Notaðu FirewallD til að stjórna eldveggnum þínum á CentOS 7

FirewallD er kvikstýrður eldveggur sem veitir stuðning fyrir IPv4 og IPv6 eldveggsreglur og eldveggssvæði sem er fáanlegt á RHEL 7 netþjónum. Það kemur beint í staðinn fyrir iptablesog vinnur með netfilterkóða kjarnans .

Í þessari grein mun líta stuttlega á stjórnun eldveggsins á CentOS 7 með því að nota firewall-cmdskipunina.

Athugar hvort FirewallD sé í gangi

Fyrsta skrefið er að athuga hvort FirewallD sé uppsett og í gangi. Þetta er hægt að gera með systemdþví að keyra eftirfarandi:

$ systemctl status firewalld
● firewalld.service - firewalld - dynamic firewall daemon
   Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled; vendor preset: enabled)
   Active: active (running) since Thu 2016-03-10 15:07:00 UTC; 1min 30s ago
   ...

Að öðrum kosti geturðu athugað með því að nota firewall-cmdtólið:

$ firewall-cmd --state
running

Stjórna svæðum

FirewallD starfar með því að nota hugmyndina um zoneshvar svæði skilgreindi hversu mikið traust er notað fyrir tengingu. Þú getur skipt mismunandi netviðmótum í mismunandi svæði til að beita sérstökum eldveggsreglum fyrir hvert viðmót eða þú getur notað eitt svæði fyrir öll viðmót.

Utan kassans er allt gert á sjálfgefna publicsvæði, en það eru nokkur önnur fyrirfram stillt svæði sem hægt er að nota líka.

Listi yfir öll tiltæk svæði

Þú gætir þurft að fá lista yfir öll tiltæk svæði, þar af eru nokkur úr kassanum. Aftur, þetta er hægt að gera með því að nota firewall-cmd:

$ firewall-cmd --get-zones
block dmz drop external home internal public trusted work

Athugar sjálfgefið svæði

Þú getur uppgötvað sjálfgefið svæði sem er stillt með því að nota firewall-cmd:

$ firewall-cmd --get-default-zone
public

Ef þú vilt breyta sjálfgefna svæði (til dæmis í home), er hægt að gera það með því að keyra:

$ firewall-cmd --set-default-zone=home
success

Þessar upplýsingar munu endurspeglast í aðalstillingarskránni, /etc/firewalld/firewalld.conf. Hins vegar er mælt með því að þú breytir ekki þessari skrá handvirkt og notir þess í stað firewall-cmd.

Athugar þau svæði sem nú eru úthlutað

Þú getur fengið lista yfir svæðin sem þú hefur úthlutað viðmótum á með því að keyra:

$ firewall-cmd --get-active-zones
public
  interfaces: eth0

Þú getur líka athugað svæði eins viðmóts ( eth0í þessu tilfelli) með því að keyra:

$  firewall-cmd --get-zone-of-interface=eth0
public

Að búa til svæði

Ef sjálfgefna forstilltu svæðin henta ekki alveg þínum þörfum, er auðveldasta leiðin til að búa til nýtt svæði ( zone1) aftur með firewall-cmd:

$ firewall-cmd --permanent --new-zone=zone1
success

Eftir stofnun þarftu að endurhlaða:

$ firewall-cmd --reload
success

Að beita svæði á viðmót

Til þess að úthluta netviðmóti varanlega á svæði geturðu notað firewall-cmdþó muna að láta --permanentfána fylgja með til að halda breytingunni áfram. Ef þú notar NetworkManagerættirðu líka að vera viss um að nota nmclitil að stilla tengisvæðið.

$ firewall-cmd --permanent --zone=internal --change-interface=eth1`
success

Að fá varanlega stillingu svæðis

Til að athuga varanlega uppsetningu svæðis ( publicí þessu tilfelli) þar á meðal úthlutað viðmót, leyfilega þjónustu, hafnarstillingar og fleira, keyrðu:

$ firewall-cmd --permanent --zone=public --list-all
public (default)
  interfaces:
  sources:
  services: dhcpv6-client ssh
  ports:
  masquerade: no
  forward-ports:
  icmp-blocks:
  rich rules:

Stjórna þjónustu

Þegar þú hefur úthlutað og stillt nauðsynleg svæði geturðu byrjað að bæta þjónustu við svæði. Þjónusta lýsir samskiptareglum og höfnum sem hægt er að nálgast fyrir svæði.

Skráning núverandi þjónustu

Nokkrar algengar þjónustur eru forstilltar innan eldveggsins. Þetta er hægt að skrá:

$ firewall-cmd --get-services
RH-Satellite-6 amanda-client bacula bacula-client dhcp dhcpv6 dhcpv6-client dns freeipa-ldap freeipa-ldaps freeipa-replication ftp high-availability http https imaps ipp ipp-client ipsec iscsi-target kerberos kpasswd ldap ldaps libvirt libvirt-tls mdns mountd ms-wbt mysql nfs ntp openvpn pmcd pmproxy pmwebapi pmwebapis pop3s postgresql proxy-dhcp radius rpc-bind rsyncd samba samba-client smtp ssh telnet tftp tftp-client transmission-client vdsm vnc-server wbem-https

Þú getur líka fengið lista yfir þá þjónustu sem er virkjuð fyrir sjálfgefið svæði:

$ firewall-cmd --list-services
dhcpv6-client ssh

Að bæta þjónustu við svæði

Þú getur virkjað tiltekna þjónustu fyrir svæði ( public) varanlega með því að nota --add-servicefánann:

$ firewall-cmd --permanent --zone=public --add-service=http
success

Og síðan endurhlaða núverandi eldveggslotu:

$ firewall-cmd --reload
success

Síðan var bætt við til að staðfesta:

$ firewall-cmd --zone=public --list-services
dhcpv6-client http ssh

Að fjarlægja þjónustu af svæði

Þú getur fjarlægt tiltekna þjónustu fyrir svæði ( public) varanlega með því að nota --remove-servicefánann:

$ firewall-cmd --permanent --zone=public --remove-service=http
success

Og síðan endurhlaða núverandi eldveggslotu:

$ firewall-cmd --reload
success

Síðan var bætt við til að staðfesta:

$ firewall-cmd --zone=public --list-services
dhcpv6-client ssh

Bæta við/fjarlægja margar þjónustur af svæði

Þú getur bætt við eða fjarlægt margar þjónustur (til dæmis httpog https) af svæði annað hvort einni í einu eða öllum í einu með því að vefja viðkomandi þjónustunöfn inn í krullaðar axlabönd ( {, }):

$ firewall-cmd --permanent --zone=public --add-service=
success

$ firewall-cmd --permanent --zone=public --list-services
dhcpv6-client http https ssh

Að búa til nýja þjónustu

Stundum gætir þú þurft að bæta við nýjum sérsniðnum þjónustum - til dæmis ef þú hefur breytt höfninni fyrir SSH púkann. Þjónusta er skilgreind með léttvægum XML skrám, þar sem sjálfgefnar skrár eru að finna í /usr/lib/firewalld/services:

$  tree /usr/lib/firewalld/services
/usr/lib/firewalld/services
├── amanda-client.xml
├── bacula-client.xml
├── bacula.xml
├── dhcpv6-client.xml
├── dhcpv6.xml
├── dhcp.xml
├── dns.xml
├── freeipa-ldaps.xml
├── freeipa-ldap.xml
├── freeipa-replication.xml
├── ftp.xml
├── high-availability.xml
├── https.xml
├── http.xml
...

Auðveldasta leiðin til að búa til nýja þjónustu er að afrita eina af þessum þjónustuskrám sem fyrir eru og breyta henni. Sérsniðin þjónusta ætti að vera í /etc/firewalld/services. Til dæmis, til að sérsníða SSH þjónustuna:

$ cp /usr/lib/firewalld/services/ssh.xml /etc/firewalld/services/ssh-custom.xml

Innihald þessarar afrituðu skráar ætti að líta svona út:

$ cat /etc/firewalld/services/ssh-custom.xml
<?xml version="1.0" encoding="utf-8"?>
<service>
  <short>SSH</short>
  <description>Secure Shell (SSH) is a protocol for logging into and executing commands on remote machines. It provides secure encrypted communications. If you plan on accessing your machine remotely via SSH over a firewalled interface, enable this option. You need the openssh-server package installed for this option to be useful.</description>
  <port protocol="tcp" port="22"/>
</service>

Til að breyta höfninni ættirðu að breyta stuttu nafni þjónustunnar og höfninni. Þú gætir líka breytt lýsingunni ef þú vilt, en þetta eru bara auka lýsigögn sem gætu verið notuð af notendaviðmóti eða öðru forriti. Í þessu dæmi er ég að breyta gáttinni í 1234:

$ nano /etc/firewalld/services/ssh-custom.xml
<?xml version="1.0" encoding="utf-8"?>
<service>
  <short>SSH-Custom</short>
  <description>Secure Shell (SSH) is a protocol for logging into and executing commands on remote machines. It provides secure encrypted communications. If you plan on accessing your machine remotely via SSH over a firewalled interface, enable this option. You need the openssh-server package installed for this option to be useful.</description>
  <port protocol="tcp" port="1234"/>
</service>

Þegar það hefur verið vistað þarftu að endurhlaða eldvegginn og þá geturðu beitt reglunni þinni á svæðið þitt:

$ firewall-cmd --reload
success

$ firewall-cmd --permanent --zone=public --add-service=ssh-custom
success

Hafnarstjórn

Auk þess að nota þjónustu geturðu líka leyft höfn handvirkt með samskiptareglum. Til að leyfa TCP tengi 7777fyrir publicsvæðið:

$ firewall-cmd --permanent --zone=public --add-port=7777/tcp
success

Þú getur líka bætt við hafnarsviði:

$ firewall-cmd --permanent --zone=public --add-port=7000-8000/tcp
success

Til að fjarlægja (og hafna þannig) TCP tengi 7777fyrir publicsvæðið:

$ firewall-cmd --permanent --zone=public --remove-port=7777/tcp
success

Þú getur líka skráð leyfðar gáttir fyrir tiltekið svæði ( public) eftir að núverandi eldveggslotu hefur verið hlaðið aftur:

$ firewall-cmd --zone=public --list-ports
7000-8000/tcp

Virkja FirewallD

Þegar þú hefur stillt eldvegginn eins og þú vilt ættirðu að vera viss um að virkja hann í gegnum systemd til að tryggja að hann byrji við ræsingu:

$ systemctl enable firewalld

Niðurstaða

Það eru miklu fleiri stillingar og valkostir innan FirewallD, svo sem framsending gátta, grímugerð og samskipti við eldvegginn í gegnum D-Bus. Vonandi hefur þessi handbók hjálpað þér að skilja grunnatriðin og hefur gefið þér verkfæri til að byrja með eldvegg af netþjóninum þínum. Nokkur viðbótarlestur hér að neðan mun hjálpa þér að fá sem mest út úr eldveggnum þínum.

• Notkun Fail2ban með FirewallD - Fedora Wiki
• FirewallD - Fedora Wiki
• Kynning á FirewallD - RedHat 7 öryggisleiðbeiningar