Sådan installeres og konfigureres Firewalld på CentOS og Ubuntu

Sikkerhed er en af ​​de handlinger, der altid skal være til stede ikke kun i organisationer, men også på et personligt niveau, når vi arbejder med et operativsystem, og det er, selvom der er forskellige værktøjer til at øge sikkerheden og privatlivet, mens du bruger et system, fungerer selve systemet inkluderer en ekstra funktion, f.eks. firewallen.

Firewallens væsentlige funktion er at oprette og administrere indgående og udgående regler for at beskytte hele netværksforbindelsesprocessen. Således forhindres mistænkelige eller upålidelige pakker i at komme ind på vores computer og forårsage enhver form for skade, såsom indsættelse af malware eller kapring af oplysninger.

Når vi arbejder med Linux -systemer, et af de mest sikre, har vi open source -hjælpeprogrammer, der hjælper os med at gøre denne beskyttelsesproces meget mere komplet, og et af disse værktøjer er Firewalld. Solvetic vil forklare, hvad Firewalld er, og hvordan vi kan installere og bruge det i to af de mest anvendte distributioner i øjeblikket, såsom CentOS og Ubuntu.

BemærkKonfigurationsprocessen er identisk for begge systemer

Hvad er FirewalldFirewalld (firewall -dæmon), er et værktøj, hvis formål er at levere en dynamisk administreret firewall, der understøtter netværkszoner, hvor tillidsniveauet for de netværksforbindelser eller grænseflader, der skal bruges, er defineret, Firewalld er kompatibel med IPv4 -adresserne, IPv6 firewall -indstillinger, Ethernet -broer og IP -adressepuljer.

Firewalld tilbyder os en grænseflade til tjenester eller applikationer for at tilføje firewallregler direkte og dermed lette kontrolopgaver. En af de største fordele ved at bruge Firewalld er, at alle de ændringer, der skal foretages, kan foretages i realtid på udførelsesmiljøet uden at skulle genstarte tjenesten eller Daemon, som det sker med mange hjælpeprogrammer.

Firewalld integrerer en D-Bus-grænseflade, der er velegnet til administration af tjenester, applikationer og administration af firewall-konfigurationen Denne grænseflade kan integreres med konfigurationsværktøjerne som firewall-cmd, firewall-config og firewall-applet.

Firewalld -funktionerNogle af de funktioner, vi finder, når vi bruger Firewalld er:

  • Understøttelse af IPv4, IPv6, bro og ipset.
  • IPv4 og IPv6 NAT -understøttelse.
  • Firewall eller firewallzoner.
  • Fuld D-Bus API.
  • Enkel service, port, protokol, kildeport, maskering, portvideresendelse, icmp -filter, rig regel, grænseflade og kildeadressekontrol i brugte zoner.
  • Direkte interface til ledelse.
  • Blokeringsfunktion, der opretter en hvid liste over applikationer, der kan ændre firewallen.
  • Automatisk indlæsning af Linux kernemoduler.
  • Integration med Puppet.
  • Tidsbestemte firewall -regler i zoner.
  • Enkel registrering af nægtede pakker.
  • Grafisk konfigurationsværktøj ved hjælp af gtk3.
  • Applet ved hjælp af Qt4.

DistributionerDe grundlæggende distributioner, hvor Firewalld kan implementeres, er:

  • RHEL 7, CentOS 7
  • Fedora 18 og højere

AnsøgningerDe applikationer og biblioteker, der understøtter firewalld som et firewall -styringsværktøj, omfatter:

  • NetworkManager
  • libvirt
  • docker
  • fail2ban

Det er vigtigt, at før vi går i detaljer om, hvordan du installerer og bruger Firewalld, vi ved lidt mere om det, består Firewalld af tre lag, der er:

  • Hovedlag (kernelag), der er ansvarlig for administration af konfigurationen og tjenester såsom iptables, ip6tables, ebtables, ipset og modul loader.
  • D-Bus-grænseflade: som er det vigtigste middel til at ændre og oprette firewallindstillinger.
  • Backends, der tillader interaktion med netfilter (det native kernemodul, der bruges til firewall), og nogle tælles som iptables, ip6tables, ebtables, ipset, nft, linnftables osv.

