Upravljajte mrežnom sigurnošću s Firewallom pomoću naredbenih redaka

Održavanje mrežne sigurnosti ključno je za administratore sustava, a konfiguriranje vatrozida putem naredbenog retka osnovna je vještina za učenje. Članak će istaknuti kako upravljati vatrozidom pomoću firewall-cmd u Linux naredbenom retku.

Vatrozid je u osnovi softver koji možete konfigurirati za kontrolu dolaznog i odlaznog mrežnog prometa. Vatrozidi mogu drugim korisnicima onemogućiti upotrebu mrežnih usluga na sustavu koji koristite. Većina Linux sustava isporučuje se sa zadanim vatrozidom. Ranije verzije Linux sustava koristile su iptables kao demon za filtriranje paketa. Novije verzije Fedore, RHEL / CentOS, openSUSE isporučuju se s Firewallom kao zadanim demonom vatrozida. Firewalld možete instalirati i u distribucijama Debian i Ubuntu.

Preporučujem da umjesto iptables koristite Firewalld. Ne vjerujte mi samo na riječ. Saznajte više iz našeg sveobuhvatnog vodiča o dostupnim vatrozidima otvorenog koda za vaš Linux sustav.

Vatrozid je dinamični demon za upravljanje vatrozidima s podrškom za mrežne ili vatrozidne zone. Zone vatrozida definiraju razine pouzdanosti mrežne sigurnosti mrežnih sučelja, usluga ili veza. Administratori mrežnog sigurnosnog sustava otkrili su kako Firewalld izvrsno radi s IPv4, IPv6, IP skupovima i Ethernet mostovima. Za upravljanje vatrozidom možete upotrijebiti naredbu terminala firewall-cmd ili alat za konfiguraciju GUI-a za konfiguriranje vatrozida.

Ovaj vodič će koristiti vatrozid-cmd naredba za upravljanje mrežnom sigurnošću, a naše testno okruženje bit će Fedora Workstation 33.

Prije nego što dobijemo sve tehničke, naučimo nekoliko mrežnih osnova.

Osnove mreže

Računalu povezanom na mrežu dodjeljuje se IP adresa koja se koristi za usmjeravanje podataka. Računala također imaju priključke u rasponu od 0-65535, koji djeluju kao točke povezivanja na IP adresi. Aplikacije mogu rezervirati određene portove. Web poslužitelji obično rezerviraju port 80 za sigurnu HTTP komunikaciju. U osnovi rasponi luka 0 - 1024 rezervirani su za dobro poznate svrhe i sustav.

Dva glavna protokola za internetski prijenos podataka (TCP i UDP) koriste ove priključke tijekom mrežne komunikacije. Računalo domaćin uspostavlja vezu između izvorne IP adrese i porta (port 80 za nesigurni HTTP) i odredišne ​​adrese i porta.

Za upravljanje mrežnom sigurnošću softver vatrozida može dopustiti ili blokirati prijenos podataka ili komunikaciju na temelju pravila poput priključaka ili IP adresa.

Instaliranje Firewallda

Fedora, RHEL / CentOS 7/8, openSUSE

Firewalld je prema zadanim postavkama instaliran u Fedori, RHEL / CentOS 7/8 i openSUSE. Ako nije, možete ga instalirati pomoću sljedeće naredbe:

# yum instaliraj firewalld -y
ILI
#dnf instalirati vatrozid -y

Debian / Ubuntu

Ubuntu sustavi prema zadanim se postavkama isporučuju s nekompliciranim vatrozidom. Da biste koristili vatrozid, morate omogućiti svemirsko spremište i deaktivirati nekomplicirani vatrozid.

sudo add-apt-repozitorij svemir
sudo apt instalirati vatrozid

Deaktiviranje nekompliciranog vatrozida:

sudo systemctl onemogući ufw

Omogući zaštitni zid prilikom pokretanja:

sudo systemctl enable -now firewalld

Provjerite radi li Firewalld:

sudo firewall-cmd -state
trčanje

Zone vatrozida

Firewalld čini konfiguraciju vašeg vatrozida jednostavnom uspostavljanjem zadanih zona. Zone su skup pravila koja odgovaraju svakodnevnim potrebama većine administratora Linuxa. Zona vatrozida može definirati pouzdane ili odbijene razine za usluge i priključke.

