- 1. Så här installerar och hanterar du Firewalld på Linux
- 2. Så här hanterar du zoner i Firewalld CentOS och Ubuntu
- 3. Hur man blockerar eller öppnar portar i Firewalld Linux CentOS och Ubuntu
- 4. Hur man blockerar eller öppnar tjänster i Firewalld CentOS och Ubuntu
- 5. Så här aktiverar och inaktiverar du IP -maskering via Firewalld Linux
- 6. Så här aktiverar och inaktiverar du IMCP -meddelande i Firewalld Linux
- 7. Hur man aktiverar eller inte får panikläge i Firewalld Linux CentOS och Ubuntu
- 8. Så här blockerar du Firewalld på Linux CentOS och Ubuntu
Säkerhet är en av de åtgärder som alltid måste vara närvarande, inte bara i organisationer utan också på personlig nivå när vi arbetar med ett operativsystem, och det är, även om det finns olika verktyg för att öka säkerheten och integriteten när du använder ett system, fungerar själva systemet innehåller en extra funktion som brandväggen.
En brandväggs väsentliga funktion är att skapa och hantera inkommande och utgående regler för att skydda hela nätverksanslutningsprocessen. Således förhindras misstänkta eller opålitliga paket från att komma in i vår dator och orsaka någon typ av skada, till exempel infogning av skadlig kod eller kapning av information.
När vi arbetar med Linux -system, ett av de säkraste, har vi verktyg med öppen källkod som hjälper oss att göra denna skyddsprocess mycket mer komplett och ett av dessa verktyg är Firewalld. Solvetic kommer att förklara vad Firewalld är och hur vi kan installera och använda det i två av de mest använda distributionerna för närvarande som CentOS och Ubuntu.
NoteraKonfigurationsprocessen är identisk för båda systemen
Vad är FirewalldFirewalld (firewall daemon), är ett verktyg vars syfte är att leverera en dynamiskt hanterad brandvägg som har stöd för nätverkszoner där förtroendet för nätverksanslutningarna eller gränssnitten som ska användas är definierat, Firewalld är kompatibelt med IPv4 -adresserna, IPv6 -brandväggsinställningar, Ethernet -bryggor och IP -adresspooler.
Firewalld erbjuder oss ett gränssnitt för tjänster eller applikationer för att lägga till brandväggsregler direkt, vilket underlättar kontrolluppgif.webpter. En av de främsta fördelarna med att använda Firewalld är att alla ändringar som ska göras kan göras i realtid på exekveringsmiljön utan att behöva starta om tjänsten eller Daemon som det händer med många verktyg.
Firewalld integrerar ett D-Bus-gränssnitt som är lämpligt för hantering av tjänster, applikationer och administration av brandväggskonfigurationen. Detta gränssnitt kan integreras med konfigurationsverktygen som brandvägg-cmd, brandväggskonfiguration och brandväggs-applet.
Firewalld -funktionerNågra av de funktioner som vi hittar när vi använder Firewalld är:
- Stöd för IPv4, IPv6, överbryggning och ipset.
- Stöd för IPv4 och IPv6 NAT.
- Brandvägg eller brandväggszoner.
- Full D-Bus API.
- Enkel service, port, protokoll, källport, maskering, portvidarebefordran, icmp -filter, rich rule, gränssnitt och källadresskontroll i använda zoner.
- Direkt gränssnitt för hantering.
- Blockeringsfunktion som skapar en vit lista över applikationer som kan ändra brandväggen.
- Automatisk laddning av Linux -kärnmoduler.
- Integration med Puppet.
- Tidsbestämda brandväggsregler i zoner.
- Enkel registrering av nekade paket.
- Grafiskt konfigurationsverktyg med gtk3.
- Applet med Qt4.
DistributionerDe grundläggande fördelningarna där Firewalld kan implementeras är:
- RHEL 7, CentOS 7
- Fedora 18 och högre
AnsökningarDe applikationer och bibliotek som stöder firewalld som ett brandväggshanteringsverktyg inkluderar:
- Nätverks chef
- libvirt
- hamnarbetare
- fail2ban
Det är viktigt att innan vi går in på detaljer om hur man installerar och använder Firewalld så vet vi lite mer om det, Firewalld består av tre lager som är:
- Huvudlager (kärnskikt) som ansvarar för att hantera konfigurationen och tjänster som iptables, ip6tables, ebtables, ipset och modullastaren.
