Uporaba FirewallD za upravljanje požarnega zidu v CentOS 7

FirewallD je dinamično upravljan požarni zid, ki zagotavlja podporo za pravila požarnega zidu IPv4 in IPv6 in območja požarnega zidu, ki je na voljo na strežnikih, ki temeljijo na RHEL 7. Je neposredna zamenjava za kodo iptablesjedra in deluje z njo netfilter.

V tem članku si bomo na kratko ogledali upravljanje požarnega zidu v CentOS 7 z uporabo firewall-cmdukaza.

Preverjanje, ali požarni zidD deluje

Prvi korak je preveriti, ali je FirewallD nameščen in deluje. To lahko storite systemdtako, da zaženete naslednje:

$ systemctl status firewalld
● firewalld.service - firewalld - dynamic firewall daemon
   Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled; vendor preset: enabled)
   Active: active (running) since Thu 2016-03-10 15:07:00 UTC; 1min 30s ago
   ...

Lahko pa preverite tudi z firewall-cmdorodjem:

$ firewall-cmd --state
running

Upravljanje con

FirewallD deluje z uporabo koncepta, zoneskjer je območje definiralo raven zaupanja, uporabljeno za povezavo. Različne omrežne vmesnike lahko razdelite na različna območja, da uporabite posebna pravila požarnega zidu na vmesnik, ali pa uporabite eno območje za vse vmesnike.

Iz škatle je vse narejeno na privzetem publicobmočju, vendar je mogoče uporabiti tudi več drugih vnaprej konfiguriranih območij.

Seznam vseh razpoložljivih območij

Morda boste morali dobiti seznam vseh razpoložljivih območij, od katerih jih je kar nekaj. Ponovno je to mogoče storiti z uporabo firewall-cmd:

$ firewall-cmd --get-zones
block dmz drop external home internal public trusted work

Preverjanje privzetega območja

Privzeto območje, ki je trenutno konfigurirano, lahko odkrijete z firewall-cmd:

$ firewall-cmd --get-default-zone
public

Če želite spremeniti privzeto območje (na primer v home), lahko to storite tako, da zaženete:

$ firewall-cmd --set-default-zone=home
success

Te informacije se bodo odražale v glavni konfiguracijski datoteki, /etc/firewalld/firewalld.conf. Vendar je priporočljivo, da te datoteke ne spreminjate ročno in namesto tega uporabite firewall-cmd.

Preverjanje trenutno dodeljenih con

Seznam območij, ki so vam dodeljeni vmesniki, lahko dobite tako, da zaženete:

$ firewall-cmd --get-active-zones
public
  interfaces: eth0

Območje posameznega vmesnika ( eth0v tem primeru) lahko preverite tudi tako, da zaženete:

$  firewall-cmd --get-zone-of-interface=eth0
public

Ustvarjanje con

Če privzeta vnaprej konfigurirana območja ne ustrezajo vašim potrebam, je najlažji način za ustvarjanje nove cone ( zone1) znova prek firewall-cmd:

$ firewall-cmd --permanent --new-zone=zone1
success

Po ustvarjanju morate znova naložiti:

$ firewall-cmd --reload
success

Uporaba cone za vmesnik

Če želite območju trajno dodeliti omrežni vmesnik, lahko uporabite, firewall-cmdčeprav ne pozabite vključiti --permanentzastave, da obdržite spremembo. Če uporabljate NetworkManager, morate uporabiti tudi nmcliza nastavitev območja povezave.

$ firewall-cmd --permanent --zone=internal --change-interface=eth1`
success

Pridobivanje trajne konfiguracije cone

Če želite preveriti trajno konfiguracijo območja ( publicv tem primeru), vključno z dodeljenimi vmesniki, dovoljenimi storitvami, nastavitvami vrat in več, zaženite:

$ firewall-cmd --permanent --zone=public --list-all
public (default)
  interfaces:
  sources:
  services: dhcpv6-client ssh
  ports:
  masquerade: no
  forward-ports:
  icmp-blocks:
  rich rules:

Upravljanje storitev

Ko dodelite in konfigurirate zahtevana območja, lahko začnete dodajati storitve conam. Storitve opisujejo protokole in vrata, do katerih je mogoče dostopati za območje.

Seznam obstoječih storitev

Številne običajne storitve so vnaprej konfigurirane v požarnem zidu. Te je mogoče našteti:

$ firewall-cmd --get-services
RH-Satellite-6 amanda-client bacula bacula-client dhcp dhcpv6 dhcpv6-client dns freeipa-ldap freeipa-ldaps freeipa-replication ftp high-availability http https imaps ipp ipp-client ipsec iscsi-target kerberos kpasswd ldap ldaps libvirt libvirt-tls mdns mountd ms-wbt mysql nfs ntp openvpn pmcd pmproxy pmwebapi pmwebapis pop3s postgresql proxy-dhcp radius rpc-bind rsyncd samba samba-client smtp ssh telnet tftp tftp-client transmission-client vdsm vnc-server wbem-https

Dobite lahko tudi seznam storitev, omogočenih za privzeto območje:

$ firewall-cmd --list-services
dhcpv6-client ssh

Dodajanje storitve v območje

Dano storitev za območje ( public) lahko trajno omogočite z uporabo --add-servicezastave:

$ firewall-cmd --permanent --zone=public --add-service=http
success

Nato znova naložite trenutno sejo požarnega zidu:

$ firewall-cmd --reload
success

Nato za preverjanje dodano:

$ firewall-cmd --zone=public --list-services
dhcpv6-client http ssh

Odstranjevanje storitve iz območja

Dano storitev za območje ( public) lahko trajno odstranite z uporabo --remove-servicezastave:

$ firewall-cmd --permanent --zone=public --remove-service=http
success

Nato znova naložite trenutno sejo požarnega zidu:

$ firewall-cmd --reload
success

Nato za preverjanje dodano:

$ firewall-cmd --zone=public --list-services
dhcpv6-client ssh

Dodajanje/odstranjevanje več storitev iz območja

Več storitev (na primer httpin https) lahko dodate ali odstranite iz območja, eno za drugo ali vse naenkrat, tako da želena imena storitev ovijete v zavitih oklepajih ( {, }):

$ firewall-cmd --permanent --zone=public --add-service=
success

$ firewall-cmd --permanent --zone=public --list-services
dhcpv6-client http https ssh

Ustvarjanje novih storitev

Včasih boste morda morali dodati nove storitve po meri – na primer, če ste spremenili vrata za demon SSH. Storitve so definirane z uporabo trivialnih datotek XML, privzete datoteke pa najdemo v /usr/lib/firewalld/services:

$  tree /usr/lib/firewalld/services
/usr/lib/firewalld/services
├── amanda-client.xml
├── bacula-client.xml
├── bacula.xml
├── dhcpv6-client.xml
├── dhcpv6.xml
├── dhcp.xml
├── dns.xml
├── freeipa-ldaps.xml
├── freeipa-ldap.xml
├── freeipa-replication.xml
├── ftp.xml
├── high-availability.xml
├── https.xml
├── http.xml
...

Najlažji način za ustvarjanje nove storitve je, da kopirate eno od teh obstoječih storitev in jo spremenite. Storitve po meri bi morale biti v /etc/firewalld/services. Na primer, če želite prilagoditi storitev SSH:

$ cp /usr/lib/firewalld/services/ssh.xml /etc/firewalld/services/ssh-custom.xml

Vsebina te kopirane datoteke bi morala izgledati takole:

$ cat /etc/firewalld/services/ssh-custom.xml
<?xml version="1.0" encoding="utf-8"?>
<service>
  <short>SSH</short>
  <description>Secure Shell (SSH) is a protocol for logging into and executing commands on remote machines. It provides secure encrypted communications. If you plan on accessing your machine remotely via SSH over a firewalled interface, enable this option. You need the openssh-server package installed for this option to be useful.</description>
  <port protocol="tcp" port="22"/>
</service>

Če želite spremeniti vrata, morate spremeniti kratko ime storitve in vrata. Po želji lahko spremenite tudi opis, vendar so to le dodatni metapodatki, ki jih lahko uporabi uporabniški vmesnik ali druga aplikacija. V tem primeru spreminjam vrata na 1234:

$ nano /etc/firewalld/services/ssh-custom.xml
<?xml version="1.0" encoding="utf-8"?>
<service>
  <short>SSH-Custom</short>
  <description>Secure Shell (SSH) is a protocol for logging into and executing commands on remote machines. It provides secure encrypted communications. If you plan on accessing your machine remotely via SSH over a firewalled interface, enable this option. You need the openssh-server package installed for this option to be useful.</description>
  <port protocol="tcp" port="1234"/>
</service>

Ko je shranjen, boste morali znova naložiti požarni zid, nato pa lahko svoje pravilo uporabite za svoje območje:

$ firewall-cmd --reload
success

$ firewall-cmd --permanent --zone=public --add-service=ssh-custom
success

Upravljanje pristanišča

Poleg uporabe storitev lahko tudi ročno dovolite vrata po protokolu. Če želite omogočiti vrata TCP 7777za publicobmočje:

$ firewall-cmd --permanent --zone=public --add-port=7777/tcp
success

Dodate lahko tudi obseg vrat:

$ firewall-cmd --permanent --zone=public --add-port=7000-8000/tcp
success

Če želite odstraniti (in s tem zavrniti) vrata TCP 7777za publicobmočje:

$ firewall-cmd --permanent --zone=public --remove-port=7777/tcp
success

publicPo ponovnem nalaganju trenutne seje požarnega zidu lahko navedete tudi trenutno dovoljena vrata za dano območje ( ):

$ firewall-cmd --zone=public --list-ports
7000-8000/tcp

Omogočanje FirewallD

Ko konfigurirate požarni zid po svojih željah, ga morate omogočiti prek systemd, da zagotovite, da se zažene ob zagonu:

$ systemctl enable firewalld

Zaključek

V FirewallD obstaja veliko več nastavitev in možnosti, kot so posredovanje vrat, maskiranje in komunikacija s požarnim zidom prek D-Bus. Upajmo, da vam je ta priročnik pomagal razumeti osnove in vam je dal orodja za začetek požarnega zidu na vašem strežniku. Nekaj ​​dodatnega branja spodaj vam bo pomagalo kar najbolje izkoristiti vaš požarni zid.

• Uporaba Fail2ban s FirewallD - Fedora Wiki
• FirewallD - Fedora Wiki
• Uvod v FirewallD - Varnostni vodnik RedHat 7