- 1. Kā instalēt un pārvaldīt ugunsmūri Linux
- 2. Kā pārvaldīt zonas Firewalld CentOS un Ubuntu
- 3. Kā bloķēt vai atvērt portus ugunsmūra Linux CentOS un Ubuntu
- 4. Kā bloķēt vai atvērt pakalpojumus Firewalld CentOS un Ubuntu
- 5. Kā iespējot un atspējot IP maskēšanu, izmantojot ugunsmūri Linux
- 6. Kā iespējot un atspējot IMCP ziņojumu ugunsmūra Linux
- 7. Kā iespējot vai ne panikas režīmu ugunsmūra Linux CentOS un Ubuntu
- 8. Kā bloķēt ugunsmūri Linux CentOS un Ubuntu
Drošība ir viena no darbībām, kurai vienmēr jābūt klāt ne tikai organizācijās, bet arī personīgā līmenī, kad mēs strādājam ar operētājsistēmu, un tas ir, lai gan ir dažādi rīki, lai palielinātu drošību un privātumu, vienlaikus izmantojot sistēmu, pati sistēma ietver papildu funkciju, piemēram, ugunsmūri.
Ugunsmūra galvenā funkcija ir izveidot un pārvaldīt ienākošos un izejošos noteikumus, lai aizsargātu visu tīkla savienojuma procesu. Tādējādi aizdomīgas vai neuzticamas paketes tiek liegtas iekļūt mūsu datorā un radīt jebkāda veida bojājumus, piemēram, ļaunprātīgas programmatūras ievietošanu vai informācijas nolaupīšanu.
Strādājot ar Linux sistēmām, kas ir viena no drošākajām, mums ir atvērtā pirmkoda utilītas, kas palīdz mums padarīt šo aizsardzības procesu daudz pilnīgāku, un viena no šīm utilītām ir ugunsmūris. Solvetic paskaidros, kas ir ugunsmūris un kā mēs to varam instalēt un izmantot divos no visbiežāk izmantotajiem izplatījumiem, piemēram, CentOS un Ubuntu.
PiezīmeKonfigurācijas process abām sistēmām ir identisks
Kas ir ugunsmūrisUgunsmūris (ugunsmūra dēmons) ir utilīta, kuras mērķis ir nodrošināt dinamiski pārvaldītu ugunsmūri, kas atbalsta tīkla zonas, kurās ir noteikts izmantojamo tīkla savienojumu vai saskarņu uzticamības līmenis, ugunsmūris ir saderīgs ar IPv4 adresēm, IPv6 ugunsmūra iestatījumi, Ethernet tilti un IP adrešu kopas.
Firewalld piedāvā mums pakalpojumu vai lietojumprogrammu saskarni, lai tieši pievienotu ugunsmūra noteikumus, tādējādi atvieglojot kontroles uzdevumus. Viena no galvenajām Firewalld izmantošanas priekšrocībām ir tā, ka visas veicamās izmaiņas var veikt reāllaikā izpildes vidē, nerestartējot pakalpojumu vai dēmonu, kā tas notiek ar daudziem komunālajiem pakalpojumiem.
Firewalld ir integrēts D-Bus interfeiss, kas piemērots ugunsmūra konfigurācijas pakalpojumu, lietojumprogrammu un administrēšanas pārvaldībai. Šo saskarni var integrēt ar tādiem konfigurācijas rīkiem kā firewall-cmd, firewall-config un firewall-applet.
Ugunsmūra funkcijasDažas funkcijas, kuras mēs atrodam, izmantojot Firewalld, ir šādas:
- Atbalsts IPv4, IPv6, tiltam un ipset.
- IPv4 un IPv6 NAT atbalsts.
- Ugunsmūris vai ugunsmūra zonas.
- Pilna D-Bus API.
- Vienkāršs pakalpojums, ports, protokols, avota ports, maskēšana, portu pāradresācija, icmp filtrs, bagātināts noteikums, saskarne un avota adreses kontrole izmantotajās zonās.
- Tiešs interfeiss pārvaldībai.
- Bloķēšanas funkcija, kas izveido baltu sarakstu ar lietojumprogrammām, kas var modificēt ugunsmūri.