Firewalld D-Bus-grænsefladen er den mest vitale måde at oprette og redigere firewallindstillinger på. Denne grænseflade bruges af alle de online værktøjer, der er indbygget i firewalld såsom firewall-cmd, firewall-config og firewall-applet, firewall-offline-cmd-linjen taler ikke direkte til firewalld, men den redigerer og opretter firewalllds konfigurationsfiler direkte gennem firewalld -kernen med IO -driverne.

Den globale konfigurationsfil for firewalld er placeret på /etc/firewalld/firewalld.conf, og firewallfunktionerne er konfigureret i XML -format.

Firewalld gør brug af zoner, der er dem, der definerer det tillidsniveau, som netværksforbindelsen skal bruge, grænsefladen eller kildeadresselinket vil have, og den samme zone kan bruges til mange netværksforbindelser, grænseflader og kilder.

De tilgængelige zoner i Firewalld er:

DråbeDette er zonen med det laveste konfidensniveau, fordi alle indgående pakker automatisk afvises og kun tillader udgående pakker at blive aktiveret.
BlokNår du bruger denne zone, ligner tillidsniveauet Drop, men adskiller sig kun ved, at indgående pakker afvises ved hjælp af icmp-host-forbudt til IPv4 og icmp6-adm-forbudt til IPv6-meddelelser.
OffentligMed denne zone refererer tillidsniveauet til upålidelige offentlige netværk, så det accepterer kun pålidelige forbindelser.
EksternDet er det niveau, der er defineret, når vi bruger firewallen som en gateway, og dens maskering aktiveres af routerne.
DMZDet er en zone, hvor tillidsniveauet gælder for udstyr, der er placeret i en DMZ (demilitariseret) zone, det betyder, at der er offentlig adgang begrænset til det interne netværk. Det accepterer kun accepterede forbindelser.
ArbejdeSom navnet angiver, bruges dette niveau i arbejdsområder, der giver netværkscomputere adgang til det.
hjemVed at bruge dette niveau taler vi om et hjemmemiljø, og de fleste computere på netværket accepteres
IndreDenne type niveau gælder for interne netværk, så alle computere på det lokale netværk accepteres.
TillidDet står for Tillid, hvilket indebærer, at det er det højeste niveau og stoler på alle indgående forbindelser.

For at konfigurere eller tilføje zoner kan vi bruge en af ​​følgende tilgængelige firewalld -konfigurationsgrænseflader:

  • Grafisk konfigurationsværktøj firewall-config.
  • Firewall-cmd kommandolinjeværktøj.
  • D-BUS programmatisk interface.
  • Opret, kopier eller rediger en zonefil i en hvilken som helst af konfigurationsmapperne, f.eks .: / etc / firewalld / zones for brugerdefinerede og brugeroprettede konfigurationsfiler eller / usr / lib / firewalld / zones for standard- og reservekonfigurationer.

1. Sådan installeres og administreres Firewalld på Linux

Trin 1
I tilfælde af brug af CentOS 7 er firewalld-pakken forudinstalleret og kan verificeres med følgende kommando:

 rpm -qa firewalld
I tilfælde af Ubuntu skal vi installere det med følgende kommando:
 sudo apt installer firewalld

FORSTØRRE

Vi indtaster bogstavet S for at bekræfte download og installation af Firewalld.

Trin 2
Firewalld er en almindelig systemd -service, der kan administreres via systemctl -kommandoen som følger:

 sudo systemctl start firewalld (giver dig mulighed for at starte tjenesten) sudo systemctl aktiver firewalld (aktiverer tjenesten under systemstart) sudo systemctl status firewalld (giver dig mulighed for at se status for tjenesten)

FORSTØRRE

Trin 3
Efter start af firewalld-tjenesten kan vi kontrollere, om dæmonen kører eller ikke i Linux, til dette skal vi bruge firewall-cmd-værktøjet, vi udfører følgende:

 sudo firewall -cmd -stat

FORSTØRRE

2. Sådan administreres zoner i Firewalld CentOS og Ubuntu

Trin 1
For at få en liste over alle tilgængelige firewall -tjenester og zoner skal vi køre følgende kommandoer:
Sådan ser du zoner:

 sudo firewall-cmd --get-zoner

FORSTØRRE

Trin 2
For at se de tjenester, vi udfører:

 sudo firewall-cmd --get-services

FORSTØRRE

Trin 3
Standardzonen er den zone, der er implementeret for hver firewalld -funktion, der ikke er knyttet til en anden zone, det er muligt at få standardzonen indstillet til netværksforbindelser og grænseflader ved at udføre følgende:

 sudo firewall-cmd-get-default-zone

FORSTØRRE

Trin 4
Hvis vi vil etablere en anden standardzone, skal vi gøre brug af følgende kommando, det skal bemærkes, at hvis vi tilføjer -permanent funktion, konfigurationen etableres permanent, kan vi udføre en af ​​følgende muligheder:

 sudo firewall-cmd --set-default-zone = ekstern
eller
 sudo firewall-cmd --set-default-zone = ekstern -permanent
Trin 4
Derefter anvender vi ændringerne ved at udføre:
 sudo firewall -cmd -reload

