Cara menonaktifkan atau mematikan firewalld di centos 7

Ptable

Centos memiliki firewall yang sangat kuat yang dibangun, biasanya disebut sebagai ptables, tetapi lebih tepatnya ptables/netfilter. Iptables adalah modul ruang pengguna, bit yang Anda, pengguna, berinteraksi dengan di baris perintah untuk memasukkan aturan firewall ke dalam tabel yang telah ditentukan sebelumnya. NetFilter adalah modul kernel, dibangun ke dalam kernel, yang sebenarnya melakukan penyaringan. Ada banyak ujung depan GUI untuk iptables yang memungkinkan pengguna untuk menambah atau mendefinisikan aturan berdasarkan titik dan klik antarmuka pengguna, tetapi ini seringkali tidak memiliki fleksibilitas menggunakan antarmuka baris perintah dan membatasi pemahaman pengguna tentang apa yang sebenarnya terjadi. Kita akan mempelajari antarmuka baris perintah ptables.

Sebelum kita benar -benar bisa memahami iples, kita harus memiliki setidaknya pemahaman dasar tentang cara kerjanya. Iptables menggunakan konsep alamat IP, protokol (TCP, UDP, ICMP) dan port. Kami tidak perlu menjadi ahli dalam hal ini untuk memulai (karena kami dapat mencari informasi apa pun yang kami butuhkan), tetapi membantu untuk memiliki pemahaman umum.

Iptables menempatkan aturan ke dalam rantai yang telah ditentukan (input, output dan maju) yang diperiksa terhadap lalu lintas jaringan apa pun (paket IP) yang relevan dengan rantai tersebut dan keputusan dibuat tentang apa yang harus dilakukan dengan setiap paket berdasarkan hasil aturan tersebut, saya.e. menerima atau menjatuhkan paket. Tindakan ini disebut sebagai target, di mana dua target yang paling umum ditetapkan jatuh untuk menjatuhkan paket atau menerima untuk menerima paket.

Rantai

• Input – Semua paket yang ditujukan untuk komputer host.
• Output – Semua paket yang berasal dari komputer host.
• Maju – Semua paket tidak ditakdirkan atau berasal dari komputer host, tetapi melewati (dialihkan oleh) komputer host. Rantai ini digunakan jika Anda menggunakan komputer Anda sebagai router.

Sebagian besar, kita akan berurusan dengan rantai input untuk memfilter paket yang memasuki mesin kita – yaitu, menjaga orang jahat keluar.

Aturan ditambahkan dalam daftar ke setiap rantai. Sebuah paket diperiksa terhadap setiap aturan secara bergantian, mulai dari atas, dan jika cocok dengan aturan itu, maka suatu tindakan diambil seperti menerima (menerima) atau menjatuhkan (menjatuhkan) paket tersebut. Setelah aturan telah dicocokkan dan tindakan yang diambil, maka paket itu diproses sesuai dengan hasil aturan itu dan tidak diproses oleh aturan lebih lanjut dalam rantai. Jika sebuah paket melewati semua aturan dalam rantai dan mencapai bagian bawah tanpa dicocokkan dengan aturan apa pun, maka tindakan default untuk rantai itu diambil. Ini disebut sebagai kebijakan default dan dapat diatur untuk menerima atau menjatuhkan paket.

Konsep kebijakan default dalam rantai meningkatkan dua kemungkinan mendasar yang harus kita pertimbangkan terlebih dahulu sebelum kita memutuskan bagaimana kita akan mengatur firewall kita.

1. Kami dapat menetapkan kebijakan default untuk menjatuhkan semua paket dan kemudian menambahkan aturan untuk secara khusus mengizinkan (menerima) paket yang mungkin berasal dari alamat IP tepercaya, atau untuk port tertentu yang kami jalankan layanan seperti Bittorrent, server FTP, server web, server file Samba dll.

2. Kami dapat menetapkan kebijakan default untuk menerima semua paket dan kemudian menambahkan aturan untuk memblokir (drop) paket khusus yang mungkin berasal dari alamat atau rentang IP gangguan tertentu.

Secara umum, opsi 1 di atas digunakan untuk rantai input di mana kami ingin mengontrol apa yang diizinkan untuk mengakses mesin kami dan opsi 2 akan digunakan untuk rantai output di mana kami umumnya mempercayai lalu lintas yang meninggalkan (berasal dari) mesin kami.

2. Mulai

Bekerja dengan Iptables dari baris perintah membutuhkan hak istimewa root, jadi Anda harus menjadi root untuk sebagian besar hal yang akan kami lakukan.

Ptables harus diinstal secara default di semua centos 5.x dan 6.X Instalasi. Anda dapat memeriksa untuk melihat apakah iptables diinstal pada sistem Anda dengan:

$ rpm -q ptables ptables -1.4.7-5.1.EL6_2.x86_64

Dan untuk melihat apakah iptables benar -benar berjalan, kami dapat memeriksa bahwa modul ptables dimuat dan menggunakan sakelar -l untuk memeriksa aturan yang saat ini dimuat:

# lsmod | grep ip_tables ip_tables 29288 1 ptable_filter x_tables 29192 6 ip6t_reject, ip6_tables, IPT_RECT, xt_state, xt_tcpudp, ip_tables

# ptables -l
Input rantai (penerimaan kebijakan)
Target Prot Opt Source Destination
Menerima semua - di mana saja yang terkait dengan negara bagian, mapan
Terima ICMP - Di Mana Saja
Terima semua - di mana saja
Terima TCP - Di Mana Saja Segala Status TCP DPT Baru: SSH
Tolak semua-di mana saja ditolak-dengan-host-host-proibited
Rantai maju (penerimaan kebijakan)
Target Prot Opt Source Destination
Tolak semua-di mana saja ditolak-dengan-host-host-proibited
Output rantai (penerimaan kebijakan)
Target Prot Opt Source Destination

Di atas kita melihat set aturan default pada sistem Centos 6. Perhatikan bahwa layanan SSH diizinkan secara default.

Jika ptables tidak berjalan, Anda dapat mengaktifkannya dengan menjalankan:

# System-Config-SecurityLevel

3. Menulis set aturan sederhana

Kami akan menggunakan pendekatan berbasis contoh untuk memeriksa berbagai perintah iptables. Dalam contoh pertama ini, kami akan membuat serangkaian aturan yang sangat sederhana untuk mengatur firewall Packet Inspection (SPI) yang stateful yang akan memungkinkan semua koneksi keluar tetapi memblokir semua koneksi masuk yang tidak diinginkan:

# ptables -p input terima
# ptables -f
# ptables -a input -i lo -j terima
# ptables -sa input -m status -state mapan, terkait -j terima
# ptables -a input -p tcp --dport 22 -j terima
# ptables -p input drop
# ptables -p forward drop
# ptables -p output terima
# ptables -l -v

Pertanyaan:

• 1. Apa itu eptables?
• 2. Apa tiga rantai yang telah ditentukan sebelumnya di ptables?
• 3. Apa tujuan dari rantai input?
• 4. Bagaimana aturan ditambahkan ke rantai?
• 5. Apa yang terjadi jika sebuah paket cocok dengan aturan dalam rantai?
• 6. Apa kebijakan default rantai input?
• 7. Apa kebijakan default rantai output?
• 8. Apa dua kemungkinan untuk mengatur firewall menggunakan kebijakan default?
• 9. Apa opsi yang disarankan untuk rantai input?
• 10. Bagaimana Anda memeriksa apakah iptables diinstal pada sistem Anda?
• 11. Bagaimana Anda memeriksa apakah iptables sedang berjalan?
• 12. Bagaimana Anda bisa mengaktifkan iptables jika tidak berjalan?
• 13. Apa tujuan dari firewall Inspeksi Paket Stateful (SPI)?
• 14. Koneksi apa yang diizinkan oleh aturan sederhana yang ditetapkan dalam contoh?
• 15. Koneksi apa yang diblokir oleh aturan sederhana yang ditetapkan dalam contoh?

Jawaban:

1. 1. Apa itu eptables?
   
   Iptables adalah firewall yang kuat yang dibangun ke CentOS yang memungkinkan pengguna untuk mendefinisikan dan mengelola aturan firewall menggunakan antarmuka baris perintah.
2. 2. Apa tiga rantai yang telah ditentukan sebelumnya di ptables?
   
   Tiga rantai yang telah ditentukan dalam iptables adalah input, output, dan maju.
3. 3. Apa tujuan dari rantai input?
   
   Rantai input digunakan untuk memfilter paket yang memasuki komputer host.
4. 4. Bagaimana aturan ditambahkan ke rantai?
   
   Aturan ditambahkan ke rantai dalam daftar, dengan setiap aturan diperiksa terhadap lalu lintas jaringan yang masuk dalam rantai yang ditentukan.
5. 5. Apa yang terjadi jika sebuah paket cocok dengan aturan dalam rantai?
   
   Jika sebuah paket cocok dengan aturan dalam rantai, tindakan yang ditentukan oleh aturan (seperti menerima atau menjatuhkan) diambil untuk paket itu.
6. 6. Apa kebijakan default rantai input?
   
   Kebijakan default rantai input dapat diatur untuk menerima atau menjatuhkan. Secara umum, disarankan untuk mengaturnya untuk jatuh dan secara eksplisit memungkinkan koneksi tepercaya.
7. 7. Apa kebijakan default rantai output?
   
   Kebijakan default rantai output biasanya diatur untuk diterima, karena koneksi keluar umumnya dipercaya.
8. 8. Apa dua kemungkinan untuk mengatur firewall menggunakan kebijakan default?
   
   Dua kemungkinan tersebut menetapkan kebijakan default untuk dijatuhkan dan memungkinkan koneksi tepercaya spesifik (Opsi 1), atau menetapkan kebijakan default untuk menerima dan memblokir koneksi tertentu yang tidak diinginkan (Opsi 2).
9. 9. Apa opsi yang disarankan untuk rantai input?
   
   Opsi yang disarankan untuk rantai input adalah mengatur kebijakan default untuk turun dan secara eksplisit memungkinkan koneksi tepercaya.
10. 10. Bagaimana Anda memeriksa apakah iptables diinstal pada sistem Anda?
    
    Anda dapat memeriksa apakah iptables diinstal dengan menjalankan perintah:

    rpm -q ptables

11. 11. Bagaimana Anda memeriksa apakah iptables sedang berjalan?
    
    Anda dapat memeriksa apakah ptables berjalan dengan memeriksa apakah modul ptables dimuat dan menggunakan perintah:

    ptables -l

12. 12. Bagaimana Anda bisa mengaktifkan iptables jika tidak berjalan?
    
    Anda dapat mengaktifkan iptables dengan menjalankan perintah:

    Sistem-Config-SecurityLevel

13. 13. Apa tujuan dari firewall Inspeksi Paket Stateful (SPI)?
    
    Firewall Inspeksi Paket Stateful (SPI) memungkinkan koneksi keluar tetapi memblokir koneksi masuk yang tidak diinginkan berdasarkan keadaan dan karakteristik paket.
14. 14. Koneksi apa yang diizinkan oleh aturan sederhana yang ditetapkan dalam contoh?
    
    Aturan sederhana yang ditetapkan dalam contoh memungkinkan semua koneksi keluar.
15. 15. Koneksi apa yang diblokir oleh aturan sederhana yang ditetapkan dalam contoh?
    
    Set aturan sederhana memblokir semua koneksi masuk yang tidak diinginkan.

Cara menonaktifkan atau mematikan firewalld di centos 7

Anda sekarang dapat menggunakan layanan ini di zona Anda seperti biasanya.

Ptable

Centos memiliki firewall yang sangat kuat yang dibangun, biasanya disebut sebagai ptables, tetapi lebih tepatnya ptables/netfilter. Iptables adalah modul ruang pengguna, bit yang Anda, pengguna, berinteraksi dengan di baris perintah untuk memasukkan aturan firewall ke dalam tabel yang telah ditentukan sebelumnya. NetFilter adalah modul kernel, dibangun ke dalam kernel, yang sebenarnya melakukan penyaringan. Ada banyak ujung depan GUI untuk iptables yang memungkinkan pengguna untuk menambah atau mendefinisikan aturan berdasarkan titik dan klik antarmuka pengguna, tetapi ini seringkali tidak memiliki fleksibilitas menggunakan antarmuka baris perintah dan membatasi pemahaman pengguna tentang apa yang sebenarnya terjadi. Kita akan mempelajari antarmuka baris perintah ptables.

Sebelum kita benar -benar bisa memahami iples, kita harus memiliki setidaknya pemahaman dasar tentang cara kerjanya. Iptables menggunakan konsep alamat IP, protokol (TCP, UDP, ICMP) dan port. Kami tidak perlu menjadi ahli dalam hal ini untuk memulai (karena kami dapat mencari informasi apa pun yang kami butuhkan), tetapi membantu untuk memiliki pemahaman umum.

Iptables menempatkan aturan ke dalam rantai yang telah ditentukan (input, output dan maju) yang diperiksa terhadap lalu lintas jaringan apa pun (paket IP) yang relevan dengan rantai tersebut dan keputusan dibuat tentang apa yang harus dilakukan dengan setiap paket berdasarkan hasil aturan tersebut, saya.e. menerima atau menjatuhkan paket. Tindakan ini disebut sebagai target, di mana dua target yang paling umum ditetapkan jatuh untuk menjatuhkan paket atau menerima untuk menerima paket.

