Yleiset komennot palomuurin CentOS 7/8 palomuurilleD (11.28.21)

Linux -käyttöjärjestelmässä, kuten CentOS 7 ja CentOS Linux, FirewallD on palomuurin oletustyökalu. Se toimii Linux -ytimen Netfilter -kehyksen käyttöliittymänä iptables -komennon kautta ja tarjoaa palomuuritoiminnon vaihtoehtona taulukkopalvelulle. Nimi FirewallD seuraa nimeämisjärjestelmän daemonin Unix -käytäntöä liittämällä kirjain ”d”, joka on kirjoitettu Pythonissa.

CentOS 7/8: n jälkeen iptables -palvelun käynnistysskripti on jätetty huomiotta. Ja sinun on käytettävä palomuuria iptables -palvelun sijasta. Samalla tavalla RHEL 7/8: ssa oletuksena on käyttää palomuuria verkkosuodattimen osajärjestelmän hallintaan, mutta taustalla oleva komento on edelleen iptables. liikennesäännöt. Se tarjoaa komentorivin ja graafisen käyttöliittymän.

Palomuurin ja iptablesin vertailu:

1. Palomuuri voi dynaamisesti muokata yksittäistä sääntöä tai hallita sääntöjoukkoa, jolloin säännöt voidaan päivittää rikkomatta olemassa olevia istuntoja ja yhteyksiä. Iptablesissa sääntöjen muuttamisen jälkeen se on päivitettävä kokonaan, jotta se tulee voimaan.

2. Palomuuri käyttää alueita ja palveluita ketjutettujen sääntöjen sijaan.

3. Palomuurin oletus hylätään, se on määritettävä myöhemmin julkaistavaksi. Ja iptables on oletusarvoisesti sallittu, ja sinun on hylättävä se rajoittaaksesi sitä.

4. Palomuurilla itsellään ei ole palomuurin toimintoa, mutta kuten iptables, se on toteutettava ytimen verkkosuodattimen kautta. Toisin sanoen palomuuri on sama kuin iptables, niiden tehtävänä on ylläpitää sääntöjä, ja sääntöjen todellinen käyttö on ytimen Netfilter. Vain palomuurin ja iptablesin tulokset sekä käyttötapa ovat

Palomuuri on iptables -kääre, joka helpottaa iptables -sääntöjen hallintaa. Se ei korvaa iptablesia, vaikka iptables -komentoa voidaan silti käyttää palomuurissa, mutta on suositeltavaa käyttää vain palomuurin palomuurikomentoa.

Palomuurin asentaminen Linuxiin

Jos CentOS -laitteellasi ei ole palomuuria, voit asentaa sen alla olevien komentojen avulla ja ottaa sen sitten käyttöön + käynnistää sen.

systemctl start firewalld        # to start the FirewallD service on the system
systemctl restart firewalld      # For restarting the service
systemctl enable firewalld       #to enable it at boot level, thus it automatically start when a system booted up.
systemctl stop firewalld         # Stop the service
systemctl disable firewalld      #disable the firewall
firewall-cmd --state             #View the running status
firewall-cmd --zone=public --list-ports    #View open port

Komennot verkkosivuston päivittäisen portin avaamiseen CentOS Linuxissa

Tässä on komentoja joiden avulla voidaan avata joitain yhteisiä portteja CentOS Linux -palvelimella

firewall-cmd --zone=public --add-port=22/tcp --permanent
firewall-cmd --zone=public --add-port=80/tcp --permanent
firewall-cmd --zone=public --add-port=443/tcp --permanent
firewall-cmd --zone=public --add-port=3306/tcp --permanent

Samalla tavalla voimme avata minkä tahansa portin, vain mitä sinun on tehtävä, korvata yllä olevan komennon portin numero sillä, jonka haluat avata.

Avaa UDP portti

Aivan kuten TCP -portit, voimme avata UDP -portin julkiseen käyttöön alla olevan komennon avulla:

palomuuri-cmd –alue = julkinen –add-port = 443/udp –pysyvä

Komennon merkitys:

--add-port=80/tcp #Add port, this is used to specify which port/communication protocol has to open --permanent        #Permanently effective, no failure after restarting this parameter --zone            #Used to specific networking environments public, private or local

Puhutaanpa vähän hieman enemmän verkkoympäristön yläpuolella:

Jakamalla verkko eri alueille kehitetään eri alueiden välinen kulunhallintastrategia datavirran ohjaamiseksi eri ohjelma -alueiden välillä.

Esimerkiksi Internet on epäluotettava alue, kun taas sisäinen verkko on erittäin luotettava alue.

Verkon suojausmalli voi valita alustuksen asennuksen, käynnistyksen ja verkkoyhteyden aikana ensimmäinen kerta. Malli kuvaa koko luottamustasoaverkkoympäristö, johon isäntä on kytketty, ja määrittää, miten uudet yhteydet käsitellään.