- Automātiska Linux kodola moduļu ielāde.
- Integrācija ar leļļu.
- Laika ugunsmūra noteikumi zonās.
- Vienkārša liegto pakešu reģistrācija.
- Grafiskās konfigurācijas rīks, izmantojot gtk3.
- Sīklietotne, izmantojot Qt4.
SadalījumiPamata sadalījumi, kuros var ieviest Firewalld, ir šādi:
- RHEL 7, CentOS 7
- Fedora 18 un jaunākas
LietojumprogrammasLietojumprogrammas un bibliotēkas, kas atbalsta ugunsmūri kā ugunsmūra pārvaldības rīku, ietver:
- NetworkManager
- libvirt
- dokeris
- fail2ban
Ir svarīgi, lai pirms sīkāk par to, kā instalēt un lietot Firewalld, mēs par to zinām nedaudz vairāk, Firewalld sastāv no trim slāņiem:
- Galvenais slānis (galvenais slānis), kas ir atbildīgs par konfigurācijas un tādu pakalpojumu pārvaldību kā iptables, ip6tables, ebtables, ipset un moduļu ielādētājs.
- D-Bus interfeiss: tas ir galvenais ugunsmūra iestatījumu mainīšanas un izveides līdzeklis.
- Aizmugures, kas ļauj mijiedarboties ar tīkla filtru (ugunsmūrim izmantotais kodola modulis), un dažas tiek uzskatītas par iptables, ip6tables, ebtables, ipset, nft, linnftables utt.
Ugunsmūra D-Bus saskarne ir vissvarīgākais veids, kā izveidot un rediģēt ugunsmūra iestatījumus. Šo saskarni izmanto visi tiešsaistes rīki, kas iebūvēti ugunsmūrī, piemēram, ugunsmūra cmd, ugunsmūra konfigurācija un ugunsmūra sīklietotne, ugunsmūra bezsaistes cmd līnija nerunā tieši ar ugunsmūri, bet rediģē un izveido ugunsmūra konfigurācijas failus tieši caur ugunsmūra kodolu ar IO draiveriem.
Globālais ugunsmūra konfigurācijas fails atrodas vietnē /etc/firewalld/firewalld.conf, un ugunsmūra funkcijas ir konfigurētas XML formātā.
Ugunsmūris izmanto zonas, kas nosaka uzticamības līmeni tīkla savienojumam, saskarnei vai avota adreses saitei, un to pašu zonu var izmantot daudziem tīkla savienojumiem, saskarnēm un avotiem.
Firewalld pieejamās zonas ir:
NometietŠī ir zona ar zemāko ticamības līmeni, jo visas ienākošās paketes tiek automātiski noraidītas un ļauj iespējot tikai izejošās paketes.
BloķētIzmantojot šo zonu, uzticamības līmenis ir līdzīgs kritienam, taču tas atšķiras tikai ar to, ka ienākošās paketes tiek noraidītas, izmantojot IPv4 protokolu icmp-host-aizliegts un IPv6 ziņojumiem-icmp6-adm-aizliegts.
PublisksIzmantojot šo zonu, uzticamības līmenis attiecas uz neuzticamiem publiskajiem tīkliem, tāpēc tas pieņem tikai uzticamus savienojumus.
ĀrējaisTas ir līmenis, kas noteikts, kad mēs izmantojam ugunsmūri kā vārteju, un tā maskēšanu iespējo maršrutētāji.
DMZTā ir zona, kurā uzticamības līmenis attiecas uz iekārtām, kas atrodas DMZ (demilitarizētā) zonā, tas nozīmē, ka ir publiska piekļuve tikai iekšējam tīklam. Tas pieņem tikai pieņemtos savienojumus.
DarbsKā norāda nosaukums, šis līmenis tiek izmantots darba zonās, kas ļauj tīkla datoriem piekļūt tam.
mājasIzmantojot šo līmeni, mēs runājam par mājas vidi, un tiek pieņemta lielākā daļa tīkla datoru
IekšējaisŠis līmeņa veids attiecas uz iekšējiem tīkliem, lai visi lokālā tīkla datori tiktu pieņemti.