Rantai

• Input – Semua paket yang ditujukan untuk komputer host.
• Output – Semua paket yang berasal dari komputer host.
• Maju – Semua paket tidak ditakdirkan atau berasal dari komputer host, tetapi melewati (dialihkan oleh) komputer host. Rantai ini digunakan jika Anda menggunakan komputer Anda sebagai router.

Sebagian besar, kita akan berurusan dengan rantai input untuk memfilter paket yang memasuki mesin kita – yaitu, menjaga orang jahat keluar.

Aturan ditambahkan dalam daftar ke setiap rantai. Sebuah paket diperiksa terhadap setiap aturan secara bergantian, mulai dari atas, dan jika cocok dengan aturan itu, maka suatu tindakan diambil seperti menerima (menerima) atau menjatuhkan (menjatuhkan) paket tersebut. Setelah aturan telah dicocokkan dan tindakan yang diambil, maka paket itu diproses sesuai dengan hasil aturan itu dan tidak diproses oleh aturan lebih lanjut dalam rantai. Jika sebuah paket melewati semua aturan dalam rantai dan mencapai bagian bawah tanpa dicocokkan dengan aturan apa pun, maka tindakan default untuk rantai itu diambil. Ini disebut sebagai kebijakan default dan dapat diatur untuk menerima atau menjatuhkan paket.

Konsep kebijakan default dalam rantai meningkatkan dua kemungkinan mendasar yang harus kita pertimbangkan terlebih dahulu sebelum kita memutuskan bagaimana kita akan mengatur firewall kita.

1. Kami dapat menetapkan kebijakan default untuk menjatuhkan semua paket dan kemudian menambahkan aturan untuk secara khusus mengizinkan (menerima) paket yang mungkin berasal dari alamat IP tepercaya, atau untuk port tertentu yang kami jalankan layanan seperti Bittorrent, server FTP, server web, server file Samba dll.

2. Kami dapat menetapkan kebijakan default untuk menerima semua paket dan kemudian menambahkan aturan untuk memblokir (drop) paket khusus yang mungkin berasal dari alamat atau rentang IP gangguan tertentu.

Secara umum, opsi 1 di atas digunakan untuk rantai input di mana kami ingin mengontrol apa yang diizinkan untuk mengakses mesin kami dan opsi 2 akan digunakan untuk rantai output di mana kami umumnya mempercayai lalu lintas yang meninggalkan (berasal dari) mesin kami.

2. Mulai

Bekerja dengan Iptables dari baris perintah membutuhkan hak istimewa root, jadi Anda harus menjadi root untuk sebagian besar hal yang akan kami lakukan.

Ptables harus diinstal secara default di semua centos 5.x dan 6.X Instalasi. Anda dapat memeriksa untuk melihat apakah iptables diinstal pada sistem Anda dengan:

$ rpm -q ptables ptables -1.4.7-5.1.EL6_2.x86_64

Dan untuk melihat apakah iptables benar -benar berjalan, kami dapat memeriksa bahwa modul ptables dimuat dan menggunakan sakelar -l untuk memeriksa aturan yang saat ini dimuat:

# lsmod | grep ip_tables ip_tables 29288 1 ptable_filter x_tables 29192 6 ip6t_reject, ip6_tables, IPT_RECT, xt_state, xt_tcpudp, ip_tables

# iptables -L Chain INPUT (policy ACCEPT) target prot opt ​​source destination ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED ACCEPT icmp -- anywhere anywhere ACCEPT all -- anywhere anywhere ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:ssh REJECT all -- anywhere anywhere reject-with icmp-host-prohibited Chain FORWARD (policy ACCEPT) target prot opt ​​source destination REJECT all -- anywhere anywhere reject-with icmp-host-prohibited Chain OUTPUT (policy ACCEPT) target prot opt ​​source destination

Di atas kita melihat set aturan default pada sistem Centos 6. Perhatikan bahwa layanan SSH diizinkan secara default.

Jika ptables tidak berjalan, Anda dapat mengaktifkannya dengan menjalankan:

# System-Config-SecurityLevel

3. Menulis set aturan sederhana

Kami akan menggunakan pendekatan berbasis contoh untuk memeriksa berbagai perintah iptables. Dalam contoh pertama ini, kami akan membuat serangkaian aturan yang sangat sederhana untuk mengatur firewall Packet Inspection (SPI) yang stateful yang akan memungkinkan semua koneksi keluar tetapi memblokir semua koneksi masuk yang tidak diinginkan:

# ptables -p input penerimaan # ptables -f # ptables -a input -i lo -j accept # ptables -a input -m state --state mapan, terkait -j terima # ptables -a input -p tcp --dport 22 -j output # ptables -p input drop # ptables -p forward drop # iPles -p output #p output # ptables -p input # ptables -p forward drop # iPbles -p output output # ptables -p input drop # ptables -p forward drop # iPles -p output #p output output # ptables -p input drop # ptables -p Forward drop # iPables -p Output output # ptables -p output output output #p iPTUTS

Yang seharusnya memberikan output berikut:

Chain INPUT (policy DROP 0 packets, 0 bytes) pkts bytes target prot opt ​​in out source destination 0 0 ACCEPT all -- lo any anywhere anywhere 0 0 ACCEPT all -- any any anywhere anywhere state RELATED,ESTABLISHED 0 0 ACCEPT tcp -- any any anywhere anywhere tcp dpt:ssh Chain FORWARD (policy DROP 0 packets, 0 bytes) pkts bytes target prot opt ​​in out source destination Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt ​​in out source destination

1. ptables -p input terima Jika menghubungkan dari jarak jauh, kita harus terlebih dahulu mengatur kebijakan default pada rantai input untuk menerima sebaliknya setelah kita menyiram aturan saat ini kita akan dikunci dari server kita.
2. ptables -f Kami menggunakan sakelar -f untuk menyiram semua aturan yang ada sehingga kami mulai dengan keadaan bersih untuk menambahkan aturan baru.
3. ptables -sa input -i lo -j terima Sekarang saatnya untuk mulai menambahkan beberapa aturan. Kami menggunakan sakelar -a untuk menambahkan (atau menambahkan) aturan ke rantai tertentu, rantai input dalam contoh ini. Kemudian kami menggunakan sakelar -i (untuk antarmuka) untuk menentukan pencocokan paket atau ditakdirkan untuk LO (localhost, 127.0.0.1) Antarmuka dan akhirnya -J (lompat) ke tindakan target untuk paket yang cocok dengan aturan – dalam hal ini terima. Jadi aturan ini akan memungkinkan semua paket masuk yang ditakdirkan untuk antarmuka localhost diterima. Ini umumnya diperlukan karena banyak aplikasi perangkat lunak yang diharapkan dapat berkomunikasi dengan adaptor localhost.
4. ptables -se input -m state -state mapan, terkait -j terima Ini adalah aturan yang melakukan sebagian besar pekerjaan, dan sekali lagi kami menambahkan (-a) ke rantai input. Di sini kami menggunakan sakelar -m untuk memuat modul (status). Modul Negara dapat memeriksa keadaan paket dan menentukan apakah itu baru, mapan atau terkait. Baru mengacu pada paket masuk yang merupakan koneksi baru yang masuk yang tidak diprakarsai oleh sistem host. Didirikan dan terkait mengacu pada paket masuk yang merupakan bagian dari koneksi yang sudah ada atau terkait dan koneksi yang sudah ada.
5. ptables -a input -p tcp -DPOR 22 -J terima Di sini kami menambahkan aturan yang memungkinkan koneksi SSH melalui port TCP 22. Ini untuk mencegah penguncian yang tidak disengaja saat mengerjakan sistem jarak jauh melalui koneksi SSH. Kami akan menjelaskan aturan ini secara lebih rinci nanti.
6. ptables -p input drop Sakelar -P menetapkan kebijakan default pada rantai yang ditentukan. Jadi sekarang kita dapat mengatur kebijakan default pada rantai input yang akan dijatuhkan. Ini berarti bahwa jika paket yang masuk tidak cocok dengan salah satu dari aturan berikut ini akan dijatuhkan. Jika kami menghubungkan jarak jauh melalui SSH dan belum menambahkan aturan di atas, kami hanya akan mengunci diri dari sistem pada saat ini.
7. ptables -p forward drop Demikian pula, di sini kami telah menetapkan kebijakan default pada rantai depan untuk jatuh karena kami tidak menggunakan komputer kami sebagai router sehingga tidak boleh ada paket yang melewati komputer kami.
8. ptables -p output terima Dan akhirnya, kami telah menetapkan kebijakan default pada rantai output untuk menerima karena kami ingin mengizinkan semua lalu lintas keluar (karena kami mempercayai pengguna kami).
9. ptables -l -v Akhirnya, kami dapat mencantumkan (-l) aturan yang baru saja kami tambahkan untuk memeriksa mereka telah dimuat dengan benar.

Akhirnya, hal terakhir yang perlu kita lakukan adalah menyimpan aturan kita sehingga lain kali kita me -reboot komputer kita aturan kita secara otomatis dimuat ulang:

# /sbin /layanan ptables simpan

Ini mengeksekusi skrip init iptables, yang menjalankan/sbin/ptables-save dan menulis konfigurasi iptables saat ini ke/etc/sysconfig/ptables. Setelah reboot, skrip init ptables menerapkan kembali aturan yang disimpan di/etc/sysconfig/ptables dengan menggunakan perintah/sbin/iptables-restore.

Jelas mengetik semua perintah ini di shell dapat menjadi membosankan, jadi sejauh ini cara termudah untuk bekerja dengan iptables adalah dengan membuat skrip sederhana untuk melakukan semuanya untuk Anda. Perintah di atas dapat dimasukkan ke dalam editor teks favorit Anda dan disimpan sebagai MyFireWall, misalnya:

# # iptables example configuration script # # Flush all current rules from iptables # iptables -F # # Allow SSH connections on tcp port 22 # This is essential when working on remote servers via SSH to prevent locking yourself out of the system # iptables -A INPUT -p tcp --dport 22 -j ACCEPT # # Set default policies for INPUT, FORWARD and OUTPUT chains # iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT # # Set access for localhost # iptables -A INPUT -i lo -j ACCEPT # # Accept packets belonging to established and related connections # iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # # Save settings # /sbin/service iptables save # # List rules # iptables -L -v

Catatan: Kami juga dapat berkomentar skrip kami untuk mengingatkan kami apa yang sedang dilakukan.

Sekarang buat skrip dapat dieksekusi:

# chmod +x myfirewall

Kami sekarang dapat dengan mudah mengedit skrip kami dan menjalankannya dari shell dengan perintah berikut:

# ./myfirewall

4. Antarmuka

Dalam contoh kami sebelumnya, kami melihat bagaimana kami dapat menerima semua paket yang masuk pada antarmuka tertentu, dalam hal ini antarmuka localhost:

ptables -sa input -i lo -j terima

Misalkan kita memiliki 2 antarmuka terpisah, eth0 yang merupakan koneksi LAN internal kita dan modem dialup ppp0 (atau mungkin eth1 untuk NIC) yang merupakan koneksi internet eksternal kita. Kami mungkin ingin mengizinkan semua paket yang masuk di LAN internal kami tetapi masih menyaring paket yang masuk pada koneksi internet eksternal kami. Kami bisa melakukan ini sebagai berikut:

ptables -a input -i lo -j terima ptables -a input -i eth0 -j terima

Tapi berhati -hatilah – Jika kami mengizinkan semua paket untuk antarmuka internet eksternal kami (misalnya, modem dialup PPP0):

ptables -a input -i ppp0 -j terima

Kami akan secara efektif hanya menonaktifkan firewall kami!

5. Alamat IP

Membuka seluruh antarmuka untuk paket yang masuk mungkin tidak cukup ketat dan Anda mungkin ingin lebih banyak kontrol tentang apa yang harus diizinkan dan apa yang harus ditolak. Misalkan kita memiliki jaringan kecil komputer yang menggunakan 192.168.0.x subnet pribadi. Kami dapat membuka firewall kami ke paket yang masuk dari satu alamat IP tepercaya (misalnya, 192.168.0.4):

# Terima paket dari alamat IP tepercaya ptables -sa input -s 192.168.0.4 -J menerima # ubah alamat IP yang sesuai

Memecah perintah ini, pertama-tama kami menambahkan (-a) aturan untuk rantai input untuk alamat IP sumber (-s) 192.168.0.4 Untuk menerima semua paket (juga perhatikan bagaimana kita dapat menggunakan simbol # untuk menambahkan komentar inline untuk mendokumentasikan skrip kita dengan apa pun setelah # diabaikan dan diperlakukan sebagai komentar).

