FirewallD është një mur zjarri i menaxhuar në mënyrë dinamike që ofron mbështetje për rregullat e murit të zjarrit IPv4 dhe IPv6 dhe zonat e mureve të zjarrit që disponohen në serverët e bazuar në RHEL 7. Është një zëvendësim i drejtpërdrejtë iptablesi netfilterkodit të kernelit dhe funksionon me të .
Në këtë artikull do të hedhim një vështrim të shkurtër në menaxhimin e murit të zjarrit në CentOS 7 duke përdorur firewall-cmdkomandën.
Hapi i parë është të kontrolloni nëse FirewallD është i instaluar dhe po funksionon. Kjo mund të bëhet systemdduke ekzekutuar sa vijon:
$ systemctl status firewalld
● firewalld.service - firewalld - dynamic firewall daemon
Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled; vendor preset: enabled)
Active: active (running) since Thu 2016-03-10 15:07:00 UTC; 1min 30s ago
...
Përndryshe, mund të kontrolloni duke përdorur firewall-cmdmjetin:
$ firewall-cmd --state
running
FirewallD funksionon duke përdorur konceptin se zonesku një zonë përcakton nivelin e besimit të përdorur për një lidhje. Ju mund të ndani ndërfaqe të ndryshme rrjeti në zona të ndryshme në mënyrë që të aplikoni rregulla specifike të murit të zjarrit për ndërfaqe ose mund të përdorni një zonë për të gjitha ndërfaqet.
Nga kutia, gjithçka është bërë në publiczonën e paracaktuar , por ka disa zona të tjera të parakonfiguruara që mund të aplikohen gjithashtu.
Mund t'ju duhet të merrni një listë të të gjitha zonave të disponueshme, nga të cilat ka disa jashtë kutisë. Përsëri, kjo mund të bëhet duke përdorur firewall-cmd:
$ firewall-cmd --get-zones
block dmz drop external home internal public trusted work
Mund të zbuloni zonën e paracaktuar që është konfiguruar aktualisht duke përdorur firewall-cmd:
$ firewall-cmd --get-default-zone
public
Nëse dëshironi të ndryshoni zonën e paracaktuar (për shembull, në home), kjo mund të bëhet duke ekzekutuar:
$ firewall-cmd --set-default-zone=home
success
Ky informacion do të pasqyrohet në skedarin kryesor të konfigurimit, /etc/firewalld/firewalld.conf. Megjithatë, rekomandohet që të mos e modifikoni manualisht këtë skedar dhe në vend të kësaj të përdorni firewall-cmd.
Ju mund të merrni një listë të zonave në të cilat ju janë caktuar ndërfaqet duke ekzekutuar:
$ firewall-cmd --get-active-zones
public
interfaces: eth0
Ju gjithashtu mund të kontrolloni zonën e një ndërfaqe të vetme ( eth0në këtë rast) duke ekzekutuar:
$ firewall-cmd --get-zone-of-interface=eth0
public
Nëse zonat e para-konfiguruara të paracaktuara nuk u përshtaten plotësisht nevojave tuaja, mënyra më e lehtë për të krijuar një zonë të re ( zone1) është përsëri nëpërmjet firewall-cmd:
$ firewall-cmd --permanent --new-zone=zone1
success
Pas krijimit, duhet të ringarkoni:
$ firewall-cmd --reload
success
Për të caktuar përgjithmonë një ndërfaqe rrjeti në një zonë, mund të përdorni firewall-cmdedhe pse mbani mend të përfshini --permanentflamurin për të vazhduar ndryshimin. Nëse përdorni NetworkManager, duhet të sigurohuni gjithashtu që ta përdorni nmclipër të vendosur zonën e lidhjes.
$ firewall-cmd --permanent --zone=internal --change-interface=eth1`
success
Për të kontrolluar konfigurimin e përhershëm të një zone ( publicnë këtë rast) duke përfshirë ndërfaqet e caktuara, shërbimet e lejuara, cilësimet e portit dhe më shumë, ekzekutoni:
$ firewall-cmd --permanent --zone=public --list-all
public (default)
interfaces:
sources:
services: dhcpv6-client ssh
ports:
masquerade: no
forward-ports:
icmp-blocks:
rich rules:
Pasi të keni caktuar dhe konfiguruar zonat tuaja të kërkuara, mund të filloni të shtoni shërbime në zona. Shërbimet përshkruajnë protokollet dhe portat që mund të aksesohen për një zonë.
