FirewallD naudojimas ugniasienės valdymui CentOS 7

FirewallD yra dinamiškai valdoma ugniasienė, kuri palaiko IPv4 ir IPv6 ugniasienės taisykles ir ugniasienės zonas, pasiekiamas RHEL 7 serveriuose. Tai tiesioginis iptablesbranduolio netfilterkodo pakaitalas ir veikia su juo .

Šiame straipsnyje trumpai apžvelgsime „CentOS 7“ ugniasienės valdymą naudojant firewall-cmdkomandą.

Tikrinama, ar veikia FirewallD

Pirmas žingsnis yra patikrinti, ar FirewallD yra įdiegtas ir veikia. Tai galima padaryti vykdant systemdšiuos veiksmus:

$ systemctl status firewalld
● firewalld.service - firewalld - dynamic firewall daemon
   Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled; vendor preset: enabled)
   Active: active (running) since Thu 2016-03-10 15:07:00 UTC; 1min 30s ago
   ...

Arba galite patikrinti naudodami firewall-cmdįrankį:

$ firewall-cmd --state
running

Zonų valdymas

FirewallD veikia pagal koncepciją, zoneskur zona apibrėžė ryšiui naudojamą pasitikėjimo lygį. Galite padalyti skirtingas tinklo sąsajas į skirtingas zonas, kad kiekvienai sąsajai pritaikytumėte konkrečias ugniasienės taisykles, arba galite naudoti vieną zoną visoms sąsajoms.

Viskas daroma numatytojoje publiczonoje, tačiau yra keletas kitų iš anksto sukonfigūruotų zonų, kurias taip pat galima pritaikyti.

Visų galimų zonų sąrašas

Jums gali tekti gauti visų galimų zonų sąrašą, iš kurių kelios jau yra. Vėlgi, tai galima padaryti naudojant firewall-cmd:

$ firewall-cmd --get-zones
block dmz drop external home internal public trusted work

Tikrinama numatytoji zona

Numatytąją zoną, kuri šiuo metu sukonfigūruota, galite rasti naudodami firewall-cmd:

$ firewall-cmd --get-default-zone
public

Jei norite pakeisti numatytąją zoną (pvz., į home), tai galite padaryti paleidę:

$ firewall-cmd --set-default-zone=home
success

Ši informacija atsispindės pagrindiniame konfigūracijos faile /etc/firewalld/firewalld.conf. Tačiau rekomenduojama nekeisti šio failo rankiniu būdu, o naudoti firewall-cmd.

Tikrinamos šiuo metu priskirtos zonos

Galite gauti zonų, kurioms priskirtos sąsajos, sąrašą paleidę:

$ firewall-cmd --get-active-zones
public
  interfaces: eth0

Taip pat galite patikrinti vienos sąsajos zoną ( eth0šiuo atveju) paleisdami:

$  firewall-cmd --get-zone-of-interface=eth0
public

Zonų kūrimas

Jei numatytosios iš anksto sukonfigūruotos zonos ne visai atitinka jūsų poreikius, paprasčiausias būdas sukurti naują zoną ( zone1) yra dar kartą firewall-cmd:

$ firewall-cmd --permanent --new-zone=zone1
success

Sukūrę turite iš naujo įkelti:

$ firewall-cmd --reload
success

Zonos taikymas sąsajai

Norėdami visam laikui priskirti tinklo sąsają zonai, galite naudoti, firewall-cmdtačiau nepamirškite įtraukti --permanentvėliavėlės, kad pakeitimas išliktų. Jei naudojate NetworkManager, taip pat būtinai naudokite nmcliryšio zonai nustatyti.

$ firewall-cmd --permanent --zone=internal --change-interface=eth1`
success

Nuolatinės zonos konfigūracijos gavimas

Norėdami patikrinti nuolatinę zonos konfigūraciją ( publicšiuo atveju), įskaitant priskirtas sąsajas, leidžiamas paslaugas, prievado nustatymus ir kt., paleiskite:

$ firewall-cmd --permanent --zone=public --list-all
public (default)
  interfaces:
  sources:
  services: dhcpv6-client ssh
  ports:
  masquerade: no
  forward-ports:
  icmp-blocks:
  rich rules:

Paslaugų valdymas

Priskyrę ir sukonfigūravę reikiamas zonas, galite pradėti pridėti prie zonų paslaugas. Paslaugos aprašo protokolus ir prievadus, kuriuos galima pasiekti zonai.

Esamų paslaugų sąrašas

Kai kurios įprastos paslaugos yra iš anksto sukonfigūruotos ugniasienėje. Tai gali būti išvardyti:

$ firewall-cmd --get-services
RH-Satellite-6 amanda-client bacula bacula-client dhcp dhcpv6 dhcpv6-client dns freeipa-ldap freeipa-ldaps freeipa-replication ftp high-availability http https imaps ipp ipp-client ipsec iscsi-target kerberos kpasswd ldap ldaps libvirt libvirt-tls mdns mountd ms-wbt mysql nfs ntp openvpn pmcd pmproxy pmwebapi pmwebapis pop3s postgresql proxy-dhcp radius rpc-bind rsyncd samba samba-client smtp ssh telnet tftp tftp-client transmission-client vdsm vnc-server wbem-https

Taip pat galite gauti paslaugų, įgalintų numatytojoje zonoje, sąrašą:

$ firewall-cmd --list-services
dhcpv6-client ssh

Paslaugos įtraukimas į zoną

Tam tikrą paslaugą zonai ( public) galite įjungti visam laikui naudodami --add-servicevėliavėlę:

$ firewall-cmd --permanent --zone=public --add-service=http
success

Tada iš naujo įkelkite dabartinę ugniasienės seansą:

$ firewall-cmd --reload
success

Tada, norint patikrinti, buvo pridėta:

$ firewall-cmd --zone=public --list-services
dhcpv6-client http ssh

Paslaugos pašalinimas iš zonos

Galite publicvisam laikui pašalinti nurodytą zonos ( ) paslaugą naudodami --remove-servicevėliavėlę:

$ firewall-cmd --permanent --zone=public --remove-service=http
success

Tada iš naujo įkelkite dabartinę ugniasienės seansą:

$ firewall-cmd --reload
success

Tada, norint patikrinti, buvo pridėta:

$ firewall-cmd --zone=public --list-services
dhcpv6-client ssh

Kelių paslaugų įtraukimas / pašalinimas iš zonos

Galite pridėti arba pašalinti kelias paslaugas (pavyzdžiui, httpir https) iš zonos po vieną arba visas iš karto, įvesdami norimus paslaugų pavadinimus į riestinius skliaustus ( {, }):

$ firewall-cmd --permanent --zone=public --add-service=
success

$ firewall-cmd --permanent --zone=public --list-services
dhcpv6-client http https ssh

Naujų paslaugų kūrimas

Kartais gali tekti pridėti naujų tinkintų paslaugų, pavyzdžiui, jei pakeitėte SSH demono prievadą. Paslaugos apibrėžiamos naudojant trivialius XML failus, o numatytieji failai randami /usr/lib/firewalld/services:

$  tree /usr/lib/firewalld/services
/usr/lib/firewalld/services
├── amanda-client.xml
├── bacula-client.xml
├── bacula.xml
├── dhcpv6-client.xml
├── dhcpv6.xml
├── dhcp.xml
├── dns.xml
├── freeipa-ldaps.xml
├── freeipa-ldap.xml
├── freeipa-replication.xml
├── ftp.xml
├── high-availability.xml
├── https.xml
├── http.xml
...

Lengviausias būdas sukurti naują paslaugą – nukopijuoti vieną iš šių esamų paslaugų failų ir jį modifikuoti. Individualios paslaugos turėtų būti /etc/firewalld/services. Pavyzdžiui, norėdami tinkinti SSH paslaugą:

$ cp /usr/lib/firewalld/services/ssh.xml /etc/firewalld/services/ssh-custom.xml

Šio nukopijuoto failo turinys turėtų atrodyti taip:

$ cat /etc/firewalld/services/ssh-custom.xml
<?xml version="1.0" encoding="utf-8"?>
<service>
  <short>SSH</short>
  <description>Secure Shell (SSH) is a protocol for logging into and executing commands on remote machines. It provides secure encrypted communications. If you plan on accessing your machine remotely via SSH over a firewalled interface, enable this option. You need the openssh-server package installed for this option to be useful.</description>
  <port protocol="tcp" port="22"/>
</service>

Norėdami pakeisti prievadą, turėtumėte pakeisti trumpąjį paslaugos pavadinimą ir prievadą. Jei norite, taip pat galite pakeisti aprašą, bet tai tik papildomi metaduomenys, kuriuos gali naudoti vartotojo sąsaja ar kita programa. Šiame pavyzdyje aš keičiu prievadą į 1234:

$ nano /etc/firewalld/services/ssh-custom.xml
<?xml version="1.0" encoding="utf-8"?>
<service>
  <short>SSH-Custom</short>
  <description>Secure Shell (SSH) is a protocol for logging into and executing commands on remote machines. It provides secure encrypted communications. If you plan on accessing your machine remotely via SSH over a firewalled interface, enable this option. You need the openssh-server package installed for this option to be useful.</description>
  <port protocol="tcp" port="1234"/>
</service>

Išsaugoję turėsite iš naujo įkelti užkardą, tada galėsite pritaikyti taisyklę savo zonai:

$ firewall-cmd --reload
success

$ firewall-cmd --permanent --zone=public --add-service=ssh-custom
success

Uosto valdymas

Be paslaugų naudojimo, taip pat galite rankiniu būdu leisti prievadus pagal protokolą. Leisti TCP 7777už publiczonos:

$ firewall-cmd --permanent --zone=public --add-port=7777/tcp
success

Taip pat galite pridėti prievado diapazoną:

$ firewall-cmd --permanent --zone=public --add-port=7000-8000/tcp
success

Pašalinti (ir tokiu būdu paneigti) TCP 7777už publiczonos:

$ firewall-cmd --permanent --zone=public --remove-port=7777/tcp
success

Taip pat galite išvardyti šiuo metu leidžiamus tam tikros zonos ( public) prievadus iš naujo įkėlę dabartinę ugniasienės seansą:

$ firewall-cmd --zone=public --list-ports
7000-8000/tcp

„FirewallD“ įgalinimas

Sukonfigūravę ugniasienę pagal savo skonį, būtinai įjunkite ją per systemd, kad įsitikintumėte, jog ji paleidžiama paleidžiant:

$ systemctl enable firewalld

Išvada

FirewallD yra daug daugiau nustatymų ir parinkčių, tokių kaip prievado persiuntimas, maskavimas ir bendravimas su ugniasiene per D-Bus. Tikimės, kad šis vadovas padėjo jums suprasti pagrindus ir suteikė įrankių, kaip pradėti naudoti užkardą iš serverio. Kai kurie toliau pateikiami papildomi skaitymai padės išnaudoti visas ugniasienės galimybes.

• Fail2ban naudojimas su FirewallD – Fedora Wiki
• FirewallD – Fedora Wiki
• FirewallD įvadas – RedHat 7 saugos vadovas