Jelas jika kami ingin mengizinkan paket yang masuk dari berbagai alamat IP, kami dapat dengan mudah menambahkan aturan untuk setiap alamat IP tepercaya dan itu akan berfungsi dengan baik. Tetapi jika kita memiliki banyak dari mereka, mungkin lebih mudah untuk menambahkan berbagai alamat IP dalam sekali jalan. Untuk melakukan ini, kami dapat menggunakan netmask atau notasi slash standar untuk menentukan berbagai alamat IP. Misalnya, jika kami ingin membuka firewall kami ke semua paket yang masuk dari tahun 192 yang lengkap.168.0.X (di mana x = 1 hingga 254) kisaran, kita bisa menggunakan salah satu dari metode berikut:

# Terima paket dari alamat IP tepercaya ptables -sa input -s 192.168.0.0/24 -J ACCEPT # Menggunakan Notasi Slash Standar Iptables -a Input -S 192.168.0.0/255.255.255.0 -J Terima # Menggunakan Subnet Mask

Akhirnya, serta penyaringan terhadap satu alamat IP tunggal, kami juga dapat mencocokkan dengan alamat MAC untuk perangkat yang diberikan. Untuk melakukan ini, kita perlu memuat modul (modul Mac) yang memungkinkan penyaringan terhadap alamat MAC. Sebelumnya kami melihat contoh lain menggunakan modul untuk memperluas fungsionalitas iptables ketika kami menggunakan modul status agar cocok dengan paket yang mapan dan terkait. Di sini kami menggunakan modul Mac untuk memeriksa alamat MAC dari sumber paket selain alamat IP:

# Terima paket dari alamat IP tepercaya ptables -sa input -s 192.168.0.4 -m Mac --Mac -Source 00: 50: 8d: FD: E6: 32 -J Terima

Pertama kami gunakan -M Mac Untuk memuat modul Mac dan kemudian kami gunakan --Sumber Mac Untuk menentukan alamat MAC dari alamat IP sumber (192.168.0.4). Anda perlu mencari tahu alamat MAC dari setiap perangkat Ethernet yang ingin Anda filter. Berlari ifconfig (atau Iwconfig untuk perangkat nirkabel) karena root akan memberi Anda alamat MAC.

Ini mungkin berguna untuk mencegah spoofing alamat IP sumber karena akan memungkinkan paket apa pun yang benar -benar berasal dari tahun 192.168.0.4 (Memiliki Alamat MAC 00: 50: 8D: FD: E6: 32) tetapi akan memblokir paket apa pun yang dipalsukan berasal dari alamat itu. Catatan, pemfilteran alamat MAC tidak akan berfungsi di internet tetapi tentu saja berfungsi dengan baik pada LAN.

6. Port dan Protokol

Di atas, kami telah melihat bagaimana kami dapat menambahkan aturan ke firewall kami untuk memfilter paket yang cocok dengan antarmuka tertentu atau alamat IP sumber. Ini memungkinkan akses penuh melalui firewall kami ke sumber tepercaya tertentu (PC host). Sekarang kita akan melihat bagaimana kita dapat memfilter terhadap protokol dan port untuk lebih menyempurnakan paket apa yang kita izinkan dan apa yang kita blokir.

Sebelum kita bisa mulai, kita perlu tahu nomor protokol dan port apa yang digunakan layanan yang diberikan. Sebagai contoh sederhana, mari kita lihat BitTorrent. BitTorrent menggunakan protokol TCP di port 6881, jadi kita perlu mengizinkan semua paket TCP di port tujuan (port tempat mereka tiba di mesin kami) 6881:

# Terima paket TCP di port tujuan 6881 (BitTorrent) ptables -a input -p tcp - -Dort 6881 -J terima

Di sini kami menambahkan (-a) aturan untuk rantai input untuk paket yang cocok dengan protokol TCP (-P TCP) dan memasuki mesin kami di port tujuan 6881 (--DPOR 6881).

Catatan: Untuk menggunakan kecocokan seperti tujuan atau port sumber (--DPOR atau --olahraga), Anda harus Pertama tentukan protokol (TCP, UDP, ICMP, semua).

Kami juga dapat memperluas yang di atas untuk memasukkan rentang port, misalnya, memungkinkan semua paket TCP pada kisaran 6881 hingga 6890:

# Terima paket TCP di port tujuan 6881-6890 ptables -a input -p tcp -DPOR 6881: 6890 -J terima

7. Menyatukan semuanya

Sekarang kami telah melihat dasar -dasarnya, kami dapat mulai menggabungkan aturan ini.

Layanan Unix/Linux yang populer adalah layanan Secure Shell (SSH) yang memungkinkan login jarak jauh. Secara default SSH menggunakan port 22 dan sekali lagi menggunakan protokol TCP. Jadi jika kita ingin mengizinkan login jarak jauh, kita perlu mengizinkan koneksi TCP pada port 22:

# Terima paket TCP di port tujuan 22 (ssh) ptables -a input -p tcp - -dort 22 -j terima

Ini akan membuka port 22 (SSH) untuk semua koneksi TCP yang masuk yang menimbulkan ancaman keamanan potensial karena peretas dapat mencoba meretak paksa di akun dengan kata sandi yang lemah. Namun, jika kita tahu alamat IP mesin jarak jauh tepercaya yang akan digunakan untuk masuk menggunakan SSH, kita dapat membatasi akses hanya ke alamat IP sumber ini. Misalnya, jika kami hanya ingin membuka akses SSH di LAN pribadi kami (192.168.0.x), kita dapat membatasi akses hanya pada rentang alamat IP sumber ini:

# Terima paket TCP di port tujuan 22 (SSH) dari private lan iptables -a input -p tcp -s 192.168.0.0/24 -DPOR 22 -J Terima

Menggunakan sumber pemfilteran IP memungkinkan kami untuk membuka akses SSH dengan aman di port 22 untuk hanya alamat IP tepercaya. Misalnya, kami dapat menggunakan metode ini untuk memungkinkan login jarak jauh antara mesin kerja dan rumah. Untuk semua alamat IP lainnya, port (dan layanan) akan tampak ditutup seolah -olah layanan dinonaktifkan sehingga peretas menggunakan metode pemindaian port cenderung melewati kita.

8. Ringkasan

Kami hampir tidak menggaruk permukaan dari apa yang dapat dicapai dengan ptables, tetapi mudah -mudahan howto ini telah memberikan landasan yang baik dalam dasar -dasar dari mana seseorang dapat membangun set aturan yang lebih rumit.

9. Tautan

http: // ip2location.com/gratis/pengunjung -blocker – Untuk memblokir negara -negara tertentu sesuai dengan alamat IP mereka

Howtos/network/ptables (последним исправлagnate ползователь nedslider 2021-07-27 23:21:13)

• Moinmoin bertenaga
• Python bertenaga
• GPL berlisensi
• HTML 4 yang valid.01

Cara menonaktifkan atau mematikan firewalld di centos 7

Firewalld adalah solusi firewall yang dikelola secara dinamis yang mendukung zonasi jaringan. Admin sistem menggunakannya untuk memungkinkan dan melarang lalu lintas yang masuk dan keluar secara dinamis. Ini mendukung pengaturan firewall IPv4 dan IPv6. Pada Centos 7, FirewallD (Dynamic Firewall Manager) adalah alat firewall default di server Centos.

Kami menyarankan agar firewalld tetap aktif dan diaktifkan setiap saat. Namun, admin mungkin perlu menonaktifkan firewalld untuk menguji atau beralih ke alat firewall lain, seperti ptables.

Tutorial ini akan menunjukkan kepada Anda cara menonaktifkan dan menghentikan firewall di Centos 7.

• Seorang pengguna dengan hak istimewa sudo
• Akses ke baris perintah (ctrl-alt-t)
• Mesin centos 7

Periksa status firewalld

Firewalld diaktifkan secara default pada setiap mesin Centos 7.

Untuk memeriksa status firewalld, jalankan perintah berikut dari baris perintah:

Sudo Systemctl Status Firewalld

Jika firewall sedang berjalan, Anda akan melihat teks hijau cerah yang menunjukkan bahwa firewall aktif, seperti yang terlihat di bawah ini.

Menonaktifkan Firewall di Centos

Anda dapat menonaktifkan firewall untuk sementara atau secara permanen. Bagian di bawah ini memberikan instruksi untuk kedua opsi.

Hentikan sementara firewalld

Untuk menonaktifkan sementara Firewall Manager default di Centos 7, gunakan perintah berikut:

Sudo Systemctl Stop Firewalld

Tidak akan ada pesan konfirmasi.

Untuk memverifikasi bahwa firewalld dinonaktifkan, ketik:

Sudo Systemctl Status Firewalld

Anda bisa berharap untuk melihat Aktif: tidak aktif (mati) .

Itu Systemctl Stop firewalld Perintah menonaktifkan layanan sampai reboot. Setelah sesi runtime Anda berakhir dan sistem reboot, layanan firewalld akan aktif lagi.

Nonaktifkan secara permanen firewalld

Untuk menonaktifkan secara permanen firewall di Centos 7, Anda harus menghentikan layanan firewall dan kemudian menonaktifkannya.

Untuk menghentikan alat firewalld, jalankan:

Sudo Systemctl Stop Firewalld

Ini juga merupakan perintah yang sama yang kami gunakan untuk sementara menghentikan firewalld. Periksa status firewall.

Sudo Systemctl Status Firewalld

Output harus menyatakan bahwa layanan tidak aktif.

Untuk menonaktifkan layanan dari pengaktifan System Boot-up, masukkan perintah ini:

sudo systemctl nonaktifkan firewalld

Lihat gambar di bawah ini untuk output yang dapat Anda temukan:

Anda sekarang telah berhasil berhenti dan menonaktifkan layanan firewall di server Centos 7 Anda. Namun, layanan aktif lainnya mungkin mengaktifkan firewalld.

Untuk mencegah layanan lain dari mengaktifkan FirewallD, Mask Firewalld dari layanan lain pada sistem:

Sudo Systemctl Mask -Now Firewalld

Ini menciptakan tautan simbolis (symlink) dari layanan firewalld ke /dev/null .

Output akan muncul sebagai berikut:

Output dibuat symlink dari/etc/systemd/system/firewalld.Layanan ke /dev /null.

Dengan mengikuti tutorial ini, Anda sekarang tahu cara berhenti dan menonaktifkan firewall di Centos 7. Selain itu, Anda telah belajar cara menutupi layanan firewalld dari layanan aktif lainnya untuk menghindari reaktivasi.

Praktik keamanan yang baik melarang menonaktifkan firewall, terutama di server langsung. Selalu berhati -hati saat melakukannya, bahkan di lingkungan pengujian.

Menggunakan Firewalld di Centos 7

Firewalld adalah firewall untuk CentOS dan mendukung zona jaringan / firewall, untuk menetapkan tingkat kepercayaan koneksi / antarmuka jaringan (lihat paragraf zona). Selain kemampuan untuk mengelola port secara khusus, ini juga mendukung kemampuan untuk menambahkan layanan / aplikasi secara langsung.

• Hubungkan ke VPS Anda melalui SSH atau konsol VPS di panel kontrol Anda, dan gunakan sudo atau ikuti langkah -langkah dalam artikel ini sebagai pengguna root.
• Apakah Anda menggunakan Plesk VPS? Zona default dalam versi plesk baru-baru ini bukan publik, tetapi plesk (–zone = plesk).
• Instalasi plesk, directadmin dan cpanel kami dilengkapi dengan firewalld yang diinstal sebelumnya.

Memasang firewalld

Firewalld mudah diinstal menggunakan perintah berikut:

yum -y menginstal firewalld systemctl mengaktifkan firewalld

Memeriksa status firewalld

Sebelum Anda melanjutkan dengan konfigurasi firewalld, adalah bijaksana untuk memeriksa apakah itu memang berfungsi dengan benar. Anda melakukan ini dengan perintah:

Systemctl Status Firewalld

Jika tidak ada masalah, input akan terlihat seperti ini:

Jika tidak menyatakan bahwa firewalld aktif, cobalah untuk memulai kembali dengan:

SystemctL Restart firewalld

Apakah firewalld masih belum dimulai? Periksa kemungkinan pesan kesalahan untuk menyelesaikan masalah dengan:

journalctl -xe -u firewalld

Zona

Firewalld menggunakan zona, tapi apa artinya ini? Dengan zona, Anda benar -benar menunjukkan dalam lingkungan seperti apa koneksi internet Anda berada dan seberapa besar Anda mempercayainya, misalnya, koneksi publik, rumah atau pekerjaan. Ini sangat berguna jika Anda menggunakan jaringan pribadi, misalnya, atau menggunakan Centos 7 pada laptop dan bekerja dari berbagai lokasi. Anda kemudian dapat mengkonfigurasi zona yang berbeda di muka, dan menyesuaikan zona aktif Anda tergantung di mana Anda berada.

Dengan mengkonfigurasi zona yang berbeda, Anda dapat membedakan antara layanan / port mana yang dapat diakses, tergantung di mana Anda berada dan zona mana yang Anda gunakan. Anda sering menggunakan hanya satu zona pada VPS karena VPS tidak berubah dari rumah / pekerjaan / lingkungan publik.

Out-of-the-box, firewalld dilengkapi dengan zona berikut:

• menjatuhkan: Semua koneksi yang masuk ditolak. Koneksi keluar dimungkinkan.
• memblokir: Semua koneksi yang masuk ditolak dengan pesan default untuk sumber koneksi yang masuk. Untuk IPv4, ini adalah ICMP-Host-HoBited dan untuk IPv6 ICMP6-ADM-diproduksi (ICMP adalah default untuk mengirim informasi dan pesan kesalahan dalam lalu lintas IP). Koneksi keluar adalah mungkin.
• publik: Gunakan zona ini untuk lingkungan publik di mana Anda tidak mempercayai komputer lain di jaringan. Hanya koneksi yang telah ditentukan (i.e. port / layanan) diterima.
• luar: Ini terutama difokuskan pada jika firewall Anda berfungsi sebagai gateway dan penyamaran nat digunakan. Anda tidak mempercayai komputer lain di jaringan dan hanya koneksi yang telah dikonfigurasi sebelumnya yang diterima.
• DMZ: Zona demiliterisasi, di mana komputer / server terisolasi di jaringan dan tidak memiliki akses ke komputer / server lain. Hanya koneksi khusus yang diterima.
• bekerja: Untuk lingkungan kerja. Biasanya, komputer lain dipercaya di jaringan yang sama. Sekali lagi, hanya koneksi yang telah ditentukan yang diterima.
• rumah: Untuk penggunaan di rumah. Hal yang sama berlaku seperti di zona ‘pekerjaan’. Perhatikan bahwa koneksi di tempat kerja seringkali lebih baik diamankan daripada di jaringan rumah.
• intern: Untuk digunakan dengan jaringan pribadi. Komputer di jaringan ini biasanya dipercaya. Hanya koneksi yang telah ditentukan yang diterima.
• tepercaya: Semua koneksi diterima.