- D-Bus-gränssnitt: vilket är det viktigaste sättet att ändra och skapa brandväggsinställningar.
- Backends som gör det möjligt att interagera med netfilter (den inbyggda kärnmodulen som används för brandvägg) och några räknas som iptables, ip6tables, ebtables, ipset, nft, linnftables, etc.
Firewallld D-Bus-gränssnittet är det viktigaste sättet att skapa och redigera brandväggsinställningar. Detta gränssnitt används av alla onlineverktyg som är inbyggda i firewalld, till exempel firewall-cmd, firewall-config och firewall-applet, firewall-offline-cmd-linjen talar inte direkt till firewalld, men det redigerar och skapar konfigurationsfiler för firewalld direkt genom firewalld -kärnan med IO -drivrutinerna.
Den globala konfigurationsfilen för firewalld finns på /etc/firewalld/firewalld.conf och brandväggsfunktionerna är konfigurerade i XML -format.
Firewalld använder zoner som är de som definierar graden av förtroende som nätverksanslutningen ska användas, gränssnittet eller källadresslänken kommer att ha, och samma zon kan användas för många nätverksanslutningar, gränssnitt och källor.
De zoner som finns tillgängliga i Firewalld är:
SläppaDetta är zonen med den lägsta konfidensnivån eftersom alla inkommande paket automatiskt avvisas och endast tillåter utgående paket att aktiveras.
BlockeraNär du använder den här zonen liknar förtroendenivån Drop men skiljer sig bara genom att inkommande paket avvisas med icmp-host-förbjudet för IPv4 och icmp6-adm-förbjudet för IPv6-meddelanden.
offentligMed den här zonen hänvisar tillitsnivån till opålitliga offentliga nätverk, så den accepterar bara betrodda anslutningar.
ExternDet är den nivå som definieras när vi använder brandväggen som en gateway och dess maskering aktiveras av routrarna.
DMZDet är en zon där förtroendenivån gäller för utrustning som ligger i en DMZ -zon (demilitariserad), det betyder att det finns allmän åtkomst begränsad till det interna nätverket. Det accepterar bara accepterade anslutningar.
ArbeteSom namnet indikerar används denna nivå i arbetsområden som gör att nätverksdatorer kan ha åtkomst till den.
HemGenom att använda denna nivå talar vi om en hemmiljö och de flesta datorer i nätverket accepteras
InreDenna typ av nivå gäller interna nätverk så att alla datorer i det lokala nätverket accepteras.
BetroddDet står för Trust, vilket innebär att det är den högsta nivån och litar på alla inkommande anslutningar.
För att konfigurera eller lägga till zoner kan vi använda något av följande tillgängliga firewalld -konfigurationsgränssnitt:
- Grafiskt konfigurationsverktyg brandvägg-config.
- Brandvägg-cmd kommandoradsverktyg.
- D-BUS programmatiskt gränssnitt.
- Skapa, kopiera eller redigera en zonfil i någon av konfigurationskatalogerna, till exempel: / etc / firewalld / zones för anpassade och användarskapade konfigurationsfiler eller / usr / lib / firewalld / zones för standard- och reservkonfigurationer.
1. Så här installerar och hanterar du Firewalld på Linux
Steg 1
Om du använder CentOS 7 är firewalld-paketet förinstallerat och kan verifieras med följande kommando:
rpm -qa firewalldFör Ubuntu måste vi installera det med följande kommando:
sudo apt installera firewalld
FÖRSTORA
Vi anger bokstaven S för att bekräfta nedladdningen och installationen av Firewalld.
