Конфигуришите ФиреваллД на серверу са ЦентОС 8 и 7

Почевши од ЦентоОС-а 7 појавио се нови алат за подешавање правила филтрирања саобраћаја. фиреваллд. Препоручује се да га користите за управљање иптаблес правилима. ЦентОС 8 сада користи оквир нфтаблес уместо стандардног иптаблес филтрирајућег пакета, а када постављате правила ватрозида путем фиреваллд-а, заправо конфигуришете нфтаблес. У овом ћемо чланку размотрити инсталацију, основне концепте и конфигурацију фиреваллд-а на серверу који покреће ЦентОС 8 (у ЦентОС 7 је све исто).


Садржај:

  • Основни појмови, зоне и правила Фиреваллд-а
  • Инсталирајте и омогућите фиреваллд на ЦентОС-у
  • Радите са правилима фиреваллд-а
  • Фиреваллд: Блокирање ИП-а, изузетак
  • Прослеђивање луке у фиреваллд-у

Фиреваллд - фиревалл за заштиту сервера од нежељеног промета уз подршку за динамичко управљање правилима (без поновног покретања) и примену упорних правила фиревалл-а. Ради као интерфејс за иптаблес и нфтаблес. ФиреваллД се може користити на скоро свим Линук дистрибуцијама.

Основни појмови, зоне и правила Фиреваллд-а

Пре него што започнете инсталацију и конфигурацију фиреваллд, упознаћемо се са концептом зона који се користе за одређивање нивоа поверења у различита једињења. За разне зоне фиреваллд можете применити различита правила филтрирања, одредити опције активног заштитног зида у облику унапред дефинисаних сервиса, протокола и портова, прослеђивања портова и богатих правила.

Фиреваллд филтрира долазни промет по зонама, овисно о правилима која се примјењују на зону. Ако ИП-адреса пошиљаоца захтева је у складу са правилима било које зоне, пакет ће бити послан кроз ову зону. Ако се адреса не подудара ни са једном од зона конфигурисаних на серверу, пакет ће бити обрађен заданом зоном. При инсталирању фиреваллд зове се подразумевана зона јавни.

Постоје заштитне зоне у којима су дозволе за разне услуге већ конфигурисане. Можете да користите ове поставке или да направите сопствене зоне. Листа заданих зона која се креирају током инсталације фиреваллд-а (чува се у директорију / уср / либ / фиреваллд / зоне /):

капминимални ниво поверења. Све долазне везе су блокиране без одговора, дозвољене су само одлазне везе;
блокзона је слична претходној, али када се одбију долазни захтеви, шаље се порука забрањена ицмп-хост за Ипв4 или порука забрањена ицмп6-адм за Ипв6;
јавниПредставља јавне, непоуздане мреже. Можете да омогућите одабране улазне везе појединачно;
екстерниспољне мреже када се фиревалл користи као гатеваи. Конфигурирано је за маскирање НАТ-а, тако да ваша интерна мрежа остаје приватна, али доступна;
интерниантоним спољне зоне. Домаћин има довољан ниво поверења, доступан је низ додатних услуга;
дмзкористи се за рачунаре који се налазе у ДМЗ-у (изоловани рачунари без приступа остатку мреже). Дозвољене су само одређене улазне везе;
посаозона за радне машине (већина рачунара у мрежи је поверена);
куцизона кућне мреже. Можете да верујете већини рачунара, али подржане су само одређене улазне везе;
поузданВерујте свим машинама на мрежи. Најотворенија од свих доступних опција захтева свесну употребу.

Ин фиреваллд користе се два скупа правила - трајна и привремена. Привремена правила раде док се сервер не поново покрене. Приликом додавања правила у подразумевано, фиреваллд, правила се сматрају привременим (време извођења) Да бисте стално додавали правило, морате да употребите заставу - стални. Ова правила ће се примењивати након поновног покретања сервера..

Инсталирајте и омогућите фиреваллд на ЦентОС-у

На ЦентОС 7/8, фиреваллд се подразумевано инсталира приликом инсталирања ОС-а. Ако сте га избрисали и желите да инсталирате фиреваллд, можете да користите стандардни иум / днф менаџер:

# иум инсталирате фиреваллд -и - за Центос 7
# днф инсталирајте фиреваллд -и - за Центос 8

До демона фиреваллд покренуо се аутоматски са покретањем сервера, морате да га додате у покретање:

# системцтл омогућују фиреваллд

И покрени:

# системцтл старт фиреваллд

Проверите статус услуге:

# системцтл статус фиреваллд

● фиреваллд.сервице - фиреваллд - динамички демон заштитног зида Оптерећен: учитан (/уср/либ/системд/систем/фиреваллд.сервице; омогућен; унапред подешен добављач: омогућен) Активно: активно (покреће се) од пон 2019-10-14 14:54 : 40 +06; Пре 22 сата Документи: мушкарац: фиреваллд (1) Главни ПИД: 13646 (фиреваллд) ЦГроуп: /систем.слице/фиреваллд.сервице └─13646 / уср / бин / питхон2 -Ес / уср / сбин / фиреваллд --нофорк --нопид 14. окт. 14:54:40 сервер.впн.ру системд [1]: Покретање фиреваллд-а - динамички заштитни зид ... 14. октобар 14:54:40 сервер.впн.ру системд [1]: Започео фиреваллд - динамички заштитни зид даемон.

