FirewallD izmantošana ugunsmūra pārvaldībai sistēmā CentOS 7

FirewallD ir dinamiski pārvaldīts ugunsmūris, kas nodrošina IPv4 un IPv6 ugunsmūra noteikumu un ugunsmūra zonu atbalstu, kas ir pieejams serveros, kuru pamatā ir RHEL 7. Tas ir tiešs iptableskodola netfilterkoda aizstājējs un darbojas ar to .

Šajā rakstā tiks īsi apskatīta CentOS 7 ugunsmūra pārvaldība, izmantojot firewall-cmdkomandu.

Pārbauda, ​​vai FirewallD darbojas

Pirmais solis ir pārbaudīt, vai FirewallD ir instalēts un darbojas. To var izdarīt systemd, izpildot šādas darbības:

$ systemctl status firewalld
● firewalld.service - firewalld - dynamic firewall daemon
   Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled; vendor preset: enabled)
   Active: active (running) since Thu 2016-03-10 15:07:00 UTC; 1min 30s ago
   ...

Varat arī pārbaudīt, izmantojot firewall-cmdrīku:

$ firewall-cmd --state
running

Zonu pārvaldīšana

FirewallD darbojas, izmantojot koncepciju, zoneskur zona nosaka savienojumam izmantoto uzticamības līmeni. Varat sadalīt dažādas tīkla saskarnes dažādās zonās, lai katrai saskarnei piemērotu īpašus ugunsmūra noteikumus, vai arī varat izmantot vienu zonu visām saskarnēm.

No kastes viss tiek darīts noklusējuma publiczonā, taču ir arī vairākas citas iepriekš konfigurētas zonas, kuras var lietot arī.

Visu pieejamo zonu saraksts

Iespējams, jums būs jāiegūst visu pieejamo zonu saraksts, no kurām vairākas ir pieejamas. Atkal, to var izdarīt, izmantojot firewall-cmd:

$ firewall-cmd --get-zones
block dmz drop external home internal public trusted work

Noklusētās zonas pārbaude

Varat atklāt noklusējuma zonu, kas pašlaik ir konfigurēta, izmantojot firewall-cmd:

$ firewall-cmd --get-default-zone
public

Ja vēlaties mainīt noklusējuma zonu (piemēram, uz home), to var izdarīt, izpildot:

$ firewall-cmd --set-default-zone=home
success

Šī informācija tiks atspoguļota galvenajā konfigurācijas failā /etc/firewalld/firewalld.conf. Tomēr nav ieteicams manuāli modificēt šo failu un tā vietā izmantot firewall-cmd.

Pašlaik piešķirto zonu pārbaude

Varat iegūt sarakstu ar zonām, kurām jums ir piešķirtas saskarnes, izpildot:

$ firewall-cmd --get-active-zones
public
  interfaces: eth0

Varat arī pārbaudīt viena interfeisa zonu ( eth0šajā gadījumā), izpildot:

$  firewall-cmd --get-zone-of-interface=eth0
public

Zonu veidošana

Ja noklusējuma iepriekš konfigurētās zonas neatbilst jūsu vajadzībām, vienkāršākais veids, kā izveidot jaunu zonu ( zone1), atkal ir, izmantojot firewall-cmd:

$ firewall-cmd --permanent --new-zone=zone1
success

Pēc izveides jums ir atkārtoti jāielādē:

$ firewall-cmd --reload
success

Zonas pielietošana saskarnei

Lai zonai pastāvīgi piešķirtu tīkla interfeisu, varat izmantot, firewall-cmdlai gan neaizmirstiet iekļaut --permanentkarogu, lai izmaiņas saglabātu. Ja izmantojat NetworkManager, noteikti izmantojiet nmcliarī savienojuma zonas iestatīšanai.

