Come eseguire la configurazione del firewall in CentOS 8

Sig. Valdo Marchetti
Come eseguire la configurazione del firewall in CentOS 8

Per iniziare con la configurazione del firewall in qualsiasi sistema operativo, dobbiamo prima capire cos'è un firewall e cosa fa. Quindi imparamo prima sul firewall.

Cos'è un firewall?

Un firewall, in parole semplici, è un sistema utilizzato per la sicurezza della rete monitorando, controllando e filtrando il traffico di rete (in arrivo o in uscita). Possiamo impostare alcune regole di sicurezza se vogliamo consentire o bloccare un traffico specifico. Quindi, per la sicurezza del sistema, è essenziale un firewall ben configurato.

Firewalld: un sistema di gestione del firewall

Se parliamo della configurazione del firewall nel sistema operativo CentOS 8, CentOS 8 viene fornito con un servizio di firewall noto come firewalld. IL firewalld Daemon è un eccellente software di gestione dei firewall per gestire e controllare il traffico di rete del sistema. Viene utilizzato da diverse principali distribuzioni Linux per eseguire la configurazione del firewall e come sistema di filtraggio dei pacchetti di rete.

Questo post imparerà tutto su firewalld e mostrati come impostare e eseguire la configurazione del firewall nel sistema operativo CentOS 8. Proveremo anche un paio di comandi di base ed eseguiremo alcune configurazioni di firewall di base per gestire il traffico di rete. Cominciamo con la comprensione di Basic Firewalld concetti.

Concetti di base di firewalld

Firewalld Daemon usa il firewall-cmd dietro di esso. Il firewall-cmd è l'utilità o il cliente della linea di comando del firewalld demone. Discutiamo e comprendiamo alcuni concetti di questo strumento.

Per controllare il traffico, firewalld Utilizza zone e servizi. Quindi per capire e iniziare a lavorare con firewalld, devi prima capire in cosa in cosa zone e servizi firewalld Sono.

Zone

Le zone sono come una parte della rete in cui fissiamo alcune regole o fissiamo requisiti di sicurezza specifici per gestire e controllare il flusso di traffico secondo le regole definite della zona. Dichiariamo prima le regole di una zona, quindi viene assegnata un'interfaccia di rete, su cui vengono applicate le regole di sicurezza.

Possiamo impostare o modificare qualsiasi regola in base all'ambiente di rete. Per le reti pubbliche, possiamo stabilire alcune regole rigorose per la nostra configurazione del firewall. Mentre, per una rete domestica, non è necessario stabilire alcune regole rigorose, alcune regole di base funzionano bene.

Ci sono alcune zone predefinite da parte del firewalld Basato sul livello di fiducia. Quindi è meglio capirli e utilizzarli in base al livello di sicurezza che vogliamo impostare.

  • gocciolare: Questa è la zona con il livello più basso di sicurezza. In questa zona, passerà il traffico in uscita e il traffico in arrivo non sarà autorizzato a passare.
  • bloccare: Questa zona è quasi la stessa della zona di caduta sopra, ma riceveremo una notifica se una connessione viene eliminata in questa zona.
  • pubblico: Questa zona è per reti pubbliche non attendibili, dove si desidera limitare le connessioni in arrivo in base allo scenario del caso.
  • esterno: Questa zona viene utilizzata per le reti esterne quando si utilizza il firewall come gateway. Viene utilizzato per la parte esterna del gateway anziché la parte interna.
  • interno: Di fronte alla zona esterna, questa zona è per reti interne quando si utilizza il firewall come gateway. È opposto alla zona esterna e utilizzato sulla parte interna del gateway.
  • DMZ: Questo nome di zona deriva dalla zona demilitarizzata, in cui il sistema avrà un accesso minimo al resto della rete. Questa zona viene utilizzata esplicitamente per i computer in un ambiente di rete meno popolato.
  • lavoro: Questa zona viene utilizzata per i sistemi di ambiente di lavoro per avere quasi tutti i sistemi di fiducia.
  • casa: Questa zona viene utilizzata per le reti domestiche in cui la maggior parte dei sistemi è affidabile.
  • fidato: Questa zona è con il massimo livello di sicurezza. Questa zona viene utilizzata dove possiamo fidarci di ogni sistema.