Një numër shërbimesh të zakonshme janë të para-konfiguruara brenda murit të zjarrit. Këto mund të renditen:
$ firewall-cmd --get-services
RH-Satellite-6 amanda-client bacula bacula-client dhcp dhcpv6 dhcpv6-client dns freeipa-ldap freeipa-ldaps freeipa-replication ftp high-availability http https imaps ipp ipp-client ipsec iscsi-target kerberos kpasswd ldap ldaps libvirt libvirt-tls mdns mountd ms-wbt mysql nfs ntp openvpn pmcd pmproxy pmwebapi pmwebapis pop3s postgresql proxy-dhcp radius rpc-bind rsyncd samba samba-client smtp ssh telnet tftp tftp-client transmission-client vdsm vnc-server wbem-https
Ju gjithashtu mund të merrni një listë të shërbimeve të aktivizuara për zonën e paracaktuar:
$ firewall-cmd --list-services
dhcpv6-client ssh
Ju mund të aktivizoni një shërbim të caktuar për një zonë ( public) përgjithmonë duke përdorur --add-serviceflamurin:
$ firewall-cmd --permanent --zone=public --add-service=http
success
Dhe pastaj ringarkoni seancën aktuale të murit të zjarrit:
$ firewall-cmd --reload
success
Më pas, për të verifikuar është shtuar:
$ firewall-cmd --zone=public --list-services
dhcpv6-client http ssh
Ju mund të hiqni një shërbim të caktuar për një zonë ( public) përgjithmonë duke përdorur --remove-serviceflamurin:
$ firewall-cmd --permanent --zone=public --remove-service=http
success
Dhe pastaj ringarkoni seancën aktuale të murit të zjarrit:
$ firewall-cmd --reload
success
Më pas, për të verifikuar është shtuar:
$ firewall-cmd --zone=public --list-services
dhcpv6-client ssh
Mund të shtoni ose hiqni shumë shërbime (për shembull, httpdhe https) nga një zonë ose një nga një, ose të gjitha përnjëherë duke i mbështjellë emrat e shërbimeve të dëshiruara në kllapa kaçurrelë ( {, }):
$ firewall-cmd --permanent --zone=public --add-service=
success
$ firewall-cmd --permanent --zone=public --list-services
dhcpv6-client http https ssh
Ndonjëherë mund t'ju duhet të shtoni shërbime të reja me porosi - për shembull nëse keni ndryshuar portin për demonin SSH. Shërbimet përcaktohen duke përdorur skedarë të parëndësishëm XML, me skedarët e paracaktuar që gjenden në /usr/lib/firewalld/services:
$ tree /usr/lib/firewalld/services
/usr/lib/firewalld/services
├── amanda-client.xml
├── bacula-client.xml
├── bacula.xml
├── dhcpv6-client.xml
├── dhcpv6.xml
├── dhcp.xml
├── dns.xml
├── freeipa-ldaps.xml
├── freeipa-ldap.xml
├── freeipa-replication.xml
├── ftp.xml
├── high-availability.xml
├── https.xml
├── http.xml
...
Mënyra më e lehtë për të krijuar një shërbim të ri është kopjimi i një prej këtyre skedarëve ekzistues të shërbimit dhe modifikimi i tij. Shërbimet me porosi duhet të qëndrojnë në /etc/firewalld/services. Për shembull, për të personalizuar shërbimin SSH:
$ cp /usr/lib/firewalld/services/ssh.xml /etc/firewalld/services/ssh-custom.xml
Përmbajtja e këtij skedari të kopjuar duhet të duket si kjo:
$ cat /etc/firewalld/services/ssh-custom.xml
<?xml version="1.0" encoding="utf-8"?>
<service>
<short>SSH</short>
<description>Secure Shell (SSH) is a protocol for logging into and executing commands on remote machines. It provides secure encrypted communications. If you plan on accessing your machine remotely via SSH over a firewalled interface, enable this option. You need the openssh-server package installed for this option to be useful.</description>
<port protocol="tcp" port="22"/>
</service>
Për të ndryshuar portin, duhet të ndryshoni emrin e shkurtër për shërbimin dhe portin. Ju gjithashtu mund të ndryshoni përshkrimin nëse dëshironi, por këto janë vetëm meta të dhëna shtesë që mund të përdoren nga një ndërfaqe përdoruesi ose një aplikacion tjetër. Në këtë shembull, unë po ndryshoj portin në 1234:
$ nano /etc/firewalld/services/ssh-custom.xml
<?xml version="1.0" encoding="utf-8"?>
<service>
