo pripojení. Správcovia systému zabezpečenia siete zistili, že Firewalld funguje skvele s protokolmi IPv4, IPv6, sadami IP a ethernetovými mostami. Na správu Firewalld môžete použiť príkaz terminálu firewall-cmd alebo konfiguračný nástroj firewall-config GUI.
Táto príručka bude využívať firewall-cmd príkaz na správu zabezpečenia siete a naším testovacím prostredím bude Fedora Workstation 33.
Skôr ako začneme s technickým vybavením, osvojme si niekoľko základných informácií o sieti.
Základy siete
Počítaču pripojenému k sieti je pridelená adresa IP, ktorá sa používa na smerovanie údajov. Počítače majú tiež porty v rozsahu 0-65535, ktoré fungujú ako spojovacie body na adrese IP. Aplikácie si môžu vyhradiť konkrétne porty. Webové servery zvyčajne rezervujú port 80 pre bezpečnú komunikáciu HTTP. Rozsahy portov 0 - 1024 sú v podstate vyhradené pre dobre známe účely a systém.
Dva hlavné internetové protokoly na prenos dát (TCP a UDP) používajú tieto porty počas sieťovej komunikácie. Hostiteľský počítač vytvorí spojenie medzi zdrojovou IP adresou a portom (port 80 pre nezabezpečený HTTP) a cieľovou adresou a portom.
Na správu zabezpečenia siete môže softvér brány firewall povoliť alebo zablokovať prenos alebo komunikáciu na základe pravidiel, ako sú napríklad porty alebo adresy IP.
Inštaluje sa Firewalld
Fedora, RHEL / CentOS 7/8, openSUSE
Firewalld je predvolene nainštalovaný vo Fedore, RHEL / CentOS 7/8 a openSUSE. Ak nie, môžete ho nainštalovať pomocou nasledujúceho príkazu:
# yum nainštalovať firewalld -y
ALEBO
#dnf nainštalovať firewalld -y
Debian / Ubuntu
Systémy Ubuntu sa štandardne dodávajú s nekomplikovanou bránou firewall. Ak chcete používať firewalld, musíte povoliť úložisko vesmíru a deaktivovať nekomplikovaný firewall.
sudo add-apt-repository vesmír
sudo apt nainštalovať firewalld
Deaktivácia nekomplikovaného brány firewall:
sudo systemctl vypnúť ufw
Povoliť firewalld pri štarte:
sudo systemctl povoliť -now firewalld
Overte, či je Firewalld spustený:
sudo firewall-cmd -state
bežiaci
Zóny brány firewall
Firewalld zjednodušuje konfiguráciu vášho firewallu vytvorením predvolených zón. Zóny sú súborom pravidiel, ktoré vyhovujú každodenným potrebám väčšiny správcov systému Linux. Zóna brány firewall môže definovať dôveryhodné alebo odmietnuté úrovne pre služby a porty.
- Dôveryhodná zóna: Všetky sieťové pripojenia sú akceptované a používané iba v dôveryhodných prostrediach, ako sú rodinné domy alebo testovacie laboratóriá.
- Verejná zóna: Pravidlá môžete definovať iba tak, aby ste povolili konkrétnym portom otvárať spojenia, zatiaľ čo ostatné spojenia budú zrušené. Môže sa použiť vo verejných priestoroch, ak nedôverujete iným hostiteľom v sieti.
- Domáce, vnútorné, pracovné zóny: Väčšina prichádzajúcich spojení sa prijíma v týchto troch zónach. Prichádzajúce spojenia vylučujú prenosy na portoch, ktoré neočakávajú žiadne spojenia ani aktivitu. Môžete ho použiť v domácich pripojeniach, kde existuje všeobecná dôvera ostatných používateľov v sieť. Umožňuje iba vybrané prichádzajúce pripojenia.
- Bloková zóna: Toto je extrémne paranoidné nastavenie brány firewall, kde sú možné iba pripojenia iniciované zo siete alebo servera. Všetky prichádzajúce pripojenia k sieti sú odmietnuté a zobrazí sa správa ICMP-host-disabled.
- Zóna DMZ: Demilitarizovanú zónu možno použiť na umožnenie prístupu k niektorým službám pre verejnosť. Akceptované sú iba vybrané pripojenia. Je to nevyhnutná voľba pre určité typy serverov v sieti organizácie.
- Vonkajšia zóna: Ak je táto zóna povolená, bude fungovať ako smerovač a dá sa použiť v externých sieťach so zapnutým maskovaním. IP adresa vašej súkromnej siete je namapovaná a skrytá za verejnou IP adresou. Akceptované sú iba vybrané prichádzajúce spojenia, vrátane SSH.