FORSTØRRE

Trin 5
Hvis målet f.eks. Er at tilføje en grænseflade til en zone, kan vi udføre følgende:

 sudo firewall-cmd --zone = home --add-interface = enp0s3
I dette tilfælde har vi tilføjet enp0s3 (LAN) grænsefladen til hjemmezonen.

FORSTØRRE

Trin 6
Det skal bemærkes, at en grænseflade kun kan tilføjes til en enkelt zone, i stedet kan den flyttes til en anden zone, til dette vil vi bruge-change-interface switch eller fjerne fra den forrige zone med -remove-interface switch og tilføj det derefter til den nye zone, for eksempel:

 sudo firewall-cmd --zone = public --add-interface = enp0s3 sudo firewall-cmd --zone = public --change-interface = enp0s3
Med Firewalld er det muligt at bruge mange zoner på samme tid, hvis vi ønsker at få en liste over alle de aktive zoner med funktionerne aktiveret, såsom grænseflader, tjenester, havne, protokoller, udfører vi følgende:
 sudo firewall-cmd-get-active-zones

FORSTØRRE

Trin 7
For at få mere information om zoner, f.eks. Hvad der er blevet aktiveret eller elimineret, kan vi bruge en af ​​disse kommandoer:

 sudo firewall-cmd --zone = home --list-all
ELLER
 sudo firewall-cmd-offentlig informationszone

FORSTØRRE

Trin 8
En anden nyttig mulighed at bruge med Firewalld er --get-target, dette viser målet for en permanent zone, målene kan være standard, ACCEPT, DROP, REJECT, for at kontrollere målet for flere zoner kan vi bruge en af ​​følgende kommandoer :

 sudo firewall-cmd --permanent --zone = public --get-target sudo firewall-cmd --permanent --zone = blok --get-target sudo firewall-cmd --permanent --zone = dmz --get- mål sudo firewall-cmd --permanent --zone = ekstern --get-target sudo firewall-cmd --permanent --zone = drop --get-target

3. Sådan blokeres eller åbnes porte i Firewalld Linux CentOS og Ubuntu


For at åbne en port via firewalld skal du bare tilføje den i zonen med --add-port-indstillingen, hvis zonen ikke er eksplicit angivet, vil den blive aktiveret i standardzonen.

Trin 1
For eksempel, for at tilføje porte 80 og 443, som tillader indgående webtrafik gennem HTTP- og HTTPS -protokollerne, vil vi udføre følgende:

 sudo firewall-cmd --zone = public --permanent --add-port = 80 / tcp --add-port = 443 / tcp

FORSTØRRE

Trin 2
Nu skal vi genindlæse firewallen og kontrollere funktionerne aktiveret i den offentlige zone:

 sudo firewall-cmd-genindlæs sudo firewall-cmd-offentlig zone

FORSTØRRE

Trin 3
Hvis vi vil blokere en port i firewalld, skal vi bruge --remove-port-indstillingen i dette eksempel som dette:

 sudo firewall-cmd --zone = public-permanent --remove-port = 80 / tcp --remove-port = 443 / tcp

4. Sådan blokeres eller åbnes tjenester i Firewalld CentOS og Ubuntu


For processen med at aktivere en tjeneste i Firewalld skal vi aktivere den ved hjælp af --add-service mulighed, husk at hvis vi udelader zonen, vil standardzonen blive brugt.