Mengelola zona

Firewalld hadir dengan berbagai perintah yang berguna untuk mengelola zona Anda. Di bagian ini, kami menjelaskan yang paling penting.

Memeriksa zona default

Secara default, ‘publik‘Zona adalah zona default. Anda memeriksa zona default dengan perintah:

firewall-cmd --get-default-zone

Memeriksa zona aktif

Mungkin terjadi bahwa Anda mengubah zona aktif, tetapi bukan zona default. Anda memeriksa zona aktif dan antarmuka jaringan yang digunakannya:

firewall-cmd --get-aktif-zona

Periksa zona yang tersedia

Anda memeriksa zona yang tersedia dengan perintah:

firewall-cmd --get-zones

Ini sangat berguna jika Anda ingin mengubah zona dan pertama -tama ingin melihat pilihan Anda.

Informasi zona terperinci

Informasi terperinci seperti layanan resmi dan porting, tetapi juga penerusan port dll. dapat dilihat dengan:

firewall-cmd --zone = public ---list-all

Mengubah ‘publik‘Ke zona yang diinginkan, atau lihat output untuk semua zona dengan:

firewall-cmd --list-all-zones | lebih sedikit

Mengubah zona default

Untuk mengubah zona default, Anda memiliki dua opsi: ubah zona untuk semua antarmuka, atau per antarmuka. Misalkan Anda menggunakan satu antarmuka jaringan (dan bukan juga jaringan pribadi), maka penggunaan satu zona sudah cukup, dan Anda mungkin juga menyesuaikan zona default saat mengubah zona.

Sesuaikan zona untuk semua antarmuka:

firewall-cmd --tet-default-zone = publik

firewall-cmd --zone = public --change-interface = eth0

Mengganti publik dengan nama zona yang diinginkan, dan eth0 dengan nama antarmuka jaringan yang diinginkan. Dengan cara ini, Anda juga dapat mengubah zona per antarmuka untuk jaringan pribadi, misalnya:

firewall-cmd --zone = public --change-interface = eth0 firewall-cmd --zone = internal --change-interface = eth1

Pembukaan port

Anda dapat membuka port di firewalld atau menambahkan layanan untuk memberikan akses jaringan ke aplikasi. Tidak setiap aplikasi dilengkapi dengan layanan, atau mungkin Anda mengubah port default layanan (e.G. untuk ssh). Dalam hal ini, Anda membuka satu atau lebih port spesifik.

Setiap perubahan dalam bagian ini hanya aktif setelah restart VPS Anda, atau dengan memuat kembali konfigurasi Anda dengan:

firewall-cmd --eload

Membuka satu port

Anda membuka port dengan perintah:

firewall-cmd --zone = publik --permanent --add-port = 1234/tcp

• Mengganti publik dengan zona yang diinginkan
• –permanen memastikan bahwa perubahan tetap utuh bahkan setelah restart
• Mengganti 1234/TCP dengan port yang diinginkan dan protokol yang diinginkan (TCP atau UDP)

Rentang pembukaan

Apakah Anda lebih suka membuka rentang? Kemudian Anda menggunakan perintah:

firewall-cmd --zone = publik --permanent --add-port = 1234-1345/tcp

Ganti 1234-1345 dengan rentang port aktual yang ingin Anda buka

Akses per ip

Alih -alih membuka port untuk seluruh dunia yang luas, Anda juga dapat membukanya untuk IP tertentu hanya menggunakan perintah:

firewall-cmd --permanent --zone = public --add-rich-rule = ' aturan keluarga = "ipv4" alamat sumber = "123.123.123.123 "Protokol port =" tcp "port =" 123 "terima '

Mengganti 123.123.123.123 oleh alamat IP aktual klien dan 123 oleh port yang ingin Anda buka. Ulangi langkah-langkah ini untuk membuat daftar putih banyak IP dan muat ulang konfigurasi Anda setelahnya (firewall-cmd –eload). Jangan lupa untuk menghapus aturan umum jika port yang sesuai sudah dibuka secara umum.

Memeriksa port terbuka

Seiring waktu, Anda mungkin lupa port mana yang terbuka. Anda memeriksanya dengan perintah:

firewall-cmd --zone = public --permanent-list-ports

Port penutup

Penutupan port bekerja hampir sama dengan membuka port dan Anda melakukannya dengan perintah:

firewall-cmd --zone = public --permanent ---remove-port = 1234/tcp firewall-cmd ---reload

• mengganti 1234 dengan nomor port yang diinginkan, atau gunakan 1234-1345/tcp sebagai sintaks untuk menghapus rentang port
• firewall-cmd –eload segera memperbarui perubahan konfigurasi Anda

Menyesuaikan konfigurasi secara langsung

Selain perintah di atas, Anda juga dapat secara langsung menyesuaikan file konfigurasi zona tertentu. Anda dapat menemukan file konfigurasi zona dengan:

ls/etc/firewalld/zona

Dalam instalasi baru, hanya publik.xml dan publik.xml.Lama akan terdaftar di sini. Anda dapat membuka dan mengeditnya dengan perintah:

nano/etc/firewalld/zona/publik.xml

Anda dapat membuka layanan atau port dengan masing -masing menempatkan penambahan berikut dalam file:

• Ganti nama layanan dengan nama sebenarnya dari layanan ini, misalnya, ssh.
• Ganti 1234 dengan nomor yang diinginkan dan TCP dengan UDP jika Anda yakin ingin membuka port UDP.

Apakah Anda ingin membuat file konfigurasi baru untuk zona lain, misalnya, rumah? Lalu publik.xml.Tua adalah titik awal yang bagus. Anda mengubah publik.xml.lama ke file untuk zona lain dengan menyalinnya dengan:

cp/etc/firewalld/zona/publik.xml.Old/etc/firewalld/zona/rumah.xml

• Ganti rumah dengan nama zona yang diinginkan.

Menambahkan Layanan

Selain membuka port, Anda juga dapat membuka layanan khusus di Firewalld. Anda kemudian menambahkan layanan dalam firewalld dan satu atau lebih port kemudian dibuka. Ada catatan tambahan di sini:

Firewalld menggunakan file konfigurasi (lihat layanan yang tersedia) di mana port dari berbagai layanan didefinisikan. Port ini dibuka saat layanan ditambahkan. Misalnya, jika Anda mengubah port SSH Anda, jika Anda telah menambahkan layanan SSH, port baru tidak akan terbuka secara otomatis kecuali Anda membuka port secara manual atau menyesuaikan konfigurasi layanan di FireWallD.

Anda membuka layanan di firewalld dengan perintah berikut, di mana Anda mengganti SSH dengan nama layanan yang relevan:

firewall-cmd --zone = public --permanent --add-service = ssh firewall-cmd-reload

Ada dua cara untuk melihat layanan mana yang tersedia untuk digunakan dengan firewalld:

Dengan perintah langsung:

firewall-cmd --get-services

LS/USR/LIB/FIREWALLD/LAYANAN

Isi file yang tersedia dapat dilihat dengan:

Cat/usr/lib/firewalld/services/servicenaam.xml

Menghapus layanan

Anda dapat menghapus layanan semudah Anda menambahkannya di Firewalld:

firewall-cmd --zone = public --permanent ---demove-service = ssh firewall-cmd-reload

Memblokir IPS

Dapat terjadi bahwa VPS Anda dibombardir dengan serangan brute-force oleh bot. Kami menyarankan Anda untuk menyelesaikan ini dengan menggunakan Fail2ban, tetapi Anda juga dapat memblokir IP secara manual. Anda melakukan ini dengan perintah:

firewall-cmd --permanent --add-rich-rule = "aturan keluarga = 'ipv4' alamat = '123.123.123.0/24 'tolak "firewall-cmd --road

Ganti 123.123.123.0/24 dengan rentang IP spesifik yang ingin Anda blokir, atau dengan alamat IP tertentu jika Anda ingin memblokir satu IP.

Atau, Anda juga dapat mengubah prinsip ini dan memblokir akses ke port untuk semua orang dan hanya mengizinkan IP tertentu. Anda pertama kali menghapus port yang relevan:

firewall-cmd --zone = public --smanent ---demove-port = 1234/tcp

Ganti publik dengan zona yang relevan, 1234 dan TCP dengan port / protokol yang diinginkan. Kemudian, Anda dapat mengakses IP tertentu dengan perintah:

firewall-cmd --permanent --zone = public --add-rich-rule = 'aturan keluarga = "ipv4" alamat sumber = "1.2.3.4 "port protocol =" tcp "port =" 1234 "terima 'firewall-cmd-reload

Jika perlu, ganti publik dengan zona yang diinginkan, 1.2.3.4. dengan IP yang benar dan 1234 dan TCP dengan nomor port / protokol yang benar.

Memeriksa port yang diblokir

Misalkan alamat IP memiliki masalah mencapai layanan pada VPS Anda, maka berguna untuk mengecualikan jika diblokir pada VPS Anda. Anda melakukan ini dengan perintah:

firewall-cmd-list-all

IP yang membongkar blokir

Untuk membuka blokir IP yang diblokir dalam firewalld, dapat dengan cara tertentu, Anda membalikkan perintah dari bagian sebelumnya. Misalkan Anda telah memblokir rentang IP / IP, Anda kemudian menggunakan sintaks:

firewall-cmd --permanent ---bove-rich-rule = "aturan keluarga = 'ipv4' alamat = '123.123.123.0/24 'tolak "firewall-cmd --road

Jangan lupa untuk menyesuaikan IP di sini. Sudahkah Anda memberikan akses alamat IP tertentu ke port dan apakah Anda ingin membatalkannya? Kemudian gunakan:

firewall-cmd --permanent --zone = publik--remove-rich-rule = 'aturan keluarga = "ipv4" alamat sumber = "1.2.3.4 "port protocol =" tcp "port =" 1234 "terima 'firewall-cmd-reload

Apakah Anda ingin tahu lebih banyak tentang firewalld? Beri tahu kami dan lihat dokumentasi Firewalld sendiri.

Jika Anda memiliki pertanyaan tersisa tentang artikel ini, jangan ragu untuk menghubungi departemen dukungan kami. Anda dapat menjangkau mereka melalui ‘Hubungi kami’ tombol di bagian bawah halaman ini.

Jika Anda ingin mendiskusikan artikel ini dengan pengguna lain, silakan tinggalkan pesan di bawah ‘Komentar‘.

• Dalam artikel ini:
• Memasang firewalld
• Memeriksa status firewalld
• Zona
• Mengelola zona
• Pembukaan port
• Port penutup
• Menambahkan Layanan
• Menghapus layanan
• Memblokir IPS
• IP yang membongkar blokir

Cara mengatur firewall menggunakan firewalld di centos 7

Firewalld adalah solusi manajemen firewall yang tersedia untuk banyak distribusi Linux yang bertindak sebagai frontend untuk sistem penyaringan paket iptables yang disediakan oleh kernel linux. Dalam panduan ini, kami akan membahas cara mengatur firewall untuk server Anda dan menunjukkan kepada Anda dasar-dasar mengelola firewall dengan alat administrasi firewall-cmd (jika Anda’D lebih suka menggunakan iptables dengan centos, ikuti panduan ini).

Catatan: Ada kemungkinan Anda mungkin bekerja dengan versi FirewallD yang lebih baru daripada yang tersedia pada saat penulisan ini, atau bahwa server Anda diatur sedikit berbeda dari server contoh yang digunakan di seluruh panduan ini. Perilaku beberapa perintah yang dijelaskan dalam panduan ini dapat bervariasi tergantung pada konfigurasi spesifik Anda.

Konsep Dasar dalam Firewalld

Sebelum kita mulai berbicara tentang cara benar-benar menggunakan utilitas firewall-cmd untuk mengelola konfigurasi firewall Anda, kami harus terbiasa dengan beberapa konsep dasar yang diperkenalkan alat tersebut.

Zona

Firewalld Daemon mengelola kelompok aturan menggunakan entitas yang disebut “zona”. Zona pada dasarnya adalah set aturan yang menentukan lalu lintas apa yang harus diizinkan tergantung pada tingkat kepercayaan yang Anda miliki di jaringan yang terhubung dengan komputer Anda. Antarmuka jaringan diberi zona untuk menentukan perilaku yang harus diizinkan oleh firewall.

Untuk komputer yang mungkin sering bergerak antar jaringan (seperti laptop), fleksibilitas semacam ini memberikan metode yang baik untuk mengubah aturan Anda tergantung pada lingkungan Anda. Anda mungkin memiliki aturan ketat yang melarang sebagian besar lalu lintas saat beroperasi di jaringan WiFi publik, sambil memungkinkan pembatasan yang lebih santai saat terhubung ke jaringan rumah Anda. Untuk server, zona ini tidak segera penting karena lingkungan jaringan jarang, jika pernah, berubah.