<short>SSH-Custom</short>
<description>Secure Shell (SSH) is a protocol for logging into and executing commands on remote machines. It provides secure encrypted communications. If you plan on accessing your machine remotely via SSH over a firewalled interface, enable this option. You need the openssh-server package installed for this option to be useful.</description>
<port protocol="tcp" port="1234"/>
</service>
Pasi të ruhet, do t'ju duhet të ringarkoni murin e zjarrit dhe më pas mund të aplikoni rregullin tuaj në zonën tuaj:
$ firewall-cmd --reload
success
$ firewall-cmd --permanent --zone=public --add-service=ssh-custom
success
Përveç përdorimit të shërbimeve, ju gjithashtu mund të lejoni manualisht portet me anë të protokollit. Për të lejuar portin TCP 7777për publiczonën:
$ firewall-cmd --permanent --zone=public --add-port=7777/tcp
success
Ju gjithashtu mund të shtoni një gamë portash:
$ firewall-cmd --permanent --zone=public --add-port=7000-8000/tcp
success
Për të hequr (dhe për të mohuar) portin TCP 7777për publiczonën:
$ firewall-cmd --permanent --zone=public --remove-port=7777/tcp
success
Ju gjithashtu mund të listoni portet e lejuara aktualisht për një zonë të caktuar ( public) pas ringarkimit të sesionit aktual të murit të zjarrit:
$ firewall-cmd --zone=public --list-ports
7000-8000/tcp
Pasi të keni konfiguruar murin e zjarrit sipas dëshirës tuaj, duhet të siguroheni që ta aktivizoni atë nëpërmjet systemd në mënyrë që të siguroheni që të fillojë që në fillim:
$ systemctl enable firewalld
Ka shumë cilësime dhe opsione të tjera brenda FirewallD, të tilla si përcjellja e portit, maskimi dhe komunikimi me murin e zjarrit nëpërmjet D-Bus. Shpresojmë që ky udhëzues t'ju ketë ndihmuar të kuptoni bazat sidoqoftë dhe ju ka dhënë mjetet për të filluar me fikjen e zjarrit nga serveri juaj. Disa lexim shtesë më poshtë do t'ju ndihmojnë të përfitoni sa më shumë nga muri i zjarrit.
Inteligjenca Artificiale nuk është në të ardhmen, është këtu në të tashmen Në këtë blog Lexoni se si aplikacionet e inteligjencës artificiale kanë ndikuar në sektorë të ndryshëm.
A jeni edhe ju viktimë e Sulmeve DDOS dhe jeni konfuz në lidhje me metodat e parandalimit? Lexoni këtë artikull për të zgjidhur pyetjet tuaja.
Ju mund të keni dëgjuar se hakerët fitojnë shumë para, por a keni menduar ndonjëherë se si i fitojnë ato para? Le te diskutojme.
Dëshironi të shihni shpikjet revolucionare nga Google dhe se si këto shpikje ndryshuan jetën e çdo njeriu sot? Më pas lexoni në blog për të parë shpikjet nga Google.
Koncepti i makinave vetë-drejtuese për të dalë në rrugë me ndihmën e inteligjencës artificiale është një ëndërr që e kemi prej kohësh. Por, pavarësisht nga disa premtime, ato nuk shihen askund. Lexoni këtë blog për të mësuar më shumë…
Ndërsa Shkenca evoluon me një ritëm të shpejtë, duke marrë përsipër shumë nga përpjekjet tona, rriten edhe rreziqet për t'iu nënshtruar një Singulariteti të pashpjegueshëm. Lexoni, çfarë mund të thotë singulariteti për ne.
Lexoni blogun për të njohur shtresat e ndryshme në arkitekturën e të dhënave të mëdha dhe funksionalitetet e tyre në mënyrën më të thjeshtë.
Metodat e ruajtjes së të dhënave kanë evoluar mund të jenë që nga lindja e të dhënave. Ky blog mbulon evolucionin e ruajtjes së të dhënave në bazë të një infografike.
Në këtë botë të drejtuar nga dixhitali, pajisjet inteligjente të shtëpisë janë bërë një pjesë thelbësore e jetës. Këtu janë disa përfitime të mahnitshme të pajisjeve shtëpiake inteligjente se si ato e bëjnë jetën tonë të vlefshme dhe më të thjeshtë.
Së fundmi Apple lëshoi macOS Catalina 10.15.4 një përditësim shtesë për të rregulluar problemet, por duket se përditësimi po shkakton më shumë probleme që çojnë në bricking të makinerive mac. Lexoni këtë artikull për të mësuar më shumë