Non è obbligatorio seguire e usare le zone in quanto sono predefinite. Possiamo modificare le regole della zona e assegnare un'interfaccia di rete in seguito.

Impostazioni delle regole Firewalld

Ci possono essere due tipi di regole in firewalld:

  • Runtime
  • Permanente

Quando aggiungiamo o cambiamo un set di regole, viene applicato solo al firewall in esecuzione. Dopo aver ricaricato il riavvio del servizio firewalld o del sistema, il servizio firewalld caricherà solo le configurazioni permanenti. Le regole di recente o modificate non verranno applicate perché le modifiche che apportiamo al firewalld vengono utilizzate solo per la configurazione di runtime.

Per caricare le regole aggiunte o modificate recentemente aggiunte al riavvio del sistema o ricaricando il servizio firewalld, dobbiamo aggiungerli alle configurazioni permanenti di firewalld.

Per aggiungere le regole e tenerli in permanente nella configurazione, usa semplicemente il flag permanente al comando:

$ sudo firewall-cmd -permanent [opzioni]

Dopo aver aggiunto i set di regole alle configurazioni permanenti, ricaricare il firewall-CMD usando il comando:

$ sudo firewall-cmd--ricarichi

D'altra parte, se si desidera aggiungere le regole di runtime alle impostazioni permanenti, utilizzare il comando digitato di seguito:

$ sudo firewall-cmd--runtime-to-permanent

Utilizzando il comando sopra, tutti i regole di runtime verranno aggiunti alle impostazioni permanenti del firewall.

Installazione e abilitazione Firewalld

Firewalld Viene preinstallato sull'ultima versione di CentOS 8. Tuttavia, per qualche motivo è rotto o non installato, è possibile installarlo usando il comando:

$ sudo dnf Installa firewalld

Una volta firewalld Il daemon è installato, avvia il firewalld Servizio se non è attivato per impostazione predefinita.

Per iniziare il firewalld servizio, eseguire il comando digitato di seguito:

$ sudo systemctl avvia firewalld


È meglio se si avvia automaticamente sullo stivale e non devi avviarlo ancora e ancora.

Per abilitare il firewalld demone, eseguire il comando indicato di seguito:

$ sudo systemctl abilita firewalld


Per verificare lo stato del servizio firewall-cmd, eseguire il comando indicato di seguito:

$ sudo firewall-cmd --state


Puoi vedere nell'output; Il firewall funziona perfettamente bene.

Regole di firewall predefinite

Esploriamo alcune delle regole del firewall predefinite per capirle e cambiarle se necessario completamente.

Per conoscere la zona selezionata, eseguire il comando firewall-cmd con il flag -get-default-zone come mostrato di seguito:

$ firewall-cmd --get-default-zone


Mostrerà la zona attiva predefinita che controlla il traffico in entrata e in uscita per l'interfaccia.

La zona predefinita rimarrà l'unica zona attiva fintanto che non diamo firewalld Qualsiasi comando per modificare la zona predefinita.

Possiamo ottenere le zone attive eseguendo il comando firewall-cmd con il flag -get-attivo-zones come mostrato di seguito:

$ firewall-cmd --get-zones


Puoi vedere nell'output che il firewall controlla la nostra interfaccia di rete e le regole della zona pubblica saranno applicate sull'interfaccia di rete.

Se si desidera definire le regole definite per la zona pubblica, eseguire il comando digitato di seguito:

$ sudo firewall-cmd-list-all


Guardando l'output, puoi assistere che questa zona pubblica è la zona predefinita e una zona attiva e la nostra interfaccia di rete è collegata a questa zona.

Modifica della zona dell'interfaccia di rete

Dal momento che possiamo cambiare le zone e cambiare la zona dell'interfaccia di rete, le zone di cambiamento sono utili quando abbiamo più di un'interfaccia sulla nostra macchina.

Per modificare la zona dell'interfaccia di rete, è possibile utilizzare il comando firewall -cmd, fornire il nome della zona all'opzione -zone e il nome dell'interfaccia di rete all'opzione -change -interface:

$ sudo firewall-cmd --zone = work --change-interface = eth1


Per verificare che la zona viene modificata o meno, eseguire il comando firewall-cmd con opzione di zone -ge-attiva:

$ sudo firewall-cmd --get-zones


Puoi vedere che la zona dell'interfaccia è cambiata con successo come desideravamo.