UzticamsTas nozīmē uzticību, kas nozīmē, ka tas ir augstākais līmenis un uzticas visiem ienākošajiem savienojumiem.
Lai konfigurētu vai pievienotu zonas, mēs varam izmantot vienu no šīm pieejamajām ugunsmūra konfigurācijas saskarnēm:
- Grafiskās konfigurācijas rīks firewall-config.
- Ugunsmūra-cmd komandrindas rīks.
- D-BUS programmatiskais interfeiss.
- Izveidojiet, kopējiet vai rediģējiet zonas failu jebkurā no konfigurācijas direktorijiem, piemēram: / etc / firewalld / zone pielāgotiem un lietotāja izveidotiem konfigurācijas failiem vai / usr / lib / firewalld / zone noklusējuma un rezerves konfigurācijām.
1. Kā instalēt un pārvaldīt ugunsmūri Linux
1. darbība
Ja izmantojat CentOS 7, ugunsmūra pakotne ir iepriekš instalēta, un to var pārbaudīt, izmantojot šādu komandu:
rpm -qa ugunsmūrisUbuntu gadījumā mums tas jāinstalē ar šādu komandu:
sudo apt instalēt ugunsmūri
PALIELINĀT
Mēs ievadām burtu S, lai apstiprinātu Firewalld lejupielādi un instalēšanu.
2. solis
Ugunsmūris ir parasts sistēmas pakalpojums, kuru var pārvaldīt, izmantojot komandu systemctl šādi:
sudo systemctl start firewalld (ļauj sākt pakalpojumu) sudo systemctl iespējot firewalld (iespējo pakalpojumu sistēmas startēšanas laikā) sudo systemctl status firewalld (ļauj redzēt pakalpojuma statusu)
PALIELINĀT
3. solis
Pēc ugunsmūra pakalpojuma palaišanas mēs varam pārbaudīt, vai dēmons darbojas vai ne operētājsistēmā Linux, tāpēc mums jāizmanto ugunsmūra cmd rīks, un mēs izpildām sekojošo:
sudo ugunsmūra -cmd statuss
PALIELINĀT
2. Kā pārvaldīt zonas Firewalld CentOS un Ubuntu
1. darbība
Lai iegūtu visu pieejamo ugunsmūra pakalpojumu un zonu sarakstu, mums jāizpilda šādas komandas:
Lai redzētu zonas:
sudo ugunsmūris-cmd-get-zone
PALIELINĀT
2. solis
Lai redzētu mūsu sniegtos pakalpojumus:
sudo ugunsmūris-cmd-get-services
PALIELINĀT
3. solis
Noklusējuma zona ir zona, kas ieviesta katrai ugunsmūra funkcijai, kas nav saistīta ar citu zonu. Tīkla savienojumiem un saskarnēm ir iespējams iegūt noklusējuma zonu kopu, izpildot šādas darbības:
sudo firewall-cmd-get-default-zone
PALIELINĀT
4. solis
Ja mēs vēlamies izveidot citu noklusējuma zonu, mums jāizmanto šāda komanda, jāatzīmē, ka, pievienojot opciju --permanent, konfigurācija tiek izveidota neatgriezeniski, mēs varam izpildīt kādu no šīm opcijām:
sudo ugunsmūris-cmd-set-default-zone = ārējsvai
sudo ugunsmūris-cmd-set-default-zone = external -permanent4. solis
Pēc tam mēs piemērojam izmaiņas, izpildot:
sudo ugunsmūris -cmd -pārlādēt
PALIELINĀT
5. solis
Ja, piemēram, mērķis ir pievienot interfeisu zonai, mēs varam izpildīt šādas darbības:
sudo ugunsmūris-cmd --zone = mājas-pievienot-interfeiss = enp0s3Šajā gadījumā mēs esam pievienojuši mājas zonai interfeisu enp0s3 (LAN).