Alustusalue:

lohko : Kaikki saapuvat verkkopaketit

toimi : usko, että muut verkon tietokoneet eivät vahingoita tietokonettasi;

koti : Kerro toiselle tietokoneelle verkko ei vahingoita tietokonettasi;

Julkinen alue ( julkinen ): Älä luota mihinkään verkon tietokoneeseen, vaan hyväksy vain saapuvat verkkoyhteydet.

Eristetty alue ( DMZ ): Tunnetaan myös nimellä demilitarisoitu alue , sisäisen ja ulkoisen verkon välinen verkkokerros toimii puskurina. Erillisillä alueilla valitse vain saapuvat verkkoyhteydet.

Luotettu vyöhyke ( luotettu ): Kaikki verkkoyhteydet ovat hyväksyttäviä.

pudota : Kaikki saapuvat verkkoyhteydet hylätään.

sisäinen : Luota muihin verkon tietokoneisiin vahingoittamatta tietokonettasi.

ulkoinen : Älä luota muihin verkon tietokoneisiin ja vahingoittaisi tietokonettasi. Hyväksy vain saapuvat verkkoyhteydet.

palomuurin oletusalue on julkinen .

Palomuurin määritysmenetelmä


Palomuurin tärkeimpiä kokoonpanomenetelmiä on kolme: palomuurikonfiguraatio ( grafiikkatyökalu ), palomuuri-cmd (komentorivityökalu) ja XML-tiedostojen suora muokkaus.

Voit asentaa graafisen työkalun palomuurin hallintaan seuraavasti:

yum  install  firewalld  firewall-config

Palomuuri on määritetty XML: llä. Ellei sinulla ole erityisiä asetuksia, sinun ei tarvitse käsitellä niitä, Käytä palomuuria-cmd.

Kokoonpanotiedosto:

/usr/lib/firewalld #Tallenna oletusasetukset, jotta et muuta niitä.

/etc/firewalld # Tallenna järjestelmän kokoonpanotiedosto, ohitat oletusasetukset.

/usr/lib/firewalld/zone/ -Firewalld tarjoaa oletuksena yhdeksän vyöhykkeen määritystiedostoa: block.xml, dmz. xml, drop.xml, external.xml, home.xml, internal.xml, public.xml, trusted.xml, work.xml

Harvat muut komennot tämän Linux -palomuurin ympärille.

palomuuri-cmd –apu #Näytä kaikki käytettävissä olevat palomuurikomennot

palomuuri-cmd –versio

palomuuri-cmd –tila

palomuuri-cmd –get-aktiiviset-vyöhykkeet # Tarkastele verkkoliittymän käyttämää aluetta.

palomuuri- cmd –alue = julkinen –luettelo-kaikki #Näytä kaikki määritetyn alueen kokoonpanot.

palomuuri-c md –get-default-zone #Näytä oletusalue

palomuuri-cmd –set-default-zone = sisäinen #Aseta oletusalue

palomuuri-cmd –get-zone-of-interface = eth0 #Näytä alue, johon määritetty rajapinta kuuluu. #Lisää rajapintoja vyöhykkeelle, oletusrajapinnat ovat kaikki julkisia, pysyvästi voimassa sekä –pysyvä , sitten lataa uudelleen

#Tarvitaan olla pysyvästi voimassa, lisää –pysyvä

palomuuri-cmd –panic-on | off #reject | avaa kaikki paketit

palomuuri-cmd –kysely-paniikki # Katso, haluatkohylkää

palomuuri-cmd –lataus # Päivitä palomuurisäännöt katkaisematta

palomuuri-cmd –täydellinen uudelleenlataus # samanlainen kuin päivityssääntöjen käynnistäminen uudelleen add-port = 8080/tcp #Lisää portti vyöhykkeelle

Palomuuri-cmd –get-services #Näytä käytettävissä olevat oletuspalvelut

Palomuuri-cmd –alue = vyöhyke-(lisää | poista) -service = http –pysyvä #Ota HTTP-palvelu käyttöön tai poista se käytöstä pysyvästi

Palomuuri-cmd –alue = julkinen –lisäportti = 123456/tcp –pysyvä #TCP-liikenteen lisääminen porttiin 123456

Palomuuri-cmd –alue = julkinen –add-forward-port = port = 80: proto = tcp: toport = 123456 #Lähtevä liikenne portista 80 porttiin 123456

Käytä palvelun kanssa

Palomuurilla on oletuspalvelut, joiden avulla voidaan sallia liikenne ny tietty verkkosovellus tai verkkopalvelu. Kaikki oletuspalvelutiedostot sijaitsevat osoitteessa /usr/lib/firewalld/services , ja käyttäjän luomat palomuurin palvelutiedostot ovat saatavilla osoitteessa /etc/firewalld/services .


Tekijä Vierailija: Amreno Namish

Muut artikkelit:


YTube Video: Yleiset komennot palomuurin CentOS 7/8 palomuurilleD

11, 2021