Steg 2
Firewalld är en vanlig systemd -tjänst som kan hanteras genom systemctl -kommandot enligt följande:
sudo systemctl start firewalld (låter dig starta tjänsten) sudo systemctl aktivera firewalld (aktiverar tjänsten under systemstart) sudo systemctl status firewalld (låter dig se tjänstens status)
FÖRSTORA
Steg 3
Efter att ha startat firewalld-tjänsten kan vi verifiera om demonen körs eller inte i Linux, för detta måste vi använda firewall-cmd-verktyget, vi kör följande:
sudo brandvägg -cmd -state
FÖRSTORA
2. Så här hanterar du zoner i Firewalld CentOS och Ubuntu
Steg 1
För att få en lista över alla tillgängliga brandväggstjänster och zoner måste vi köra följande kommandon:
För att se zonerna:
sudo brandvägg-cmd --get-zoner
FÖRSTORA
Steg 2
För att se tjänsterna kommer vi att utföra:
sudo brandvägg-cmd --get-services
FÖRSTORA
Steg 3
Standardzonen är den zon som implementeras för varje brandvägsfunktion som inte är länkad till en annan zon. Det är möjligt att få standardzonen som är inställd för nätverksanslutningar och gränssnitt genom att köra följande:
sudo brandvägg-cmd --get-default-zone
FÖRSTORA
Steg 4
Om vi vill upprätta en annan standardzon måste vi använda följande kommando, det bör noteras att om vi lägger till -permanent alternativ, konfigurationen är etablerad permanent, kan vi utföra något av följande alternativ:
sudo brandvägg-cmd --set-default-zone = externeller
sudo brandvägg-cmd --set-default-zone = extern -permanentSteg 4
Sedan tillämpar vi ändringarna genom att köra:
sudo brandvägg -cmd -reload
FÖRSTORA
Steg 5
Om målet är att till exempel lägga till ett gränssnitt i en zon kan vi utföra följande:
sudo brandvägg-cmd --zone = home --add-interface = enp0s3I det här fallet har vi lagt till enp0s3 (LAN) -gränssnittet i hemzonen.
FÖRSTORA
Steg 6
Det bör noteras att ett gränssnitt bara kan läggas till i en enda zon, istället kan det flyttas till en annan zon, för detta använder vi-switch-interface-omkopplaren eller tar bort från den tidigare zonen med -remove-interface switch och lägg sedan till den i den nya zonen, till exempel:
sudo firewall-cmd --zone = public --add-interface = enp0s3 sudo firewall-cmd --zone = public --change-interface = enp0s3Med Firewalld är det möjligt att använda många zoner samtidigt, om vi vill få en lista över alla aktiva zoner med funktionerna aktiverade, såsom gränssnitt, tjänster, portar, protokoll, kör vi följande:
sudo brandvägg-cmd --get-active-zones
FÖRSTORA
Steg 7
För att få mer information om zonerna, till exempel vad som har aktiverats eller eliminerats, kan vi använda ett av dessa kommandon:
sudo firewall-cmd --zone = home --list-allELLER
sudo brandvägg-cmd-informationszon offentlig
FÖRSTORA
Steg 8
Ett annat användbart alternativ att använda med Firewalld är --get-target, detta visar målet för en permanent zon, målen kan vara standard, ACCEPTERA, DROP, REJECT, för att kontrollera målet för flera zoner kan vi använda ett av följande kommandon :
sudo firewall-cmd --permanent --zone = public --get-target sudo firewall-cmd --permanent --zone = block --get-target sudo firewall-cmd --permanent --zone = dmz --get- target sudo firewall-cmd --permanent --zone = extern --get-target sudo firewall-cmd --permanent --zone = drop --get-target
3. Hur man blockerar eller öppnar portar i Firewalld Linux CentOS och Ubuntu
För att öppna en port genom firewalld, lägg bara till den i zonen med alternativet --add-port, om zonen inte uttryckligen anges kommer den att aktiveras i standardzonen.
Steg 1
Till exempel, för att lägga till portar 80 och 443 som tillåter inkommande webbtrafik genom HTTP- och HTTPS -protokollen, kommer vi att utföra följande:
sudo firewall-cmd --zone = public --permanent --add-port = 80 / tcp --add-port = 443 / tcp
FÖRSTORA
Steg 2
Nu ska vi ladda om brandvägden och verifiera funktionerna som är aktiverade i den offentliga zonen:
sudo firewall-cmd-ladda om sudo firewall-cmd --info-zone public
FÖRSTORA
Steg 3
Om vi vill blockera en port i firewalld måste vi använda alternativet --remove-port, i det här exemplet så här:
sudo firewall-cmd --zone = public --permanent --remove-port = 80 / tcp --remove-port = 443 / tcp
4. Hur man blockerar eller öppnar tjänster i Firewalld CentOS och Ubuntu
För att aktivera en tjänst i Firewalld måste vi aktivera den med alternativet --add-service, kom ihåg att om vi utelämnar zonen kommer standardzonen att användas.