Terlepas dari seberapa dinamis lingkungan jaringan Anda, masih berguna untuk terbiasa dengan ide umum di balik masing -masing zona yang telah ditentukan untuk firewalld . Dalam urutan dari paling tidak dipercaya ke Paling tepercaya, Zona yang telah ditentukan dalam firewalld adalah:

• menjatuhkan: Tingkat kepercayaan terendah. Semua koneksi yang masuk dijatuhkan tanpa balasan dan hanya koneksi keluar.
• memblokir: Mirip dengan hal di atas, tetapi alih-alih hanya menjatuhkan koneksi, permintaan yang masuk ditolak dengan pesan yang diproduksi oleh ICMP-host atau ICMP6-ADM.
• publik: Mewakili jaringan publik dan tidak percaya. Kamu don’t mempercayai komputer lain tetapi memungkinkan koneksi masuk yang dipilih berdasarkan kasus per kasus.
• luar: Jaringan Eksternal Jika Anda menggunakan firewall sebagai gateway Anda. Ini dikonfigurasi untuk Nat Masquerading sehingga jaringan internal Anda tetap pribadi tetapi dapat dijangkau.
• intern: Sisi lain dari zona eksternal, digunakan untuk bagian internal gateway. Komputer cukup dapat dipercaya dan beberapa layanan tambahan tersedia.
• DMZ: Digunakan untuk komputer yang terletak di DMZ (komputer terisolasi yang tidak akan memiliki akses ke jaringan Anda yang lain). Hanya koneksi masuk tertentu yang diizinkan.
• bekerja: Digunakan untuk mesin kerja. Percayai sebagian besar komputer di jaringan. Beberapa layanan lagi mungkin diizinkan.
• rumah: Lingkungan rumah. Ini umumnya menyiratkan bahwa Anda mempercayai sebagian besar komputer lain dan bahwa beberapa layanan akan diterima.
• tepercaya: Percayai semua mesin di jaringan. Opsi paling terbuka yang tersedia dan harus digunakan dengan hemat.

Untuk menggunakan firewall, kami dapat membuat aturan dan mengubah sifat zona kami dan kemudian menetapkan antarmuka jaringan kami ke zona mana pun yang paling tepat.

Aturan keabadian

Dalam firewalld, aturan dapat ditetapkan sebagai permanen atau langsung. Jika aturan ditambahkan atau dimodifikasi, secara default, perilaku firewall yang sedang berjalan dimodifikasi. Pada boot berikutnya, modifikasi akan dibuang dan aturan lama akan diterapkan.

Sebagian besar operasi firewall-CMD dapat mengambil-bendera yang lebih manusien untuk menunjukkan bahwa firewall non-akhir harus ditargetkan. Ini akan mempengaruhi rangkaian aturan yang dimuat ulang saat boot. Pemisahan ini berarti Anda dapat menguji aturan dalam instance firewall aktif Anda dan kemudian memuat ulang jika ada masalah. Anda juga dapat menggunakan bendera -Permanent untuk membangun seluruh rangkaian aturan dari waktu ke waktu yang semuanya akan diterapkan sekaligus ketika perintah Reload dikeluarkan.

Instal dan aktifkan firewall Anda untuk memulai saat boot

Firewalld diinstal secara default pada beberapa distribusi Linux, termasuk banyak gambar Centos 7. Namun, mungkin perlu bagi Anda untuk memasang firewalld sendiri:

Setelah Anda menginstal FirewallD, Anda dapat mengaktifkan layanan dan reboot server Anda. Perlu diingat bahwa memungkinkan firewalld akan menyebabkan layanan memulai boot. Merupakan praktik terbaik untuk membuat aturan firewall Anda dan mengambil kesempatan untuk mengujinya sebelum mengkonfigurasi perilaku ini untuk menghindari masalah potensial.

Saat server restart, firewall Anda harus dibesarkan, antarmuka jaringan Anda harus dimasukkan ke zona yang Anda konfigurasi (atau kembali ke zona default yang dikonfigurasi), dan aturan apa pun yang terkait dengan zona akan diterapkan ke antarmuka yang terkait.

Kami dapat memverifikasi bahwa layanan berjalan dan dapat dijangkau dengan mengetik:

Keluaran
berlari 

Ini menunjukkan bahwa firewall kami sedang berjalan dan berjalan dengan konfigurasi default.

Terbiasa dengan aturan firewall saat ini

Sebelum kita mulai melakukan modifikasi, kita harus membiasakan diri dengan lingkungan dan aturan default yang disediakan oleh daemon.

Menjelajahi default

Kita dapat melihat zona mana yang saat ini dipilih sebagai default dengan mengetik:

Keluaran
publik 

Sejak kami Haven’t diberikan firewalld setiap perintah untuk menyimpang dari zona default, dan tidak ada antarmuka kami yang dikonfigurasi untuk mengikat ke zona lain, zona itu juga akan menjadi satu -satunya “aktif” zona (zona yang mengendalikan lalu lintas untuk antarmuka kami). Kita dapat memverifikasi itu dengan mengetik:

Keluaran
Antarmuka publik: eth0 eth1 

Di sini, kita dapat melihat bahwa server contoh kami memiliki dua antarmuka jaringan yang dikendalikan oleh firewall (eth0 dan eth1). Mereka berdua saat ini dikelola sesuai dengan aturan yang ditentukan untuk zona publik.

Bagaimana kita tahu aturan apa yang terkait dengan zona publik? Kita dapat mencetak zona default’Konfigurasi dengan mengetik:

Keluaran
Target publik (default, aktif): ICMP-block-inversion-inversi: Tidak ada antarmuka: Eth0 Eth1 Sumber: Layanan: SSH DHCPV6-CLIENT Ports: Protokol: Masquerade: No Forward-Ports: Source-Ports: ICMP-Blocks: Rich Rules: 

Kita dapat mengetahui dari output bahwa zona ini adalah default dan aktif dan bahwa antarmuka ETH0 dan ETH1 dikaitkan dengan zona ini (kami sudah tahu semua ini dari pertanyaan kami sebelumnya). Namun, kami juga dapat melihat bahwa zona ini memungkinkan operasi normal yang terkait dengan klien DHCP (untuk penugasan alamat IP) dan SSH (untuk administrasi jarak jauh).

Menjelajahi zona alternatif

Sekarang kami memiliki ide bagus tentang konfigurasi untuk zona default dan aktif. Kami juga dapat mengetahui informasi tentang zona lain.

Untuk mendapatkan daftar zona yang tersedia, ketik:

Keluaran
Blok DMZ Drop Eksternal Rumah Internal Pekerjaan Tepercaya Publik 

Kita dapat melihat konfigurasi spesifik yang terkait dengan zona dengan memasukkan –zone = parameter dalam perintah–list-all kami:

Keluaran
Target Rumah: Default ICMP-Block-Inversion: Tidak Ada Antarmuka: Sumber: Layanan: DHCPV6-CLient MDNS Samba-Client SSH Ports: Protokol: Masquerade: Tidak ada portir maju: Sumber-ports: ICMP-blok: Aturan Kaya: 

Anda dapat mengeluarkan semua definisi zona dengan menggunakan opsi-list-semua-zona. Anda mungkin ingin menyalakan output ke pager agar lebih mudah dilihat:

Memilih zona untuk antarmuka Anda

Kecuali jika Anda telah mengonfigurasi antarmuka jaringan Anda sebaliknya, setiap antarmuka akan diletakkan di zona default saat firewall di -boot.

Mengubah zona antarmuka

Anda dapat mentransisikan antarmuka antar zona selama sesi dengan menggunakan parameter –zone = dalam kombinasi dengan parameter –change-interface =. Seperti semua perintah yang memodifikasi firewall, Anda perlu menggunakan sudo .

Misalnya, kita dapat mentransisikan antarmuka eth0 kita ke “rumah” zona dengan mengetik ini:

Keluaran
kesuksesan 

Catatan: Setiap kali Anda mentransisikan antarmuka ke zona baru, ketahuilah bahwa Anda mungkin memodifikasi layanan yang akan beroperasi. Misalnya, di sini kita pindah ke “rumah” zona, yang memiliki ssh tersedia. Ini berarti bahwa koneksi kita seharusnya’t drop. Beberapa zona lain tidak memiliki SSH yang diaktifkan secara default dan jika koneksi Anda dijatuhkan saat menggunakan salah satu zona ini, Anda dapat menemukan diri Anda tidak dapat masuk kembali.

Kami dapat memverifikasi bahwa ini berhasil dengan meminta zona aktif lagi:

Keluaran
Antarmuka Rumah: Antarmuka Publik ETH0: ETH1 

Menyesuaikan zona default

Jika semua antarmuka Anda paling baik ditangani oleh zona tunggal, itu’S mungkin lebih mudah untuk memilih zona default terbaik dan kemudian menggunakannya untuk konfigurasi Anda.

Anda dapat mengubah zona default dengan parameter –tet-default-zone =. Ini akan segera mengubah antarmuka apa pun yang telah kembali pada default ke zona baru:

Keluaran
kesuksesan 

Mengatur aturan untuk aplikasi Anda

Cara dasar untuk mendefinisikan pengecualian firewall untuk layanan yang ingin Anda sediakan cukup mudah. Kami’LL menjalankan ide dasar di sini.

Menambahkan Layanan ke Zona Anda

Metode paling sederhana adalah menambahkan layanan atau port yang Anda butuhkan ke zona yang Anda gunakan. Sekali lagi, Anda bisa mendapatkan daftar layanan yang tersedia dengan opsi –get-services:

Keluaran
RH-Satellite-6 Amanda-Client Amanda-K5-Client Bacula Bacula-Klien Bitcoin Bitcoin-RPC Bitcoin-Testnet Bitcoin-Testnet-Rpc Ceph Ceph-Mon Cfengine Collector-Collector-Ctdb Dhcp Dhcpv6 Dhcpv6-Collect DNSLOM DNLOK-DHCP DHCPv6 Eklikasi freeipa-trust ftp ganglia-client ganglia-master ketersediaan tinggi http https imap imap ipp ipp-client ipsec iscsi-target kadmin kerberos kibana klogin kpasswd msmage mcsd-moMaVe-mmage msage-msmage ldap ldap lbvirt-tls msage msage msage msage msage-msmage msage-msmage msage-msmage msage-mmage msage-mmage msage-mmage msage-msmage ldap ldap libvirt-tls msage ntp openvpn ovirt-imageio ovirt-storageconsole ovirt-vmconsole pmcd pmproxy pmwebapi pmwebapis pop3 pop3s postgreSql proxy-dhcp ptp pulseAdio smpetmaster smangkik smpan smpan smpsel smpsel smpsel smpsel smpsel smpsel smpel smpel smpsel smpsel smpsel smpsel smpsel smpsel smpsel smpsel smpsel smpsel smpsel smpsel smpsel smpcan sm-subsel sm-subsel smpc MP snmptrap spideroak-lansync cquid ssh synergy syslog syslog-tls telnet tftp tftp-klien tinc tor-socks transmisi-klien vdsm vnc-server wbem-https xmpp-bosh xmpp-client xmpp-local xmpp-server 

Catatan: Anda bisa mendapatkan lebih banyak detail tentang masing -masing layanan ini dengan melihat hubungan mereka yang terkait .File XML dalam direktori/usr/lib/firewalld/layanan. Misalnya, layanan SSH didefinisikan seperti ini:

/usr/lib/firewalld/services/ssh.xml

 melayani> pendek>Sshpendek> keterangan>Secure Shell (SSH) adalah protokol untuk masuk dan mengeksekusi perintah pada mesin jarak jauh. Ini menyediakan komunikasi terenkripsi yang aman. Jika Anda berencana mengakses mesin Anda dari jarak jauh melalui SSH melalui antarmuka firewall, aktifkan opsi ini. Anda memerlukan paket openssh-server yang diinstal agar opsi ini bermanfaat.keterangan> pelabuhan protokol="TCP" pelabuhan="22"/> melayani> 

Anda dapat mengaktifkan layanan untuk zona menggunakan –add-service = parameter. Operasi akan menargetkan zona default atau zona apa pun yang ditentukan oleh –zone = parameter. Secara default, ini hanya akan menyesuaikan sesi firewall saat ini. Anda dapat menyesuaikan konfigurasi firewall permanen dengan memasukkan bendera -permanen.

Misalnya, jika kami menjalankan server web yang melayani lalu lintas HTTP konvensional, kami dapat mengizinkan lalu lintas ini untuk antarmuka di kami “publik” zona untuk sesi ini dengan mengetik:

Anda dapat meninggalkan –zone = jika Anda ingin memodifikasi zona default. Kita dapat memverifikasi operasi berhasil dengan menggunakan operasi-list-all atau–list-layanan:

Keluaran
DHCPV6-CLIENT http ssh 

Setelah Anda menguji bahwa semuanya berfungsi sebagaimana mestinya, Anda mungkin ingin memodifikasi aturan firewall permanen sehingga layanan Anda masih akan tersedia setelah reboot. Kita bisa membuat kita “publik” Perubahan zona permanen dengan mengetik:

Keluaran
kesuksesan 

Anda dapat memverifikasi bahwa ini berhasil dengan menambahkan bendera-permanen ke operasi-daftar layanan. Anda perlu menggunakan sudo untuk operasi yang lebih besar:

Keluaran
DHCPV6-CLIENT http ssh 

Milikmu “publik” zona sekarang akan memungkinkan lalu lintas web http di port 80. Jika server web Anda dikonfigurasi untuk menggunakan SSL/TLS, Anda’ll juga ingin menambahkan layanan https. Kami dapat menambahkannya ke sesi saat ini dan aturan permanen dengan mengetik:

Bagaimana jika tidak ada layanan yang sesuai tersedia?