- Drop zóna: Všetky prichádzajúce pakety sú zahodené bez odpovede. Táto zóna umožňuje iba odchádzajúce sieťové pripojenia.
Príklad predvolených zón definovaných pracovnou stanicou Fedora 33
cat / usr / lib / firewalld / zones / FedoraWorkstation.xmlPracovná stanica Fedora Nevyžiadané prichádzajúce sieťové pakety sú odmietnuté z portu 1 na 1024, s výnimkou vybraných sieťových služieb. [firewall] Prichádzajúce pakety, ktoré sa týkajú odchádzajúcich sieťových pripojení, sú akceptované. Odchádzajúce sieťové pripojenia sú povolené.
Získajte svoju aktuálnu zónu:
Môžete použiť - - get-active-zones príznak na kontrolu aktuálne aktívnych zón vo vašom systéme.
sudo firewall-cmd --get-active-zones
[sudo] heslo pre školiteľov:
Pracovná stanica Fedora
rozhrania: wlp3s0
libvirt
rozhrania: virbr0
Predvolená zóna na stanici Fedora Workstation 33 v zóne FedoraWorkstation
Získajte predvolenú zónu a všetky definované zóny:
sudo firewall-cmd --get-default-zone
[sudo] heslo pre školiteľov:
Pracovná stanica Fedora
[tuts @ fosslinux ~] $ sudo firewall-cmd --get-zones
FedoraServer Fedora Workstation block dmz drop external home internal libvirt nm-shared public trusted work
Zoznam služieb:
Služby, ku ktorým brána firewall umožňuje prístup iným systémom, môžete získať pomocou - -zoznam služieb vlajka.
[tuts @ fosslinux ~] $ sudo firewall-cmd --list-services
dhcpv6-client mdns samba-client ssh
Vo Fedore Linux 33 brána firewall umožňuje prístup k štyrom službám (dhcpv6-client mdns samba-client ssh) so známymi číslami portov.
Zoznam nastavení portu brány firewall:
Môžete použiť - -zoznam portov príznak pre zobrazenie ďalších nastavení portov v ktorejkoľvek zóne.
tuts @ fosslinux ~] $ sudo firewall-cmd --list-ports --zone = FedoraWorkstation
[sudo] heslo pre školiteľov:
1025-65535 / udp 1025-65535 / tcp
Zónu sme určili na kontrolu pomocou možnosti - -zone = FedoraWorkstaion.
Správa zón, portov a služieb
Konfigurácie brány firewall je možné nakonfigurovať ako runtime, tak aj ako trvalé. Všetky akcie brány firewall-cmd pretrvávajú iba dovtedy, kým sa počítač alebo brána firewall nereštartuje. Musíte vytvoriť trvalé nastavenia s príznakom -permanent.
Vytvorte zónu
Ak chcete vytvoriť zónu, musíte použiť - -nová zóna vlajka.
Príklad:
Vytvorte novú trvalú zónu nazvanú fosscorp:
[tuts @ fosslinux ~] $ sudo firewall-cmd --new-zone fosscorp --permanent
[sudo] heslo pre školiteľov:
úspech
Ak chcete aktivovať novú zónu, načítajte znova pravidlá brány firewall:
[tuts @ fosslinux ~] $ sudo firewall-cmd --reload
Pridajte do zóny fosscorp službu ssh, aby ste k nej mali prístup na diaľku:
[tuts @ fosslinux ~] $ sudo firewall-cmd --zone fosscorp --add-service ssh --permanent
[sudo] heslo pre školiteľov:
úspech
Skontrolujte, či je vaša nová zóna „fosscorp“ aktívna:
[tuts @ fosslinux ~] $ sudo firewall-cmd --get-zones
FedoraServer FedoraWorkstation blokuje dmz drop externe fosscorp home internal libvirt nm-shared public trusted work
Váš nový zónový fosscorp je teraz aktívny a odmieta všetky prichádzajúce spojenia okrem prenosu SSH.
Použi - -zmena rozhrania príznak, aby sa zóna fosscorp stala aktívnou a predvolenou zónou pre sieťové rozhranie (wlp3s0), ktoré chcete chrániť:
[tuts @ fosslinux ~] $ sudo firewall-cmd --change-interface wlp3s0 \
> --zone fosscorp - trvalé
Rozhranie je pod kontrolou [firewallu] NetworkManageru, nastavenie zóny na „fosscorp“.