PALIELINĀT
6. darbība
Jāatzīmē, ka saskarni var pievienot tikai vienai zonai, tā vietā to var pārvietot uz citu zonu, tāpēc mēs izmantosim slēdzi --change-interface vai noņemsim no iepriekšējās zonas ar slēdzi -remove-interface un pēc tam pievienojiet to jaunajai zonai, piemēram:
sudo ugunsmūris-cmd --zone = public --add-interface = enp0s3 sudo firewall-cmd --zone = public --change-interface = enp0s3Izmantojot Firewalld, ir iespējams vienlaikus izmantot daudzas zonas, ja mēs vēlamies iegūt visu aktīvo zonu sarakstu ar iespējotām funkcijām, piemēram, saskarnēm, pakalpojumiem, ostām, protokoliem, mēs izpildām sekojošo:
sudo ugunsmūris-cmd-get-active-zone
PALIELINĀT
7. solis
Lai iegūtu vairāk informācijas par zonām, piemēram, to, kas ir iespējots vai likvidēts, mēs varam izmantot vienu no šīm komandām:
sudo ugunsmūris-cmd-zona = mājas-saraksts-vissVAI
sudo ugunsmūris-cmd-publiska informācijas zona
PALIELINĀT
8. solis
Vēl viena noderīga opcija, ko izmantot ar ugunsmūri, ir --get-target, tas parāda pastāvīgās zonas mērķi, mērķi var būt noklusējuma, ACCEPT, DROP, REJECT, lai pārbaudītu vairāku zonu mērķi, mēs varam izmantot vienu no šīm komandām :
sudo ugunsmūris-cmd-pastāvīgs-zona = publisks-get-mērķa mērķa sudo ugunsmūris-cmd-pastāvīgais-zona = ārējais-mērķa sudo ugunsmūris-cmd-pastāvīgais-zona = nomešana-mērķa
3. Kā bloķēt vai atvērt portus ugunsmūra Linux CentOS un Ubuntu
Lai atvērtu portu, izmantojot ugunsmūri, vienkārši pievienojiet to zonā ar opciju --add-port, ja zona nav skaidri norādīta, tā tiks iespējota noklusējuma zonā.
1. darbība
Piemēram, lai pievienotu portus 80 un 443, kas ļauj ienākošo tīmekļa trafiku, izmantojot HTTP un HTTPS protokolus, mēs izpildīsim sekojošo:
sudo ugunsmūris-cmd --zone = public --permanent --add-port = 80 / tcp --add-port = 443 / tcp
PALIELINĀT
2. solis
Tagad mēs atkārtoti ielādēsim ugunsmūri un pārbaudīsim publiskajā zonā iespējotās funkcijas:
sudo ugunsmūris-cmd-atkārtoti ielādēt sudo ugunsmūri-cmd-informācijas zona public
PALIELINĀT
3. solis
Ja mēs vēlamies bloķēt portu ugunsmūrī, šajā piemērā ir jāizmanto opcija --remove-port:
sudo ugunsmūris-cmd --zone = public --permanent --remove-port = 80 / tcp --remove-port = 443 / tcp
4. Kā bloķēt vai atvērt pakalpojumus Firewalld CentOS un Ubuntu
Lai iespējotu pakalpojumu Firewalld, mums tas jāiespējo, izmantojot opciju --add-service, atcerieties, ka, izlaižot zonu, tiks izmantota noklusējuma zona.
1. darbība
Piemēram, lai iespējotu http pakalpojumu publiskajā zonā, mēs izpildām:
sudo firewall-cmd --zone = public --permanent --add-service = http sudo firewall-cmd -reload
PALIELINĀT
2. solis
Izmantojot parametru -remove -service, mēs varam noņemt pakalpojumu no piešķirtās zonas:
sudo ugunsmūris-cmd --zone = public --permanent --remove-service = http sudo firewall-cmd-reload
PALIELINĀT
5. Kā iespējot un atspējot IP maskēšanu, izmantojot ugunsmūri Linux
IP maskēšana jeb IPMASQ / MASQ) ir NAT mehānisms, kas ļauj tīkla saimniekiem ar privātām IP adresēm sazināties ar internetu, izmantojot publisko IP adresi, kas piešķirta Linux serverim, izmantojot IPMASQ vārteju..
Izmantojot šo maskēšanu, datplūsma no neredzamajiem saimniekiem parādīsies citos interneta datoros tā, it kā tā būtu nākusi tieši no Linux servera.