• Pouzdana zona: Sve mrežne veze prihvaćaju se i koriste samo u pouzdanim okruženjima poput obiteljske kuće ili testnog laboratorija.
• Javna zona: Pravila možete definirati samo da dopustite određenim priključcima otvaranje veza, dok će druge veze biti prekinute. Može se koristiti na javnim mjestima kada nemate povjerenja u druge hostove u mreži.
• Dom, interno, radne zone: Većina dolaznih veza prihvaća se u ove tri zone. Dolazne veze isključuju promet na lukama koje ne očekuju nikakve veze ili aktivnosti. Možete ga primijeniti u kućnim vezama gdje postoji opće povjerenje ostalih korisnika na mreži. Omogućuje samo odabrane dolazne veze.
• Blokirana zona: Ovo je izuzetno paranoična postavka vatrozida gdje su moguće samo veze pokrenute iz mreže ili poslužitelja. Sve dolazne veze s mrežom se odbijaju i izdaje se poruka zabranjena od strane ICMP-a.
• DMZ zona: Demilitarizirana zona može se koristiti za omogućavanje pristupa nekim uslugama javnosti. Prihvaćaju se samo odabrane veze. To je bitna opcija za određene vrste poslužitelja u mreži organizacije.
• Vanjska zona: Kad je omogućena, ova zona će djelovati kao usmjerivač i može se koristiti u vanjskim mrežama s omogućenim maskiranjem. IP adresa vaše privatne mreže preslikava se i skriva iza javne IP adrese. Prihvaćaju se samo odabrane dolazne veze, uključujući SSH.
• Pad zona: Svi dolazni paketi ispuštaju se bez odgovora. Ova zona dopušta samo odlazne mrežne veze.

Primjer zadanih zona definiranih Fedora radnom stanicom 33

cat / usr / lib / firewalld / zone / FedoraWorkstation.xml


Fedora radna stanica
Neželjeni dolazni mrežni paketi odbijaju se od priključka 1 do 1024, osim za odabrane mrežne usluge. [vatrozid] Prihvaćaju se dolazni paketi koji se odnose na odlazne mrežne veze. Odlazne mrežne veze su dopuštene.

Dohvatite svoju trenutnu zonu:
Možete koristiti - - get-aktivne-zone zastavicu za provjeru trenutno aktivnih zona u vašem sustavu.

sudo firewall-cmd --get-active-zone
[sudo] lozinka za tuts:
FedoraWorkstation
sučelja: wlp3s0
libvirt
sučelja: virbr0

Zadana zona na Fedora Workstation 33 u FedoraWorkstation zoni

Nabavite zadanu zonu i sve definirane zone:

sudo firewall-cmd --get-default-zone
[sudo] lozinka za tuts:
FedoraWorkstation
[tuts @ fosslinux ~] $ sudo firewall-cmd --get-zone
FedoraServer Fedora radna stanica blok dmz ispuštanje vanjskog doma interni libvirt nm-podijeljeno javno pouzdano djelo

Popis usluga:

Možete dobiti usluge koje vatrozid omogućuje drugim sustavima da pristupe pomoću  - -popis usluga zastava.

[tuts @ fosslinux ~] $ sudo firewall-cmd --list-services
dhcpv6-klijent mdns samba-klijent ssh

Na Fedori Linux 33, vatrozid omogućuje pristup četiri usluge (dhcpv6-client mdns samba-client ssh) s dobro poznatim brojevima priključaka.

Popis postavki priključaka vatrozida:
Možete koristiti - -popis-luke zastavicu da biste vidjeli ostale postavke porta u bilo kojoj zoni.

tuts @ fosslinux ~] $ sudo firewall-cmd --list-ports --zone = FedoraWorkstation
[sudo] lozinka za tuts:
1025-65535 / udp 1025-65535 / tcp

Naveli smo zonu za provjeru pomoću opcije - -zone = FedoraWorkstaion.

Upravljanje zonama, lukama i uslugama

Konfiguracije vatrozida mogu se konfigurirati kao vrijeme izvođenja ili kao trajne. Sve akcije cmd vatrozida traju samo dok se računalo ili vatrozid ponovno ne pokrenu. Morate stvoriti trajne postavke s oznakom -permanent.