Trin 1
For eksempel, for at aktivere http -tjenesten i en offentlig zone, udfører vi:

 sudo firewall-cmd --zone = public --permanent --add-service = http sudo firewall-cmd -reload

FORSTØRRE

Trin 2
Med parameteren -remove -service kan vi fjerne tjenesten fra den tildelte zone:

 sudo firewall-cmd --zone = public --permanent --remove-service = http sudo firewall-cmd -reload

FORSTØRRE

5. Sådan aktiveres og deaktiveres IP -maskering via Firewalld Linux


IP masquerading eller IPMASQ / MASQ) er en NAT -mekanisme, der gør det muligt for værter på et netværk med private IP -adresser at kommunikere med internettet via den offentlige IP -adresse, der er tildelt Linux -serveren ved hjælp af IPMASQ -gatewayen.

Med denne maskering vises trafikken fra de usynlige værter på andre computere på Internettet, som om den kom direkte fra Linux -serveren.

For at kontrollere, om maskeringen er aktiv eller ej, udfører vi:

 sudo firewall-cmd --zone = offentlig-forespørgsel-maskerade
Så kan vi tilføje en zone som denne:
 sudo firewall-cmd --zone = public-tilføj maskerade
For at fjerne en zone fra denne type funktioner skal vi udføre følgende:
 sudo firewall-cmd --zone = public --remove-masquerade

6. Sådan aktiveres og deaktiveres IMCP -besked i Firewalld Linux


ICMP -protokollen (Internet Control Message Protocol) er en protokol, der er udviklet for at generere anmodninger om information eller svar på disse anmodninger om oplysninger eller under fejlbetingelser under hele kommunikationsprocessen på nettet.

Trin 1
I Firewalld er det muligt at aktivere eller deaktivere ICMP -meddelelser, men det anbefales at validere alle kompatible ICMP -typer, for dette udfører vi:

 sudo firewall-cmd --get-icmptypes

FORSTØRRE

Trin 2
Vi kan tilføje eller blokere et ICMP som følger:

 sudo firewall-cmd --zone = home --add-icmp-block = echo-reply sudo firewall-cmd --zone = home --remove-icmp-block = echo-reply

FORSTØRRE

Trin 3
Vi kan se alle ICMP-typer tilføjet i en zone ved hjælp af --list-icmp-blokkeomskifteren:

 sudo firewall-cmd --zone = home --list-icmp-blokke

7. Sådan aktiveres eller ikke paniktilstand i Firewalld Linux CentOS og Ubuntu


Paniktilstand er en særlig tilstand integreret i Firewalld, hvor alle indgående og udgående pakker elimineres, og aktive forbindelser udløber, når den er aktiveret, vi kan aktivere denne tilstand i nødsituationer, hvor der er en trussel mod systemet, og dermed undgår vi enhver forbindelse.

Trin 1
For at kontrollere paniktilstanden vil vi bruge --forespørgsel-panik-indstillingen, og vi kan aktivere den med sudo-firewall-cmd-panisk-på:

FORSTØRRE

Trin 2
For at forstå, hvordan denne tilstand fungerer, kan vi pinge et websted, når det er deaktiveret, og vi vil modtage alle anmodninger sendt, men når det er aktiveret, ser vi en meddelelse, der angiver en midlertidig forbindelsesfejl:

FORSTØRRE

Trin 3
For at deaktivere denne tilstand udfører vi:

 sudo firewall-cmd-panic-off

8. Sådan blokeres Firewalld på Linux CentOS og Ubuntu

Trin 1
I Firewalld er lokale applikationer eller tjenester i stand til at ændre firewall -konfigurationen, hvis de kører med root -privilegier, vi kan kontrollere, hvilke applikationer der kan anmode om ændringer af firewallen og tilføje den til den blokerende hvidliste. Denne funktion er som standard deaktiveret, og vi kan aktivere eller deaktivere den med knappen-lockdown-on eller -lockdown-off:

 sudo firewall-cmd-lockdown-on
ELLER
 sudo firewall-cmd-lockdown-off
Trin 2
En sikrere metode er at aktivere eller deaktivere denne funktion direkte i udgaven af ​​hovedkonfigurationsfilen, da der undertiden ikke findes firewall-cmd i den blokerende hvidliste, for at få adgang til konfigurationsfilen:
 sudo nano /etc/firewalld/firewalld.conf

FORSTØRRE

Der finder vi Lockdown = ingen linje og sætter dens status til Lockdown = ja, gem ændringerne ved hjælp af Ctrl + O -tasterne og afslut editoren med Ctrl + X.

Firewalld er en komplet løsning til at tilføje forskellige regler og zoner til vores Linux -distributioner og dermed tilføje bedre generelle sikkerhedsmuligheder til systemet.

wave wave wave wave wave