Cambia la zona predefinita

Nel caso in cui si desideri modificare la zona predefinita, è possibile utilizzare l'opzione -set-default-zone e fornirgli il nome della zona che si desidera impostare con il comando firewall-cmd:

Ad esempio, per cambiare la zona predefinita in casa anziché la zona pubblica:

$ sudo firewall-cmd-set-default-zone = home


Per verificare, eseguire il comando indicato di seguito per ottenere il nome della zona predefinita:

$ sudo firewall-cmd --get-default-zone


Va bene, dopo aver giocato con zone e interfacce di rete, impariamo a impostare le regole per le applicazioni nel firewall su CentOS 8 Sistema operativo.

Impostazione delle regole per le applicazioni

Possiamo configurare il firewall e impostare le regole per le applicazioni, quindi imparamo come aggiungere un servizio a qualsiasi zona.

Aggiungi un servizio a una zona

Spesso dobbiamo aggiungere alcuni servizi alla zona in cui stiamo attualmente lavorando.

Possiamo ottenere tutti i servizi utilizzando l'opzione -get-services nel comando firewall-cmd:

$ firewall-cmd--service

Per ottenere maggiori dettagli su qualsiasi servizio, possiamo guardare il .File XML di quel servizio specifico. Il file di servizio è inserito nella directory/usr/lib/firewalld/servizi.

Ad esempio, se diamo un'occhiata al servizio HTTP, sembrerà così:

$ cat/usr/lib/firewalld/servizi/http.XML


Per abilitare o aggiungere il servizio a qualsiasi zona, possiamo utilizzare l'opzione -Add -Service e fornirgli il nome del servizio.

Se non forniamo l'opzione -Zone, il servizio verrà incluso nella zona predefinita.

Ad esempio, se vogliamo aggiungere un servizio HTTP alla zona predefinita, il comando andrà così:

$ sudo firewall-cmd-sierervice = http


Contrariamente a questo, se si desidera aggiungere un servizio a una zona specifica, menziona il nome della zona all'opzione -zone:

$ sudo firewall-cmd --zone = public --add-service = http


Per verificare l'aggiunta del servizio alla zona pubblica, è possibile utilizzare l'opzione--list-service nel comando firewall-cmd:

$ sudo firewall-cmd --zone = public-list-services


Nell'output di cui sopra, puoi testimoniare che vengono visualizzati i servizi aggiunti nella zona pubblica.

Tuttavia, il servizio HTTP che abbiamo appena aggiunto nella zona pubblica è nelle configurazioni di runtime del firewall. Quindi, se si desidera aggiungere il servizio alla configurazione permanente, puoi farlo fornendo un flag aggiuntivo per il servizio: aggiungendo il servizio:

$ sudo firewall-cmd --zone = public --add-service = http --permanent


Ma, se si desidera aggiungere tutte le configurazioni di runtime alle configurazioni permanenti del firewall, eseguire il comando firewall-cmd con l'opzione -runtime-to-permanent:

$ sudo firewall-cmd--runtime-to-permanent

Tutte le configurazioni di runtime ricercate o indesiderate verranno aggiunte alle configurazioni permanenti eseguendo il comando sopra. Quindi, è meglio utilizzare il flag permanente se si desidera aggiungere una configurazione alle configurazioni permanenti.

Ora, per verificare le modifiche, elenca i servizi aggiunti alle configurazioni permanenti utilizzando l'opzione -permanent e - -list -services nel comando firewall -cmd:

$ sudo firewall-cmd --zone = public-list-services --permanent

Come aprire indirizzi IP e porte sul firewall

Usando il firewall, possiamo consentire a tutti o alcuni indirizzi IP specifici di passare e aprire alcune porte specifiche secondo il nostro requisito.

Consenti un IP di origine

Per consentire il flusso di traffico da un indirizzo IP specifico, è possibile consentire e aggiungere l'indirizzo IP dell'origine menzionando prima la zona e utilizzando l'opzione -ADD -source:

$ sudo firewall-cmd --zone = public --add-source = 192.168.1.10


Se si desidera aggiungere in modo permanente l'indirizzo IP di origine alla configurazione del firewall, eseguire il comando firewall-cmd con opzione -runtime-to-permanent:

$ sudo firewall-cmd--runtime-to-permanent


Per verificare, è possibile elencare anche le fonti utilizzando il comando indicato di seguito:

$ sudo firewall-cmd --zone = public--list-sources


Nel comando sopra, assicurati di menzionare la zona di cui si desidera elencare le fonti.