Layanan firewall yang disertakan dengan instalasi firewalld mewakili banyak persyaratan paling umum untuk aplikasi yang mungkin Anda inginkan untuk mengizinkan akses. Namun, kemungkinan akan ada skenario di mana layanan ini tidak sesuai dengan kebutuhan Anda.

Dalam situasi ini, Anda memiliki dua opsi.

Membuka port untuk zona Anda

Salah satu cara untuk menambahkan dukungan untuk aplikasi spesifik Anda adalah dengan membuka port yang digunakannya di zona yang sesuai. Ini dilakukan dengan menentukan port atau rentang port, dan protokol terkait untuk port yang perlu Anda buka.

Misalnya, jika aplikasi kami berjalan di port 5000 dan menggunakan TCP, kami dapat menambahkan ini ke “publik” zona untuk sesi ini menggunakan parameter –add-port =. Protokol dapat berupa TCP atau UDP:

Keluaran
kesuksesan 

Kami dapat memverifikasi bahwa ini berhasil menggunakan operasi-list-ports:

Keluaran
5000/TCP 

Dimungkinkan juga untuk menentukan kisaran sekuensial port dengan memisahkan port awal dan akhir dalam kisaran dengan tanda hubung. Misalnya, jika aplikasi kami menggunakan port UDP 4990 hingga 4999, kami dapat membukanya “publik” dengan mengetik:

Setelah pengujian, kami mungkin ingin menambahkan ini ke firewall permanen. Anda bisa melakukannya dengan mengetik:

Keluaran
Sukses Sukses 5000/TCP 4990-4999/UDP 

Mendefinisikan layanan

Membuka port untuk zona Anda itu mudah, tetapi mungkin sulit untuk melacak untuk apa masing -masing. Jika Anda pernah menonaktifkan layanan di server Anda, Anda mungkin kesulitan mengingat port mana yang telah dibuka masih diperlukan. Untuk menghindari situasi ini, adalah mungkin untuk mendefinisikan layanan.

Layanan adalah koleksi port dengan nama dan deskripsi terkait. Menggunakan layanan lebih mudah dikelola daripada port, tetapi membutuhkan sedikit pekerjaan di muka. Cara yang baik untuk memulai adalah dengan menyalin skrip yang ada (ditemukan di/usr/lib/firewalld/layanan) ke direktori/etc/firewalld/layanan di mana firewall mencari definisi non-standar.

Misalnya, kami dapat menyalin definisi layanan SSH untuk digunakan untuk kami “contoh” Definisi layanan seperti ini. Nama file dikurangi .XML Suffix akan menentukan nama layanan dalam daftar Layanan Firewall:

Sekarang, Anda dapat menyesuaikan definisi yang ditemukan dalam file yang Anda salin:

Untuk memulai, file akan berisi definisi SSH yang Anda salin:

/etc/firewalld/layanan/contoh.xml

 melayani> pendek>Sshpendek> keterangan>Secure Shell (SSH) adalah protokol untuk masuk dan mengeksekusi perintah pada mesin jarak jauh. Ini menyediakan komunikasi terenkripsi yang aman. Jika Anda berencana mengakses mesin Anda dari jarak jauh melalui SSH melalui antarmuka firewall, aktifkan opsi ini. Anda memerlukan paket openssh-server yang diinstal agar opsi ini bermanfaat.keterangan> pelabuhan protokol="TCP" pelabuhan="22"/> melayani> 

Mayoritas definisi ini sebenarnya adalah metadata. Anda akan ingin mengubah nama pendek untuk layanan di dalam tag. Ini adalah nama yang dapat dibaca manusia untuk layanan Anda. Anda juga harus menambahkan deskripsi sehingga Anda memiliki informasi lebih lanjut jika Anda perlu mengaudit layanan tersebut. Satu -satunya konfigurasi yang perlu Anda buat yang benar -benar mempengaruhi fungsionalitas layanan kemungkinan akan menjadi definisi port di mana Anda mengidentifikasi nomor port dan protokol yang ingin Anda buka. Ini dapat ditentukan beberapa kali.

Untuk kita “contoh” Layanan, bayangkan bahwa kita perlu membuka port 7777 untuk TCP dan 8888 untuk UDP. Dengan memasukkan mode insert dengan menekan i, kita dapat memodifikasi definisi yang ada dengan sesuatu seperti ini:

/etc/firewalld/layanan/contoh.xml

 melayani> pendek>Layanan contohpendek> keterangan>Ini hanyalah contoh layanan. Itu mungkin tidak boleh digunakan pada sistem nyata.keterangan> pelabuhan protokol="TCP" pelabuhan="7777"/> pelabuhan protokol="UDP" pelabuhan="8888"/> melayani> 

Tekan ESC, lalu masukkan: x untuk menyimpan dan menutup file.

Muat ulang firewall Anda untuk mendapatkan akses ke layanan baru Anda:

Anda dapat melihat bahwa itu sekarang termasuk dalam daftar layanan yang tersedia:

Keluaran
RH-Satellite-6 amanda-client amanda-k5-client bacula bacula-client bitcoin bitcoin-rpc bitcoin-testnet bitcoin-testnet-rpc ceph ceph-mon cfengine condor-collector ctdb dhcp dhcpv6 dhcpv6-client dns docker-registry dropbox-lansync elasticsearch contoh freeipa-ldap freeipa-ldaps-freeipa-replikasi freeipa-trust ftp ganglia-client ganglia-master ketersediaan tinggi http https imap iMap ippp-client ipsec iScSi-target mosh ldap-wv ldap-wv ldap-wv ldap-wv ldap-wv ldap-wv-wv Bt mssql mysql nfs nrpe ntp openvpn ovirt-imageio ovirt-storageconsole ovirt-vmconsole pmcd pmproxy pmwebapi pmwebapis pop3s POP3S proxy soMsy soMsy roMSy soMSy sang-dhcp PTP PUSSAUDIO PUTRACMASPRIPSY SHAPLION SHAPLENE SPPETPEKS RABSY SPPETPEKS PLUSACADIO SHAPKEPY SHAPLENPPET SUPSY SHAPCPPREPSY SPRIUS PUPSAADIO SHAPCAS SHAPCMASI SHAPCASI SHAPCPPREPSY SHAPCPPREPPAS SIPS SMTP SMTP-Submisi SMTPS Snmp Snmptrap Spideroak-Lansync Squid Ssh Synergy Syslog Syslog-Tls Telnet Tftp Tftp-Client TINC Tor-Socks Klien-Klien VDSM VNC-Server WBEMP-HTPPPPPPPPPPPPPPPPPPPPPPPPPPPPPPPPPPPPPPPPPPPPPLPPPPPPPPPPLPPPPPLPPPPPLPPPLPPPLPPPLPPLPPPLEMPPLEMPPER 

Anda sekarang dapat menggunakan layanan ini di zona Anda seperti biasanya.

Membuat zona Anda sendiri

Meskipun zona yang telah ditentukan mungkin akan lebih dari cukup untuk sebagian besar pengguna, akan sangat membantu untuk menentukan zona Anda sendiri yang lebih deskriptif dari fungsinya.

Misalnya, Anda mungkin ingin membuat zona untuk server web Anda, dipanggil “publicweb”. Namun, Anda mungkin ingin memiliki zona lain yang dikonfigurasi untuk layanan DNS yang Anda berikan di jaringan pribadi Anda. Anda mungkin ingin zona dipanggil “Privatedns” untuk itu.

Saat menambahkan zona, Anda harus menambahkannya ke konfigurasi firewall permanen. Anda kemudian dapat memuat ulang untuk membawa konfigurasi ke sesi berjalan Anda. Misalnya, kami dapat membuat dua zona yang kami bahas di atas dengan mengetik:

Anda dapat memverifikasi bahwa ini ada dalam konfigurasi permanen Anda dengan mengetik:

Keluaran
blok DMZ Drop External Home Internal Privatedns publik publicweb pekerjaan tepercaya 

Seperti yang dinyatakan sebelumnya, ini menang’T sudah tersedia dalam contoh Firewall saat ini:

Keluaran
Blok DMZ Drop Eksternal Rumah Internal Pekerjaan Tepercaya Publik 

Muat ulang firewall untuk membawa zona baru ini ke dalam konfigurasi aktif:

Keluaran
blok DMZ Drop External Home Internal Privatedns publik publicweb pekerjaan tepercaya 

Sekarang, Anda dapat mulai menetapkan layanan dan port yang sesuai ke zona Anda. Dia’S biasanya ide yang baik untuk menyesuaikan instance aktif dan kemudian mentransfer perubahan tersebut ke konfigurasi permanen setelah pengujian. Misalnya, untuk “publicweb” Zona, Anda mungkin ingin menambahkan layanan SSH, HTTP, dan HTTPS:

Keluaran
Target PublicWeb: Default ICMP-Block-Inversion: Tidak Ada Antarmuka: Sumber: Layanan: SSH HTTP HTTPS Ports: Protokol: Masquerade: No Forward-Ports: Source-Ports: ICMP-Blocks: Rich aturan: 

Demikian juga, kami dapat menambahkan layanan DNS ke kami “Privatedns” daerah:

Keluaran
Antarmuka PrivatedNS: Sumber: Layanan: DNS Ports: Masquerade: No Forward-Ports: ICMP-Blocks: Kaya Aturan: 

Kami kemudian dapat mengubah antarmuka kami ke zona baru ini untuk mengujinya:

Pada titik ini, Anda memiliki kesempatan untuk menguji konfigurasi Anda. Jika nilai -nilai ini berfungsi untuk Anda, Anda akan ingin menambahkan aturan yang sama ke konfigurasi permanen. Anda dapat melakukannya dengan menerapkan kembali aturan dengan bendera-permanen:

Setelah secara permanen menerapkan ini aturan Anda, Anda dapat memulai kembali jaringan Anda dan memuat ulang layanan firewall Anda:

Validasi bahwa zona yang benar ditetapkan:

Keluaran
Antarmuka PrivatedNS: Eth1 PublicWeb Interfaces: Eth0 

Dan memvalidasi bahwa layanan yang sesuai tersedia untuk kedua zona:

Keluaran
http https ssh 

Keluaran
DNS 

Anda telah berhasil mengatur zona Anda sendiri! Jika Anda ingin menjadikan salah satu zona ini default untuk antarmuka lain, ingatlah untuk mengonfigurasi perilaku itu dengan –t-default-zone = parameter:

sudo firewall-cmd --set-default-zone = publicweb 

Kesimpulan

Anda sekarang harus memiliki pemahaman yang cukup baik tentang cara mengelola layanan firewalld pada sistem CentOS Anda untuk penggunaan sehari-hari.

Layanan FirewallD memungkinkan Anda untuk mengonfigurasi aturan yang dapat dipelihara dan set aturan yang mempertimbangkan lingkungan jaringan Anda. Ini memungkinkan Anda untuk bertransisi dengan mulus antara berbagai kebijakan firewall melalui penggunaan zona dan memberi administrator kemampuan untuk mengabstraksikan manajemen pelabuhan menjadi definisi layanan yang lebih ramah. Memperoleh pengetahuan yang berfungsi tentang sistem ini akan memungkinkan Anda untuk memanfaatkan fleksibilitas dan kekuatan yang disediakan alat ini.

Dengan mudah mengamankan infrastruktur Anda dan menentukan layanan apa yang terlihat di server Anda menggunakan firewall cloud digital. Firewall cloud kami gratis dan sempurna untuk pementasan dan penyebaran produksi.

Cara mengatur firewall menggunakan firewalld di centos 8

Firewalld adalah perangkat lunak manajemen firewall yang tersedia untuk banyak distribusi Linux, yang bertindak sebagai frontend untuk Linux’S sistem penyaringan paket atau eptables dalam kernel nftables.

Dalam panduan ini, kami akan menunjukkan kepada Anda cara mengatur firewall firewalld untuk server Centos 8 Anda, dan menutupi dasar-dasar mengelola firewall dengan alat administrasi firewall-cmd.

Prasyarat

Untuk menyelesaikan tutorial ini, Anda akan memerlukan server yang menjalankan Centos 8. Kami akan menganggap Anda masuk ke server ini sebagai non-akar, Pengguna yang diizinkan sudo. Untuk mengatur ini, lihat Panduan Server Awal kami untuk Panduan CentOS 8.

Konsep Dasar dalam Firewalld

Sebelum kita mulai berbicara tentang bagaimana benar-benar menggunakan utilitas firewall-cmd untuk mengelola konfigurasi firewall Anda, kami harus terbiasa dengan beberapa konsep yang diperkenalkan alat tersebut.

Zona

Firewalld Daemon mengelola kelompok aturan menggunakan entitas yang disebut zona. Zona adalah set aturan yang menentukan lalu lintas apa yang harus diizinkan tergantung pada tingkat kepercayaan yang Anda miliki di jaringan. Antarmuka jaringan ditugaskan ke zona untuk menentukan perilaku yang harus diizinkan oleh firewall.