$ firewall-cmd --permanent --zone=internal --change-interface=eth1`
success

Zonas pastāvīgās konfigurācijas iegūšana

Lai pārbaudītu zonas pastāvīgo konfigurāciju ( publicšajā gadījumā), ieskaitot piešķirtās saskarnes, atļautos pakalpojumus, porta iestatījumus un daudz ko citu, palaidiet:

$ firewall-cmd --permanent --zone=public --list-all
public (default)
  interfaces:
  sources:
  services: dhcpv6-client ssh
  ports:
  masquerade: no
  forward-ports:
  icmp-blocks:
  rich rules:

Pakalpojumu pārvaldīšana

Kad esat piešķīris un konfigurējis nepieciešamās zonas, varat sākt zonām pievienot pakalpojumus. Pakalpojumi apraksta protokolus un portus, kuriem var piekļūt zonai.

Esošo pakalpojumu saraksts

Vairāki izplatīti pakalpojumi ir iepriekš konfigurēti ugunsmūrī. Tos var uzskaitīt:

$ firewall-cmd --get-services
RH-Satellite-6 amanda-client bacula bacula-client dhcp dhcpv6 dhcpv6-client dns freeipa-ldap freeipa-ldaps freeipa-replication ftp high-availability http https imaps ipp ipp-client ipsec iscsi-target kerberos kpasswd ldap ldaps libvirt libvirt-tls mdns mountd ms-wbt mysql nfs ntp openvpn pmcd pmproxy pmwebapi pmwebapis pop3s postgresql proxy-dhcp radius rpc-bind rsyncd samba samba-client smtp ssh telnet tftp tftp-client transmission-client vdsm vnc-server wbem-https

Varat arī iegūt noklusējuma zonai iespējoto pakalpojumu sarakstu:

$ firewall-cmd --list-services
dhcpv6-client ssh

Pakalpojuma pievienošana zonai

Varat pastāvīgi iespējot noteiktu pakalpojumu zonai ( public), izmantojot --add-servicekarogu:

$ firewall-cmd --permanent --zone=public --add-service=http
success

Un pēc tam atkārtoti ielādējiet pašreizējo ugunsmūra sesiju:

$ firewall-cmd --reload
success

Pēc tam, lai pārbaudītu, tas tika pievienots:

$ firewall-cmd --zone=public --list-services
dhcpv6-client http ssh

Pakalpojuma noņemšana no zonas

Varat publicneatgriezeniski noņemt noteiktu pakalpojumu zonai ( ), izmantojot --remove-servicekarogu:

$ firewall-cmd --permanent --zone=public --remove-service=http
success

Un pēc tam atkārtoti ielādējiet pašreizējo ugunsmūra sesiju:

$ firewall-cmd --reload
success

Pēc tam, lai pārbaudītu, tas tika pievienots:

$ firewall-cmd --zone=public --list-services
dhcpv6-client ssh

Vairāku pakalpojumu pievienošana/noņemšana no zonas

Varat pievienot vai noņemt vairākus pakalpojumus (piemēram, httpun https) no zonas vai nu pa vienam, vai visus uzreiz, iesaiņojot vajadzīgos pakalpojumu nosaukumus krokainās iekavās ( {, }):

$ firewall-cmd --permanent --zone=public --add-service=
success

$ firewall-cmd --permanent --zone=public --list-services
dhcpv6-client http https ssh

Jaunu pakalpojumu izveide

Dažreiz jums var būt nepieciešams pievienot jaunus pielāgotus pakalpojumus, piemēram, ja esat mainījis SSH dēmona portu. Pakalpojumi tiek definēti, izmantojot triviālus XML failus, un noklusējuma faili ir atrodami /usr/lib/firewalld/services:

$  tree /usr/lib/firewalld/services
/usr/lib/firewalld/services
├── amanda-client.xml
├── bacula-client.xml
├── bacula.xml
├── dhcpv6-client.xml
├── dhcpv6.xml
├── dhcp.xml
├── dns.xml
├── freeipa-ldaps.xml
├── freeipa-ldap.xml
├── freeipa-replication.xml
├── ftp.xml
├── high-availability.xml
├── https.xml
├── http.xml
...