Se per qualsiasi motivo, si desidera rimuovere un indirizzo IP di origine, il comando per la rimozione dell'indirizzo IP di origine sarebbe così:

$ sudo firewall-cmd --zone = public--remove-source = 192.168.1.10

Apri una porta di origine

Per aprire una porta, dobbiamo prima menzionare la zona e quindi possiamo usare l'opzione -Add -Port per aprire la porta:

$ sudo firewall-cmd --zone = public --add-port = 8080/TCP

Nel comando sopra, /TCP è il protocollo; Puoi fornire il protocollo in base alle tue esigenze, come UDP, SCTP, ecc.

Per verificare, è possibile elencare anche le porte utilizzando il comando indicato di seguito:

$ sudo firewall-cmd --zone = public-list-ports

Nel comando sopra, assicurati di menzionare la zona di cui si desidera elencare le porte.

Per mantenere aperta la porta e aggiungere queste configurazioni alla configurazione permanente, utilizza il flag permanente alla fine del comando sopra o eseguire il comando indicato di seguito per aggiungere tutta la configurazione di runtime alla configurazione permanente del firewall:

$ sudo firewall-cmd--runtime-to-permanent

Se per qualsiasi motivo, si desidera rimuovere una porta, il comando per la rimozione della porta sarebbe così:

$ sudo firewall-cmd --zone = public--remove-port = 8080/TCP

Conclusione

In questo post dettagliato e profondo, hai imparato cos'è un firewall, i concetti di base di un firewall, quali sono le zone e firewalld Impostazioni delle regole. Hai imparato a installare e abilitare il firewalld Servizio su CentOS 8 Sistema operativo.

Nella configurazione del firewall, hai appreso le regole del firewall predefinite, come elencare zone predefinite, zone attive e tutte le zone di firewall-CMD. Inoltre, questo post contiene una breve spiegazione su come modificare la zona dell'interfaccia di rete, come impostare regole per applicazioni come l'aggiunta di un servizio a una zona, aprendo indirizzi IP e porte sul firewall.

Dopo aver letto questo post, gestirai il flusso di traffico sul tuo server e modificherai i set di regole della zona perché questo post ha una descrizione dettagliata di come amministrare, configurare e gestire il firewall sul sistema operativo CentOS 8.

Se vuoi scavare di più e saperne di più sul firewall, non esitare a visitare la documentazione ufficiale di Firewalld.

Golang
Come tagliare una corda in golang
Il taglio delle stringhe è un processo di rimozione di spazi o caratteri extra dall'inizio o dalla f...
Dante Palumbo
c affilato
Quali sono le variabili costanti in C#
Una variabile costante è un tipo di variabile il cui valore è impostato durante la sua definizione e...
Dr. Folco Leone
C ++
Come utilizzare l'operatore di assegnazione di sottrazione in C ++
In C ++ il -= è un operatore di assegnazione di sottrazione, sottrae due valori laterali opposti dal...
Osea Martini
Pitone
Python non tutti gli argomenti convertiti durante la formattazione della stringa
Dr. Ursula Marini
Comandi Linux
Come installare e abilitare l'autenticazione multi-fattore SSH per i sistemi Linux
Sig. Valdo Marchetti
Golang
Come convertire la stringa in tipo intero in Golang?
Felicia Giuliani
JavaScript
Come TypeScript è diverso da JavaScript?
Artemide Ricci
Giava
Come contare il numero di parole in una stringa usando Java?
Piererminio De luca
Giava
Qual è la parola chiave predefinita nelle istruzioni switch?
Artemide Ricci
Powershell
Come usare il cmdlet move-elems in PowerShell?
Dr. Folco Leone
AWS
Cosa è la sottorete su AWS VPC e come usarlo?
Piererminio De luca
Docker
Come uccidere un contenitore Docker?
Nestore Caruso
C ++
Come usare le espressioni booleane in C ++
Sarita Negri