Или командом:

# фиревалл-цмд - држава

Наредба цмд фиревалл-а је фиреваллд сучеље нфтаблес / иптаблес.

# фиревалл-цмд - држава

трчање

Радите са правилима фиреваллд-а

Подразумевана правила:

Пре конфигурисања правила фиреваллд-а, морате проверити која се зона подразумевано користи:

# фиревалл-цмд --гет-дефаулт-зоне

Пошто смо управо инсталирали и нисмо конфигурисали фиреваллд, имамо задану зону јавни.

Проверите језгро. Она је такође једна - јавна:

# фиревалл-цмд --гет-ацтиве-зоне

јавна сучеља: етх0

Као што видите, мрежним интерфејсом Етх0 управља зона. јавни.

Може се приказати листа мрежних интерфејса ЦентОС:

# ип линк схов
Или
# нмцли статус уређаја

Да бисте видели основна правила, унесите:

# фиревалл-цмд - листа-све

јавни (активни) циљ: подразумевани ицмп-блоцк-инверзија: нема сучеља: етх0 извори: услуге: дхцпв6-клијент ссх портови: протоколи: маскарада: нема напријед-портови: извори портова: ицмп-блокови: богата правила:

Као што видите из листе, у ову зону су додате уобичајене операције повезане са ДХЦП клијентом и ссх..

Доступне зоне

Да бисте погледали листу свих зона, требате покренути наредбу:

# фиревалл-цмд --гет-зоне

Добио сам следећу листу:

блокирај дмз дроп вањски дом интерни јавни рад од повјерења

Да бисте проверили правила одређене зоне, додајте заставу - зоне.

# фиревалл-цмд --зоне = хоме - листа-све

хоме таргет: подразумевани ицмп-блоцк-инверзија: нема сучеља: извори: услуге: дхцпв6-цлиент мднс самба-цлиент ссх портови: протоколи: маскуераде: нема форвард-портова: извори портови: ицмп-блокови: богата правила:

Правила свих зона могу се видети командом:

# фиревалл-цмд - листа свих зона

Листа ће бити прилично велика, јер може бити много зона.

Промените подразумевану зону.

Подразумевано се сви мрежни интерфејси налазе у зони јавни, али могу се пренети у било коју од зона помоћу команде:

# фиревалл-цмд --зоне = хоме -ханге-интерфејс = етх0

После параметра -зоне = одредите жељену зону.

Да бисте променили подразумевану зону, користите команду:

# фиревалл-цмд --сет-дефаулт-зоне = дом

Додавање правила за апликације

Да бисте отворили порт за неку апликацију, можете да изузецима додате услугу. Прикажи листу доступних услуга:

# фиревалл-цмд --гет-услуге

Излаз ће садржавати велики број услуга. Детаљи услуге су садржани у кмл датотека. Те датотеке се налазе у директорију / уср / либ / фиреваллд / услуге.

На пример:

# цд / уср / либ / фиреваллд / услуге

# цат смтп.кмл

  Пошта (СМТП) Ова опција омогућава долазну испоруку СМТП поште. Ако морате да омогућите удаљеним домаћинима да се директно повезу са рачунаром за испоруку поште, омогућите ову опцију. Ово не требате да омогућите ако свој маил са сервера ИСП-а прикупљате путем ПОП3 или ИМАП-а или ако користите алат попут фетцхмаил-а. Имајте на уму да неправилно конфигурисан СМТП сервер може омогућити удаљеним машинама да користе ваш сервер за слање нежељене поште.  

КСМЛ датотека садржи опис услуге, протокол и број порта који ће се отворити у фиреваллд-у.

При додавању правила можете користити параметар -додавање услуге, Да бисте отворили приступ одређеној услузи:

# фиревалл-цмд --зоне = публиц --адд-сервице = хттп

успех

# фиревалл-цмд --зоне = публиц --адд-сервице = хттпс

успех

Након додавања правила, можете проверити да ли су услуге додате у наведеној зони:

# фиревалл-цмд --зоне = публиц - листе-услуге

дхцпв6-клијент хттп хттпс ссх

Ако желите да та правила учините трајним, морате да додате параметар приликом додавања -стални.

Да бисте уклонили услугу из зоне:

# фиревалл-цмд - стални --зоне = публиц --ремове-сервице = хттп

# фиревалл-цмд --зоне = публиц - стални --лист-сервицес

дхцпв6-клијент хттпс ссх тест

Ако желите да додате своју услугу изузецима, можете да креирате датотеку кмл себе и испуните. Можете копирати податке са било које услуге, променити име, опис и број порта.

Копирајте датотеку смтп.кмл у директориј за рад са корисничким услугама:

# цп /уср/либ/фиреваллд/сервицес/смтп.кмл / итд / фиреваллд / услуге

Промените опис услуге у датотеци.