Lai pārbaudītu, vai maskēšana ir aktīva, mēs veicam:
sudo ugunsmūris-cmd-zona = publiska-vaicājums-maskaTad mēs varam pievienot šādu zonu:
sudo firewall-cmd --zone = public --add-masqueradeLai noņemtu zonu no šāda veida funkcijām, mums ir jāveic šādas darbības:
sudo ugunsmūris-cmd-zona = publiska-noņemšana-maska
6. Kā iespējot un atspējot IMCP ziņojumu ugunsmūra Linux
ICMP protokols (interneta kontroles ziņojumu protokols) ir protokols, kas izstrādāts, lai ģenerētu informācijas pieprasījumus vai atbildes uz šiem informācijas pieprasījumiem vai kļūdas apstākļos visā saziņas procesā tīklā.
1. darbība
Firewalld ir iespējams iespējot vai atspējot ICMP ziņojumus, taču ieteicams apstiprināt visus saderīgos ICMP veidus, tāpēc mēs izpildām:
sudo ugunsmūris-cmd --get-icmptypes
PALIELINĀT
2. solis
Mēs varam pievienot vai bloķēt ICMP šādi:
sudo ugunsmūris-cmd --zone = sākums-pievienot-icmp-bloks = atbalss-atbilde
PALIELINĀT
3. solis
Mēs varam redzēt visus ICMP veidus, kas pievienoti zonā, izmantojot slēdzi --list-icmp-bloki:
sudo ugunsmūris-cmd-zona = mājas-saraksts-icmp-bloki
7. Kā iespējot vai ne panikas režīmu ugunsmūra Linux CentOS un Ubuntu
Panikas režīms ir īpašs ugunsmūrī integrēts režīms, kurā tiek izslēgtas visas ienākošās un izejošās paketes, un aktīvie savienojumi beigsies, tiklīdz tas tiks aktivizēts, mēs varam iespējot šo režīmu ārkārtas situācijās, kad pastāv sistēmas draudi, un tādējādi mēs izvairīsimies jebkurš savienojums.
1. darbība
Lai pārbaudītu panikas režīmu, mēs izmantosim opciju --query-panic, un mēs varam to aktivizēt, izmantojot sudo firewall-cmd --panic-on opciju:
PALIELINĀT
2. solis
Lai saprastu, kā šis režīms darbojas, kad tas ir atspējots, mēs varam pingēt vietni un mēs saņemsim visus nosūtītos pieprasījumus, bet pēc tā aktivizēšanas mēs redzēsim ziņojumu, kas norāda uz īslaicīgu savienojuma kļūmi:
PALIELINĀT
3. solis
Lai atspējotu šo režīmu, mēs izpildām:
sudo ugunsmūris-cmd-panic-off
8. Kā bloķēt ugunsmūri Linux CentOS un Ubuntu
1. darbība
Vietnē Firewalld vietējās lietojumprogrammas vai pakalpojumi var mainīt ugunsmūra konfigurāciju, ja tie darbojas ar root tiesībām, mēs varam kontrolēt, kuras lietojumprogrammas var pieprasīt ugunsmūra izmaiņas, pievienojot to bloķējošajam baltajam sarakstam. Šī funkcija pēc noklusējuma ir atspējota, un mēs to varam iespējot vai atspējot, izmantojot slēdzi --lockdown-on vai -lockdown-off:
sudo ugunsmūris-cmd-bloķēšana ieslēgtaVAI
sudo ugunsmūris-cmd-izslēgšana2. solis
Drošāka metode ir iespējot vai atspējot šo funkciju tieši galvenā konfigurācijas faila izdevumā, jo dažreiz bloķējošā baltajā sarakstā nav ugunsmūra-cmd, tāpēc mēs piekļūstam konfigurācijas failam:
sudo nano /etc/firewalld/firewalld.conf
PALIELINĀT
Tur mēs atrodam rindu Lockdown = nē un iestatām tā statusu uz Lockdown = yes, saglabājam izmaiņas, izmantojot taustiņus Ctrl + O, un izejam no redaktora, izmantojot Ctrl + X.
Firewalld ir pilnīgs risinājums, lai mūsu Linux izplatīšanai pievienotu dažādus noteikumus un zonas un tādējādi pievienotu sistēmai labākas vispārējās drošības iespējas.