Steg 1
Till exempel, för att aktivera http -tjänsten i en offentlig zon utför vi:
sudo firewall-cmd --zone = public --permanent --add-service = http sudo firewall-cmd -reload
FÖRSTORA
Steg 2
Med parametern -remove -service kan vi ta bort tjänsten från den tilldelade zonen:
sudo firewall-cmd --zone = public --permanent --remove-service = http sudo firewall-cmd -reload
FÖRSTORA
5. Så här aktiverar och inaktiverar du IP -maskering via Firewalld Linux
IP masquerading, eller IPMASQ / MASQ) är en NAT -mekanism som gör att värdar i ett nätverk med privata IP -adresser kan kommunicera med Internet via den offentliga IP -adressen som tilldelats Linux -servern med IPMASQ -gateway..
Med denna maskering kommer trafiken från de osynliga värdarna att visas på andra datorer på Internet som om den kom direkt från Linux -servern.
För att kontrollera om maskeringen är aktiv eller inte kör vi:
sudo firewall-cmd --zone = public --query-masqueradeSedan kan vi lägga till en zon så här:
sudo firewall-cmd --zone = public --add-masqueradeFör att ta bort en zon från denna typ av funktion måste vi utföra följande:
sudo brandvägg-cmd --zone = public --remove-masquerade
6. Så här aktiverar och inaktiverar du IMCP -meddelande i Firewalld Linux
ICMP -protokollet (Internet Control Message Protocol) är ett protokoll som har utvecklats för att generera begäran om information eller svar på dessa begäranden om information eller under felvillkor under hela kommunikationsprocessen på nätet.
Steg 1
I Firewalld är det möjligt att aktivera eller inaktivera ICMP -meddelanden, men det rekommenderas att validera alla kompatibla ICMP -typer, för detta utför vi:
sudo brandvägg-cmd --get-icmptypes
FÖRSTORA
Steg 2
Vi kan lägga till eller blockera ett ICMP enligt följande:
sudo firewall-cmd --zone = home --add-icmp-block = echo-reply sudo firewall-cmd --zone = home --remove-icmp-block = echo-reply
FÖRSTORA
Steg 3
Vi kan se alla ICMP-typer som läggs till i en zon med --list-icmp-block-omkopplaren:
sudo brandvägg-cmd --zone = home --list-icmp-block
7. Hur man aktiverar eller inte får panikläge i Firewalld Linux CentOS och Ubuntu
Panikläge är ett speciellt läge integrerat i Firewalld där alla inkommande och utgående paket elimineras, och aktiva anslutningar kommer att upphöra när det aktiveras, vi kan aktivera det här läget i nödsituationer där det finns ett hot mot systemet och därmed kommer vi att undvika någon anslutning.
Steg 1
För att kontrollera panikläget använder vi alternativet --fråga-panik och vi kan aktivera det med alternativet sudo brandvägg-cmd-panik-på:
FÖRSTORA
Steg 2
För att förstå hur det här läget fungerar, när det är inaktiverat kan vi pinga en webbplats och vi kommer att få alla förfrågningar skickade, men när det är aktiverat ser vi ett meddelande som indikerar ett tillfälligt anslutningsfel:
FÖRSTORA
Steg 3
För att inaktivera det här läget kör vi:
sudo brandvägg-cmd-panic-off
8. Så här blockerar du Firewalld på Linux CentOS och Ubuntu
Steg 1
I Firewalld kan lokala applikationer eller tjänster ändra brandväggskonfigurationen om de körs med roträttigheter, vi kan styra vilka program som kan begära ändringar i brandväggen och lägga till den i den blockerande vitlistan. Den här funktionen är inaktiverad som standard, och vi kan aktivera eller inaktivera den med --lockdown-on eller -lockdown-off-omkopplaren:
sudo brandvägg-cmd --lockdown-onELLER
sudo brandvägg-cmd-lockdown-offSteg 2
En säkrare metod är att aktivera eller inaktivera den här funktionen direkt i utgåvan av huvudkonfigurationsfilen, eftersom det ibland inte finns någon brandvägg-cmd i den blockerande vitlistan, för detta kommer vi åt konfigurationsfilen:
sudo nano /etc/firewalld/firewalld.conf
FÖRSTORA
Där hittar vi Lockdown = no -raden och ställer in dess status till Lockdown = ja, sparar ändringarna med Ctrl + O -tangenterna och lämnar redigeraren med Ctrl + X.
Firewalld är en komplett lösning för att lägga till olika regler och zoner till våra Linux -distributioner och därmed lägga till bättre allmänna säkerhetsalternativ i systemet.