Vienkāršākais veids, kā izveidot jaunu pakalpojumu, ir kopēt kādu no šiem esošajiem pakalpojuma failiem un to pārveidot. Pielāgotiem pakalpojumiem ir jāatrodas /etc/firewalld/services. Piemēram, lai pielāgotu SSH pakalpojumu:

$ cp /usr/lib/firewalld/services/ssh.xml /etc/firewalld/services/ssh-custom.xml

Šī kopētā faila saturam vajadzētu izskatīties šādi:

$ cat /etc/firewalld/services/ssh-custom.xml
<?xml version="1.0" encoding="utf-8"?>
<service>
  <short>SSH</short>
  <description>Secure Shell (SSH) is a protocol for logging into and executing commands on remote machines. It provides secure encrypted communications. If you plan on accessing your machine remotely via SSH over a firewalled interface, enable this option. You need the openssh-server package installed for this option to be useful.</description>
  <port protocol="tcp" port="22"/>
</service>

Lai mainītu portu, jāmaina pakalpojuma īsais nosaukums un ports. Varat arī mainīt aprakstu, ja vēlaties, taču tie ir tikai papildu metadati, ko var izmantot lietotāja interfeiss vai cita lietojumprogramma. Šajā piemērā es mainu portu uz 1234:

$ nano /etc/firewalld/services/ssh-custom.xml
<?xml version="1.0" encoding="utf-8"?>
<service>
  <short>SSH-Custom</short>
  <description>Secure Shell (SSH) is a protocol for logging into and executing commands on remote machines. It provides secure encrypted communications. If you plan on accessing your machine remotely via SSH over a firewalled interface, enable this option. You need the openssh-server package installed for this option to be useful.</description>
  <port protocol="tcp" port="1234"/>
</service>

Pēc saglabāšanas jums būs atkārtoti jāielādē ugunsmūris un pēc tam varat piemērot savu kārtulu savai zonai:

$ firewall-cmd --reload
success

$ firewall-cmd --permanent --zone=public --add-service=ssh-custom
success

Ostas vadība

Papildus pakalpojumu izmantošanai varat arī manuāli atļaut portus pēc protokola. Lai atļautu TCP portu 7777par publiczonas:

$ firewall-cmd --permanent --zone=public --add-port=7777/tcp
success

Varat arī pievienot portu diapazonu:

$ firewall-cmd --permanent --zone=public --add-port=7000-8000/tcp
success

Lai noņemtu (un līdz ar to noliegt) TCP portu 7777uz publiczonas:

$ firewall-cmd --permanent --zone=public --remove-port=7777/tcp
success

Varat arī uzskaitīt pašlaik atļautos portus konkrētai zonai ( public) pēc pašreizējās ugunsmūra sesijas atkārtotas ielādēšanas:

$ firewall-cmd --zone=public --list-ports
7000-8000/tcp

FirewallD iespējošana

Kad esat konfigurējis ugunsmūri atbilstoši savām vēlmēm, noteikti iespējojiet to, izmantojot systemd, lai nodrošinātu tā palaišanu startēšanas laikā:

$ systemctl enable firewalld

Secinājums

Programmā FirewallD ir daudz vairāk iestatījumu un iespēju, piemēram, portu pāradresācija, maskēšana un saziņa ar ugunsmūri, izmantojot D-Bus. Cerams, ka šī rokasgrāmata tomēr ir palīdzējusi jums saprast pamatus un ir devusi rīkus, lai sāktu darbu ar ugunsmūri ārpus servera. Tālāk sniegtā informācija palīdzēs jums maksimāli izmantot ugunsmūra iespējas.

• Fail2ban izmantošana ar FirewallD — Fedora Wiki
• FirewallD — Fedora Wiki
• Ievads FirewallD — RedHat 7 drošības rokasgrāmata