úspech
Ak chcete nastaviť fosscorp ako predvolenú a primárnu zónu, spustite nasledujúci príkaz:
[tuts @ fosslinux ~] $ sudo firewall-cmd --set-default fosscorp
úspech
Zobrazenie zón aktuálne priradených každému rozhraniu pomocou - -get-active-zones vlajka:
[tuts @ fosslinux ~] $ sudo firewall-cmd --get-active-zones
fosscorp
rozhrania: wlp3s0
Pridanie a odstránenie služieb:
Rýchly spôsob, ako povoliť prenos cez bránu firewall, je pridať preddefinovanú službu.
Zoznam dostupných preddefinovaných služieb:
tuts @ fosslinux ~] $ sudo firewall-cmd --get-services
[sudo] heslo pre školiteľov:
RH-Satellite-6 amanda-klient amanda-k5-klient amqp amqps apcupsd audit bacula bacula-klient bb bgp bitcoin bitcoin-rpc
bitcoin-testnet bitcoin-testnet-rpc bittorrent-lsd ceph ceph-mon cfengine kokpit kondor-kolektor ctdb dhcp dhcpv6 dhcpv6-klient
[…]
Odblokujte preddefinovanú službu
Môžete povoliť prenos HTTPS (alebo akúkoľvek inú preddefinovanú službu) prostredníctvom brány firewall pomocou servera - -doplnková služba vlajka.
[tuts @ fosslinux ~] $ sudo firewall-cmd --add-service https --permanent
úspech
[tuts @ fosslinux ~] $ sudo firewall-cmd --reload
Službu môžete tiež odstrániť pomocou - -odstrániť službu vlajka:
[tuts @ fosslinux ~] $ sudo firewall-cmd --remove-service https --permanent
úspech
[tuts @ fosslinux ~] $ sudo firewall-cmd --reload
Pridajte a odstráňte porty
Môžete tiež pridať číslo portu a prototyp priamo s príznakom -add-port. Priame pridanie čísla portu môže byť užitočné, keď preddefinovaná služba neexistuje.
Príklad:
Môžete pridať neštandardné prístav 1717 pre SSH do svojej vlastnej zóny pomocou nasledujúceho príkazu:
[tuts @ fosslinux ~] $ sudo firewall-cmd --add-port 1717 / tcp --permanent
[sudo] heslo pre školiteľov:
úspech
[tuts @ fosslinux ~] $ sudo firewall-cmd -reload
Odstráňte port pomocou možnosti -remove-port flag:
[tuts @ fosslinux ~] $ sudo firewall-cmd --remove-port 1717 / tcp --permanent
úspech
[tuts @ fosslinux ~] $ sudo firewall-cmd -reload
Môžete tiež určiť zónu na pridanie alebo odstránenie portu pridaním príznaku -zone do príkazu:
Pridajte port 1718 pre pripojenie TCP do zóny FedoraWorstation:
[tuts @ fosslinux ~] $ sudo firewall-cmd --zone = FedoraWorkstation --permanent --add-port = 1718 / tcp
úspech
[tuts @ fosslinux ~] $ sudo firewall-cmd --reload
úspech
Potvrďte, či sa zmeny prejavili:
[tuts @ fosslinux ~] $ sudo firewall-cmd --list-all
Pracovná stanica Fedora (aktívna)
cieľ: predvolené
icmp-block-inverzia: č
rozhrania: wlp3s0
zdroje:
služby: dhcpv6-client mdns samba-client ssh
porty: 1025-65535 / udp 1025-65535 / tcp 1718 / tcp
protokoly:
maškaráda: nie
predné porty:
zdrojové porty:
bloky icmp:
bohaté pravidlá:
Poznámka: Pod porty sme pridali číslo portu 1718 povoliť prenos TCP.
Môžete odstrániť port 1718 / tcp spustením nasledujúceho príkazu:
[tuts @ fosslinux ~] $ sudo firewall-cmd --zone = FedoraWorkstation --permanent --remove-port = 1718 / tcp
úspech
[tuts @ fosslinux ~] $ sudo firewall-cmd --reload
úspech
Poznámka: Ak chcete, aby boli zmeny trvalé, musíte pridať - -trvalý označte svoje príkazy.
Rekapitulácia
Firewalld je vynikajúci nástroj na správu zabezpečenia vašej siete. Najlepším spôsobom, ako zvýšiť svoje schopnosti správcu systému, je získať praktické skúsenosti. Dôrazne odporúčam inštaláciu Fedory vo vašom obľúbenom virtuálnom počítači (VM) alebo v Boxoch, aby ste mohli experimentovať so všetkými dostupnými funkciami firewall-cmd. Ďalšie funkcie brány firewall-cmd sa môžete dozvedieť z oficiálnej domovskej stránky Firewalld.