Untuk komputer yang mungkin sering bergerak antar jaringan (seperti laptop), fleksibilitas semacam ini memberikan metode yang baik untuk mengubah aturan Anda tergantung pada lingkungan Anda. Anda mungkin memiliki aturan ketat yang melarang sebagian besar lalu lintas saat beroperasi di jaringan WiFi publik, sambil memungkinkan pembatasan yang lebih santai saat terhubung ke jaringan rumah Anda. Untuk server, zona ini seringkali tidak penting karena lingkungan jaringan jarang, jika pernah, berubah.

Terlepas dari seberapa dinamis lingkungan jaringan Anda, masih berguna untuk terbiasa dengan ide umum di balik masing -masing zona yang telah ditentukan untuk firewalld . Zona yang telah ditentukan sebelumnya dalam firewalld, berurutan paling tidak dipercaya ke Paling tepercaya:

• menjatuhkan: Tingkat kepercayaan terendah. Semua koneksi yang masuk dijatuhkan tanpa balasan dan hanya koneksi keluar.
• memblokir: Mirip dengan hal di atas, tetapi alih-alih hanya menjatuhkan koneksi, permintaan yang masuk ditolak dengan pesan yang diproduksi oleh ICMP-host atau ICMP6-ADM.
• publik: Mewakili jaringan publik dan tidak percaya. Kamu don’t mempercayai komputer lain tetapi memungkinkan koneksi masuk yang dipilih berdasarkan kasus per kasus.
• luar: Jaringan Eksternal Jika Anda menggunakan firewall sebagai gateway Anda. Ini dikonfigurasi untuk Nat Masquerading sehingga jaringan internal Anda tetap pribadi tetapi dapat dijangkau.
• intern: Sisi lain dari zona eksternal, digunakan untuk bagian internal gateway. Komputer cukup dapat dipercaya dan beberapa layanan tambahan tersedia.
• DMZ: Digunakan untuk komputer yang terletak di DMZ (komputer terisolasi yang tidak akan memiliki akses ke jaringan Anda yang lain). Hanya koneksi masuk tertentu yang diizinkan.
• bekerja: Digunakan untuk mesin kerja. Percayai sebagian besar komputer di jaringan. Beberapa layanan lagi mungkin diizinkan.
• rumah: Lingkungan rumah. Ini umumnya menyiratkan bahwa Anda mempercayai sebagian besar komputer lain dan bahwa beberapa layanan akan diterima.
• tepercaya: Percayai semua mesin di jaringan. Opsi paling terbuka yang tersedia dan harus digunakan dengan hemat.

Untuk menggunakan firewall, kami dapat membuat aturan dan mengubah sifat zona kami dan kemudian menetapkan antarmuka jaringan kami ke zona mana pun yang paling tepat.

Aturan keabadian

Dalam firewalld, aturan dapat diterapkan pada saat ini runtime aturan, atau dibuat permanen. Saat aturan ditambahkan atau dimodifikasi, Secara default, hanya firewall yang sedang berjalan yang dimodifikasi. Setelah reboot berikutnya – atau memuat ulang Layanan Firewalld – hanya aturan permanen yang akan tetap ada.

Sebagian besar operasi firewall-CMD dapat mengambil bendera-manranent untuk menunjukkan bahwa perubahan harus diterapkan pada konfigurasi permenen. Selain itu, firewall yang sedang berjalan saat ini dapat disimpan ke konfigurasi permanen dengan firewall-cmd-rewel-ke-permanen.

Pemisahan runtime vs konfigurasi permanen ini berarti Anda dapat dengan aman menguji aturan di firewall aktif Anda, kemudian dimuat ulang untuk memulai dari awal jika ada masalah.

Menginstal dan Mengaktifkan FirewallD

Firewalld diinstal secara default pada beberapa distribusi Linux, termasuk banyak gambar Centos 8. Namun, mungkin perlu bagi Anda untuk memasang firewalld sendiri:

Setelah Anda menginstal FirewallD, Anda dapat mengaktifkan layanan dan reboot server Anda. Perlu diingat bahwa memungkinkan firewalld akan menyebabkan layanan memulai boot. Merupakan praktik terbaik untuk membuat aturan firewall Anda dan mengambil kesempatan untuk mengujinya sebelum mengkonfigurasi perilaku ini untuk menghindari masalah potensial.

Saat server restart, firewall Anda harus dibesarkan, antarmuka jaringan Anda harus dimasukkan ke zona yang Anda konfigurasi (atau kembali ke zona default yang dikonfigurasi), dan aturan apa pun yang terkait dengan zona akan diterapkan ke antarmuka yang terkait.

Kami dapat memverifikasi bahwa layanan berjalan dan dapat dijangkau dengan mengetik:

Keluaran
berlari 

Ini menunjukkan bahwa firewall kami sedang berjalan dan berjalan dengan konfigurasi default.

Terbiasa dengan aturan firewall saat ini

Sebelum kita mulai melakukan modifikasi, kita harus membiasakan diri dengan lingkungan dan aturan default yang disediakan oleh Firewalld.

Menjelajahi default

Kita dapat melihat zona mana yang saat ini dipilih sebagai default dengan mengetik:

Keluaran
publik 

Sejak kami Haven’t diberikan firewalld setiap perintah untuk menyimpang dari zona default, dan tidak ada antarmuka kami yang dikonfigurasi untuk mengikat ke zona lain, zona itu juga akan menjadi satu -satunya aktif zona (zona yang mengendalikan lalu lintas untuk antarmuka kami). Kita dapat memverifikasi itu dengan mengetik:

Keluaran
Antarmuka publik: eth0 eth1 

Di sini, kita dapat melihat bahwa server contoh kami memiliki dua antarmuka jaringan yang dikendalikan oleh firewall (eth0 dan eth1). Mereka berdua saat ini dikelola sesuai dengan aturan yang ditentukan untuk publik daerah.

Bagaimana kita tahu aturan apa yang terkait dengan publik zona? Kita dapat mencetak zona default’Konfigurasi dengan mengetik:

Keluaran
Target publik (aktif): Default ICMP-block-Inversion: Tidak ada Antarmuka: Eth0 Eth1 Sumber: Layanan: kokpit DHCPV6-CLIENT ssh Ports: Protokol: Masquerade: No Forward-Ports: Sumber-Ports: ICMP-Blocks: Rontok Kaya: 

Kita dapat mengetahui dari output bahwa zona ini adalah default dan aktif, dan bahwa antarmuka ETH0 dan ETH1 dikaitkan dengan zona ini (kami sudah tahu semua ini dari pertanyaan kami sebelumnya). Namun, kami juga dapat melihat bahwa zona ini memungkinkan lalu lintas untuk klien DHCP (untuk penugasan alamat IP), SSH (untuk administrasi jarak jauh), dan kokpit (konsol berbasis web).

Menjelajahi zona alternatif

Sekarang kami memiliki ide bagus tentang konfigurasi untuk zona default dan aktif. Kami juga dapat mengetahui informasi tentang zona lain.

Untuk mendapatkan daftar zona yang tersedia, ketik:

Keluaran
Blok DMZ Drop Eksternal Rumah Internal Pekerjaan Tepercaya Publik 

Kita dapat melihat konfigurasi spesifik yang terkait dengan zona dengan memasukkan –zone = parameter dalam perintah–list-all kami:

Keluaran
Target Rumah: Default ICMP-Block-Inversion: Tidak Ada Antarmuka: Sumber: Layanan: Cockpit DHCPV6-CLIENT MDNS SAMBA-CLIENT SSH Ports: Protokol: Masquerade: Tidak Ada Port Forward: Sumber-Ports: ICMP-Blocks: Kaya Aturan: 

Anda dapat mengeluarkan semua definisi zona dengan menggunakan opsi-list-semua-zona. Anda mungkin ingin menyalakan output ke pager agar lebih mudah dilihat:

Selanjutnya kita akan belajar tentang assiging zona ke antarmuka jaringan.

Memilih zona untuk antarmuka Anda

Kecuali Anda telah mengkonfigurasi antarmuka jaringan Anda sebaliknya, setiap antarmuka akan dimasukkan ke dalam zona default saat firewall dimulai.

Mengubah zona antarmuka

Anda dapat memindahkan antarmuka antar zona selama sesi dengan menggunakan —Zone = parameter dalam kombinasi dengan –change-interface = parameter. Seperti semua perintah yang memodifikasi firewall, Anda perlu menggunakan sudo .

Misalnya, kita dapat memindahkan antarmuka eth0 kita ke rumah zona dengan mengetik ini:

Keluaran
kesuksesan 

Catatan: Setiap kali Anda memindahkan antarmuka ke zona baru, ketahuilah bahwa Anda mungkin memodifikasi layanan mana yang akan beroperasi. Misalnya, di sini kita pindah ke rumah zona, yang memiliki ssh tersedia. Ini berarti bahwa koneksi kita seharusnya’t drop. Beberapa zona lain tidak memiliki SSH yang diaktifkan secara default, dan beralih ke salah satu zona ini dapat menyebabkan koneksi Anda turun, mencegah Anda masuk kembali ke server Anda.

Kami dapat memverifikasi bahwa ini berhasil dengan meminta zona aktif lagi:

Keluaran
Antarmuka Rumah: Antarmuka Publik ETH0: ETH1 

Menyesuaikan zona default

Jika semua antarmuka Anda dapat ditangani dengan baik dengan satu zona, itu’S Mungkin termudah untuk hanya menunjuk zona terbaik sebagai default dan kemudian gunakan itu untuk konfigurasi Anda.

Anda dapat mengubah zona default dengan parameter –tet-default-zone =. Ini akan segera mengubah antarmuka apa pun menggunakan zona default:

Keluaran
kesuksesan 

Mengatur aturan untuk aplikasi Anda

Membiarkan’S dijalankan melalui cara dasar mendefinisikan pengecualian firewall untuk layanan yang ingin Anda sediakan.

Menambahkan Layanan ke Zona Anda

Metode yang paling straighforward adalah menambahkan layanan atau port yang Anda butuhkan ke zona yang Anda gunakan. Anda bisa mendapatkan daftar definisi layanan yang tersedia dengan opsi –get-services:

Keluaran
RH-Satellite-6 Amanda-Client Amanda-K5-Client AMQP AMQPS APCUPSD AUDIT BACULA BACULA-CLIENT BB BGP BITCOIN BITCOIN-RPC BITCOIN-TESTNET BITCOIN-TESTNET-RPC BITTORRENT-LSD CEPH CFENTNET CFENCINE COMPIT-COMPIT-COLCOL-COPK CFENT CFENCON-CFENT CFENTNET CFENTNET CFENTNET CFENTNET-CFENTNET Docker-Docker-Registry Docker-Swarm Dropbox-Lansync Elasticsearch ETCD-CLIENT ETCD-SERVER-SERVER FRING FREEIPA-4 Freeipa-lldap freeipa-ldaps freeipa-replikasi freePa-trust gangtp-client iPP-tong iPP-tong iPPP IPPAPPAPPAPPAPAPIPA TINGNIBSIFIFIR HTP IPPACKAPPA Dapatkan ISNS Jenkins Kadmin kdeconnect Kerberos kibana klogin kpasswd kprop kshell ldap ldaps libvirt libvirt-tls-network llmnr matrix ms-tl ms-w-tln-t moM-t moM-t mo moad mo moad mo moMtd ms-tlnr moMtd moMtd moMtd moMtd MoLDNS NMEA-0183 NRPE NTP NUT OPENVPN OVIRT-IMAGEIO OVIRT-STORAGECONSOLE OVIRT-vmconsole plex pmcd pmproxy pmwebapi pmwebapis pop3 pop3s postgresql privoxy prometheus proxy-dhcp ptp pulseaudio puppetmaster quassel radius rdp redis redis-sentinel rpc-bind rsh rsyncd rtsp salt-master samba samba-client samba-dc sane sip sips slp smtp smtp-submission smtps snmp snmptrap spideroak-lansync spotify-sync squid ssdp ssh steam-streaming svdrp svn syncthing syncthing-gui synergy syslog syslog-tls telnet tentacle tftp tftp-client tile38 tinc tor-socks transmission-client upnp-client vdsm vnc-server wbem-http wbem-https wsman wsmans xdmcp xmpp-bosh xmpp-client xmpp-local xmpp-server zabbix-agent zabbix-server 

Catatan: Anda bisa mendapatkan lebih banyak detail tentang masing -masing layanan ini dengan melihat hubungan mereka yang terkait .File XML dalam direktori/usr/lib/firewalld/layanan. Misalnya, layanan SSH didefinisikan seperti ini:

/usr/lib/firewalld/services/ssh.xml

 melayani> pendek>Sshpendek> keterangan>Secure Shell (SSH) adalah protokol untuk masuk dan mengeksekusi perintah pada mesin jarak jauh. Ini menyediakan komunikasi terenkripsi yang aman. Jika Anda berencana mengakses mesin Anda dari jarak jauh melalui SSH melalui antarmuka firewall, aktifkan opsi ini. Anda memerlukan paket openssh-server yang diinstal agar opsi ini bermanfaat.keterangan> pelabuhan protokol="TCP" pelabuhan="22"/> melayani> 

Anda dapat mengaktifkan layanan untuk zona menggunakan –add-service = parameter. Operasi akan menargetkan zona default atau zona apa pun yang ditentukan oleh –zone = parameter. Secara default, ini hanya akan menyesuaikan sesi firewall saat ini. Anda dapat menyesuaikan konfigurasi firewall permanen dengan memasukkan bendera -permanen.