Сама КСМЛ датотека такође мора бити преименована именом вашег сервиса. Након тога, морате поново покренути фиреваллд и проверити да ли се наш сервис налази на листи:

# фиревалл-цмд --гет-услуге

Звао сам службу тест а на списку се појавио:

сислог-тлс телнет тест тфтп

Сада можете да креирате направљену услугу у било коју зону:

# фиревалл-цмд --зоне = публиц --адд-сервице = тест - стални

успех

# фиревалл-цмд --зоне = публиц - стални --лист-сервицес

дхцпв6-клијент хттп хттпс ссх тест

Ако на листи нисте пронашли услугу која вам је потребна, можете отворити жељени порт на фиреваллд помоћу наредбе:

# фиревалл-цмд --зоне = публиц -адд-порт = 77 / тцп - отворени порт 77 тцп
# фиревалл-цмд --зоне = публиц -адд-порт = 77 / удп - отворени порт 77 удп
# фиревалл-цмд --зоне = публиц -адд-порт = 77-88 / удп - Отворени порт 77-88 удп
# фиревалл-цмд --зоне = јавни-пописи-портови - проверите листу дозвољених портова

Блокирај / дозволи ИЦМП одговоре:

# фиревалл-цмд --зоне = публиц --адд-ицмп-блоцк = ехо-одговор
# фиревалл-цмд --зоне = публиц - уклони-ицмп-блок = ехо-одговор

Избриши додани порт:

# фиревалл-цмд --зоне = публиц -ремове-порт = 77 / удп - уклони привремено правило 77 удп

# фиревалл-цмд - стални --зоне = публиц -ремове-порт = 77 / удп - уклоните упорно правило

Додавање прилагођених зона

Можете да створите сопствену зону (назваћу је именом наше):

# фиревалл-цмд - трајна - нова зона = наша

Након креирања нове зоне, као и након креирања услуге, морате поново покренути систем фиреваллд:

# фиревалл-цмд - поновно учитавање

успех

# фиревалл-цмд --гет-зоне

блокирајте дмз дроп вањски дом интерни наш посао од поверења у јавност

Зона наше доступно. Можете му додати услуге или отворити одређене портове.

Фиреваллд: Блокирање ИП-а, изузетак

Можете додати поуздане ИП адресе у фиреваллд изнимке или блокирати нежељене.

Да додате одређену ИП адресу (на пример 8.8.8.8) на вашем серверу путем изузетака фиреваллд, користи наредбу:

# фиревалл-цмд --зоне = публиц --адд-рицх-руле = 'породица правила = "ипв4" извор адресе = "8.8.8.8" прихвати'

Проверите подручје и проверите ИП додато изузецима из правила богатих правила:

# фиревалл-цмд --зоне = публиц - листа-алл

јавни (активни) циљ: подразумевани ицмп-блоцк-инверзија: нема сучеља: етх0 извори: услуге: дхцпв6-клијент хттп хттпс ссх тест портови: протоколи: маскарада: нема напријед-портови: извори-портови: ицмп-блокови: богата правила: правило породице = "ипв4" извор адресе = "8.8.8.8" прихватити

За блокирање ИП, треба заменити прихвати на одбити:

# фиревалл-цмд --зоне = публиц --адд-рицх-руле = 'породица правила = "ипв4" извор адресе = "8.8.4.4" одбаци "

# фиревалл-цмд --зоне = публиц - листа-алл

јавни (активни) циљ: подразумевани ицмп-блоцк-инверзија: нема сучеља: етх0 извори: услуге: дхцпв6-клијент хттп хттпс ссх тест портови: протоколи: маскараде: нема напредних портова: извори портова: ицмп-блокови: богата правила: фамилија правила = "ипв4" извор адресе = "8.8.8.8" прихвати породицу правила = "ипв4" извор адресе = "8.8.4.4" одбаци

Можете да омогућите одређену услугу само за захтеве са одређене ИП адресе:

# фиревалл-цмд --перманентни --адд-рицх-руле 'правило породице = "ипв4" извор адресе = "10.10.1.0/24" име услуге = "хттпс" прихвати "

Ако хитно требате да блокирате све захтеве на серверу, користите команду паниц:

# фиревалл-цмд --паниц-он

Паник можете искључити било командом:

# фиревалл-цмд - искључено

Или поновно покретање сервера.

Можете блокирати конфигурацију фиреваллд-а тако да локални сервиси с роот привилегијама не могу мијењати правила заштитног зида која сте направили:

# фиревалл-цмд - закључавање

Онемогући режим закључавања:

# фиревалл-цмд - закључавање-искључивање

Прослеђивање луке у фиреваллд-у

У фиреваллд-у можете да креирате правило за прослеђивање портова. Да бисте проследили порт 443 до 9090:

# фиревалл-цмд --зоне = публиц --адд-форвард-порт = порт = 443: прото = тцп: топорт = 9090 - стални

У Виндовс-у можете да конфигуришете прослеђивање портова помоћу мреже.

Да бисте уклонили правило за прослеђивање порта:

# фиревалл-цмд --зоне = публиц - уклањамо-форвард-порт = порт = 443: прото = тцп: топорт = 9090