Misalnya, jika kami menjalankan server web yang melayani lalu lintas HTTP konvensional, kami dapat mengizinkan lalu lintas ini untuk antarmuka ini di kami publik zona dengan mengetik:

Anda dapat meninggalkan —Zone = flag jika Anda ingin memodifikasi zona default. Kita dapat memverifikasi operasi berhasil dengan menggunakan operasi-list-all atau–list-layanan:

Keluaran
kokpit dhcpv6-klien http ssh 

Setelah Anda menguji bahwa semuanya berfungsi sebagaimana mestinya, Anda mungkin ingin memodifikasi aturan firewall permanen sehingga layanan Anda masih akan tersedia setelah reboot. Kita dapat membuat perubahan sebelumnya secara permanen dengan memperbaiki dan menambahkan bendera -permanen:

Keluaran
kesuksesan 

Bergantian, Anda dapat menggunakan bendera-runtime-to-permanent untuk menyimpan konfigurasi firewall yang saat ini berjalan ke konfigurasi permanen:

Hati -hati dengan ini, sebagai semua Perubahan yang dilakukan pada firewall yang sedang berjalan akan dilakukan secara permanen.

Metode mana pun yang Anda pilih, Anda dapat memverifikasi bahwa itu berhasil dengan menambahkan bendera-manrmanent ke dalam operasi-daftar layanan. Anda perlu menggunakan sudo untuk operasi yang lebih besar:

Keluaran
kokpit dhcpv6-klien http ssh 

Milikmu publik zona sekarang akan memungkinkan lalu lintas web http di port 80. Jika server web Anda dikonfigurasi untuk menggunakan SSL/TLS, Anda’ll juga ingin menambahkan layanan https. Kami dapat menambahkannya ke sesi saat ini dan aturan permanen dengan mengetik:

Bagaimana jika tidak ada layanan yang sesuai tersedia?

Layanan yang disertakan dengan instalasi firewalld mewakili banyak aplikasi paling umum yang mungkin Anda inginkan. Namun, kemungkinan akan ada skenario di mana layanan ini tidak sesuai dengan kebutuhan Anda.

Dalam situasi ini, Anda memiliki dua opsi.

Membuka port untuk zona Anda

Cara termudah untuk menambahkan dukungan untuk aplikasi spesifik Anda adalah dengan membuka port yang digunakannya di zona yang sesuai. Ini dilakukan dengan menentukan port atau rentang port, dan protokol terkait (TCP atau UDP) untuk port.

Misalnya, jika aplikasi kami berjalan di port 5000 dan menggunakan TCP, kami dapat menambahkan ini untuk sementara publik zona menggunakan parameter –add-port =. Protokol dapat ditetapkan sebagai TCP atau UDP:

Keluaran
kesuksesan 

Kami dapat memverifikasi bahwa ini berhasil menggunakan operasi-list-ports:

Keluaran
5000/TCP 

Dimungkinkan juga untuk menentukan kisaran sekuensial port dengan memisahkan port awal dan akhir dalam kisaran dengan tanda hubung. Misalnya, jika aplikasi kami menggunakan port UDP 4990 hingga 4999, kami dapat membukanya publik dengan mengetik:

Setelah pengujian, kami mungkin ingin menambahkan ini ke firewall permanen. Gunakan sudo firewall-cmd –runtime-to-permanent untuk melakukan itu, atau menjalankan kembali perintah dengan bendera-permanen:

Keluaran
Sukses Sukses 5000/TCP 4990-4999/UDP 

Mendefinisikan layanan

Pembukaan port untuk zona Anda adalah solusi langsung, tetapi mungkin sulit untuk melacak apa yang masing -masing. Jika Anda pernah menonaktifkan layanan di server Anda, Anda mungkin kesulitan mengingat port mana yang telah dibuka masih diperlukan. Untuk menghindari situasi ini, adalah mungkin untuk mendefinisikan layanan baru.

Layanan adalah koleksi port dengan nama dan deskripsi terkait. Menggunakan layanan lebih mudah dikelola daripada port, tetapi membutuhkan sedikit pekerjaan di muka. Cara termudah untuk memulai adalah dengan menyalin skrip yang ada (ditemukan di/usr/lib/firewalld/layanan) ke direktori/etc/firewalld/layanan di mana firewall mencari definisi non-standar non-standar.

Misalnya, kami dapat menyalin definisi layanan SSH untuk digunakan untuk kami contoh Definisi layanan seperti ini. Nama file dikurangi .XML Suffix akan menentukan nama layanan dalam daftar Layanan Firewall:

Sekarang, Anda dapat menyesuaikan definisi yang ditemukan dalam file yang Anda salin. Pertama buka di editor teks favorit Anda. Kami’ll gunakan vi di sini:

Untuk memulai, file akan berisi definisi SSH yang Anda salin:

/etc/firewalld/layanan/contoh.xml

 melayani> pendek>Sshpendek> keterangan>Secure Shell (SSH) adalah protokol untuk masuk dan mengeksekusi perintah pada mesin jarak jauh. Ini menyediakan komunikasi terenkripsi yang aman. Jika Anda berencana mengakses mesin Anda dari jarak jauh melalui SSH melalui antarmuka firewall, aktifkan opsi ini. Anda memerlukan paket openssh-server yang diinstal agar opsi ini bermanfaat.keterangan> pelabuhan protokol="TCP" pelabuhan="22"/> melayani> 

Mayoritas definisi ini sebenarnya adalah metadata. Anda akan ingin mengubah nama pendek untuk layanan di dalam tag. Ini adalah nama yang dapat dibaca manusia untuk layanan Anda. Anda juga harus menambahkan deskripsi sehingga Anda memiliki informasi lebih lanjut jika Anda perlu mengaudit layanan tersebut. Satu -satunya konfigurasi yang perlu Anda buat yang benar -benar mempengaruhi fungsionalitas layanan kemungkinan akan menjadi definisi port di mana Anda mengidentifikasi nomor port dan protokol yang ingin Anda buka. Beberapa tag dapat ditentukan.

Untuk kita contoh Layanan, bayangkan bahwa kita perlu membuka port 7777 untuk TCP dan 8888 untuk UDP. Kita dapat memodifikasi definisi yang ada dengan sesuatu seperti ini:

/etc/firewalld/layanan/contoh.xml

 melayani> pendek>Layanan contohpendek> keterangan>Ini hanyalah contoh layanan. Itu mungkin tidak boleh digunakan pada sistem nyata.keterangan> pelabuhan protokol="TCP" pelabuhan="7777"/> pelabuhan protokol="UDP" pelabuhan="8888"/> melayani> 

Simpan dan tutup file.

Muat ulang firewall Anda untuk mendapatkan akses ke layanan baru Anda:

Anda dapat melihat bahwa itu sekarang termasuk dalam daftar layanan yang tersedia:

Keluaran
RH-Satellite-6 Amanda-Client Amanda-K5-Client AMQP AMQPS APCUPSD AUDIT BACULA BACULA-CLIENT BB BGP BITCOIN BITCOIN-RPC BITCOIN-TESTNET BITCOIN-TESTNET-RPC BITTORRENT-LSD CEPH CFENTNET CFENCINE COMPIT-COMPIT-COLCOL-COPK CFENT CFENCON-CFENT CFENTNET CFENTNET CFENTNET CFENTNET-CFENTNET ns-over-tls docker-registry docker-swarm dropbox-lansync elasticsearch etcd-client etcd-server contoh Finger freeipa-4 freeipa-llap freeipa-ldaps-freeipa-replikasi freeipa-trust ftp ganglia-client ganglia-master git grafana grafana http http https iMap ipps-conkos konkosksec kshell ldap ldaps libvirt libvirt-tls kilat-jaringan -Vmconsole plex pmcd pmproxy pmwebapi pmwebapis pop3 pop3s postgreresql prometheus proxy-dhcp ptp pulseaudio dalang quasel radius redis redis-sentinel Samb Samb Samb Samb SAMP-SAMP SAMBA-BIND SAM SING-SING-SING-SING SAMBA-BIND UBMISI SMTPS SNMP SNMPTRAP SPIDEROAK-LANSYNC Spotify-Sync Squid SSDP SSH Steam-Streaming SVDRP SVN Synchthing Synchthing-Gui Synergy syslog syslog-tls telnet tentacle tftp tftp-klien ubin38 tinc tor-socks client client-client-compp-compp-compp-compp-cmpps-cmppspppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppspppppppppppsums -GABBIX-Server 

Anda sekarang dapat menggunakan layanan ini di zona Anda seperti biasanya.

Membuat zona Anda sendiri

Meskipun zona yang telah ditentukan mungkin akan lebih dari cukup untuk sebagian besar pengguna, akan sangat membantu untuk menentukan zona Anda sendiri yang lebih deskriptif dari fungsinya.

Misalnya, Anda mungkin ingin membuat zona untuk server web Anda, dipanggil publicweb. Namun, Anda mungkin ingin memiliki zona lain yang dikonfigurasi untuk layanan DNS yang Anda berikan di jaringan pribadi Anda. Anda mungkin ingin zona dipanggil “Privatedns” untuk itu.

Saat menambahkan zona, Anda harus Tambahkan ke konfigurasi firewall permanen. Anda kemudian dapat memuat ulang untuk membawa konfigurasi ke sesi berjalan Anda. Misalnya, kami dapat membuat dua zona yang kami bahas di atas dengan mengetik:

Anda dapat memverifikasi bahwa ini ada dalam konfigurasi permanen Anda dengan mengetik:

Keluaran
blok DMZ Drop External Home Internal Privatedns publik publicweb pekerjaan tepercaya 

Seperti yang dinyatakan sebelumnya, ini menang’T sudah tersedia di firewall runtime:

Keluaran
Blok DMZ Drop Eksternal Rumah Internal Pekerjaan Tepercaya Publik 

Muat ulang firewall untuk membawa zona baru ini ke konfigurasi runtime aktif:

Keluaran
blok DMZ Drop External Home Internal Privatedns publik publicweb pekerjaan tepercaya 

Sekarang, Anda dapat mulai menetapkan layanan dan port yang sesuai ke zona Anda. Dia’S Biasanya ide yang bagus untuk menyesuaikan firewall runtime dan kemudian menyimpan perubahan itu ke konfigurasi permanen setelah pengujian. Misalnya, untuk publicweb Zona, Anda mungkin ingin menambahkan layanan SSH, HTTP, dan HTTPS:

Keluaran
Target PublicWeb: Default ICMP-Block-Inversion: Tidak Ada Antarmuka: Sumber: Layanan: HTTP HTTPS SSH Ports: Protokol: Masquerade: No Forward-Ports: Sumber-Ports: ICMP-Blocks: Rich aturan: 

Demikian juga, kami dapat menambahkan layanan DNS ke kami Privatedns daerah:

Keluaran
PrivatedNS Target: Default ICMP-Block-Inversion: Tidak Ada Antarmuka: Sumber: Layanan: DNS Ports: Protokol: Masquerade: No Forward-Ports: Sumber-Ports: ICMP-Blocks: Rich Aturan: 

Kami kemudian dapat mengubah antarmuka kami ke zona baru ini untuk mengujinya:

Pada titik ini, Anda memiliki kesempatan untuk menguji konfigurasi Anda. Jika nilai -nilai ini berfungsi untuk Anda, Anda akan ingin menambahkan aturan ini ke konfigurasi permanen. Anda bisa Lakukan itu dengan menjalankan semua perintah lagi dengan -bendera permanen ditambahkan, tetapi dalam hal ini kami’LL Gunakan bendera-runtime-to-permanent untuk menyimpan seluruh konfigurasi runtime kami secara permanen:

Setelah secara permanen menerapkan aturan -aturan ini, muat ulang firewall untuk menguji bahwa perubahan tetap:

Validasi bahwa zona yang benar ditetapkan:

Keluaran
Antarmuka PrivatedNS: Eth1 PublicWeb Interfaces: Eth0 

Dan memvalidasi bahwa layanan yang sesuai tersedia untuk kedua zona:

Keluaran
http https ssh 

Keluaran
DNS 

Anda telah berhasil mengatur zona Anda sendiri! Jika Anda ingin menjadikan salah satu zona ini default untuk antarmuka lain, ingatlah untuk mengonfigurasi perilaku itu dengan –t-default-zone = parameter:

Kesimpulan

Anda sekarang harus memiliki pemahaman yang cukup menyeluruh tentang cara mengelola layanan firewalld pada sistem CentOS Anda untuk penggunaan sehari-hari.

Layanan FirewallD memungkinkan Anda untuk mengonfigurasi aturan yang dapat dipelihara dan set aturan yang mempertimbangkan lingkungan jaringan Anda. Ini memungkinkan Anda untuk bertransisi dengan mulus antara berbagai kebijakan firewall melalui penggunaan zona dan memberi administrator kemampuan untuk mengabstraksikan manajemen pelabuhan menjadi definisi layanan yang lebih ramah. Memperoleh pengetahuan yang berfungsi tentang sistem ini akan memungkinkan Anda untuk memanfaatkan fleksibilitas dan kekuatan yang disediakan alat ini.

Untuk informasi lebih lanjut tentang Firewalld, silakan lihat dokumentasi FirewallD resmi.

Terima kasih telah belajar dengan komunitas DigitalOcean. Lihat penawaran kami untuk menghitung, penyimpanan, jaringan, dan database yang dikelola.