Stvorite zonu

Da biste stvorili zonu, morate koristiti - -nova zona zastava.
Primjer:
Stvorite novu trajnu zonu nazvanu fosscorp:

[tuts @ fosslinux ~] $ sudo firewall-cmd --new-zone fosscorp - permanent
[sudo] lozinka za tuts:
uspjeh

Ponovo učitajte pravila vatrozida da biste aktivirali novu zonu:

[tuts @ fosslinux ~] $ sudo firewall-cmd --reload

Dodajte ssh uslugu u zonu fosscorp kako biste joj mogli pristupiti na daljinu:

[tuts @ fosslinux ~] $ sudo firewall-cmd --zone fosscorp --add-service ssh --permanent
[sudo] lozinka za tuts:
uspjeh

Potvrdite da je nova zona 'fosscorp' aktivna:

[tuts @ fosslinux ~] $ sudo firewall-cmd --get-zone
FedoraServer FedoraWorkstation block dmz drop external fosscorp home interni libvirt nm-podijeljeno javno pouzdano djelo

Vaša nova zona fosscorp sada je aktivna i odbija sve dolazne veze osim SSH prometa.

Koristiti - -promjena-sučelje zastavu da zona fosscorp postane aktivna i zadana zona za mrežno sučelje (wlp3s0) koje želite zaštititi:

[tuts @ fosslinux ~] $ sudo firewall-cmd --change-interface wlp3s0 \
> --zone fosscorp --trajno
Sučelje je pod [vatrozidom] kontrolom NetworkManager-a, postavljajući zonu na 'fosscorp'.
uspjeh

Ako želite postaviti fosscorp kao zadanu i primarnu zonu, pokrenite sljedeću naredbu:

[tuts @ fosslinux ~] $ sudo firewall-cmd --set-default fosscorp
uspjeh

Pregledajte zone trenutno dodijeljene svakom sučelju pomoću - -get-aktivne-zone zastava:

[tuts @ fosslinux ~] $ sudo firewall-cmd --get-active-zone
fosscorp
sučelja: wlp3s0

Dodavanje i uklanjanje usluga:

Brzi način za omogućavanje prometa kroz vaš vatrozid je dodavanje unaprijed definirane usluge.

Popis dostupnih unaprijed definiranih usluga:

tuts @ fosslinux ~] $ sudo firewall-cmd --get-usluge
[sudo] lozinka za tuts:
RH-Satellite-6 amanda-klijent amanda-k5-klijent amqp amqps apcupsd revizija bacula bacula-klijent bb bgp bitcoin bitcoin-rpc
bitcoin-testnet bitcoin-testnet-rpc bittorrent-lsd ceph ceph-mon cfengine kokpit kondor kolektor ctdb dhcp dhcpv6 dhcpv6-client
[…]

Deblokirajte unaprijed definiranu uslugu

Možete dopustiti HTTPS promet (ili bilo koju drugu unaprijed definiranu uslugu) putem svog vatrozida pomoću - -dodatna usluga zastava.

[tuts @ fosslinux ~] $ sudo firewall-cmd --add-service https --permanent
uspjeh
[tuts @ fosslinux ~] $ sudo firewall-cmd --reload

Uslugu možete ukloniti i pomoću - -usluga uklanjanja zastava:

[tuts @ fosslinux ~] $ sudo firewall-cmd --remove-service https --permanent
uspjeh
[tuts @ fosslinux ~] $ sudo firewall-cmd --reload

Dodajte i uklonite luke

Također možete dodati broj priključka i prototip izravno s oznakom -add-port. Izravno dodavanje broja priključka može dobro doći kada unaprijed definirana usluga ne postoji.

Primjer:
Možete dodati nestandardne luka 1717 za SSH u vašu prilagođenu zonu pomoću sljedeće naredbe:

[tuts @ fosslinux ~] $ sudo firewall-cmd --add-port 1717 / tcp - trajni
[sudo] lozinka za tuts:
uspjeh
[tuts @ fosslinux ~] $ sudo firewall-cmd -reload

Uklonite port pomoću opcije zastavice -remove-port:

[tuts @ fosslinux ~] $ sudo firewall-cmd --remove-port 1717 / tcp - trajni
uspjeh
[tuts @ fosslinux ~] $ sudo firewall-cmd -reload

Također možete odrediti zonu za dodavanje ili uklanjanje porta dodavanjem zastave -zone u naredbu:
Dodajte zonu 1718 za TCP vezu u FedoraWorstation zonu:

[tuts @ fosslinux ~] $ sudo firewall-cmd --zone = FedoraWorkstation --permanent --add-port = 1718 / tcp
uspjeh
[tuts @ fosslinux ~] $ sudo firewall-cmd --reload
uspjeh

Potvrdite jesu li promjene stupile na snagu:

[tuts @ fosslinux ~] $ sudo firewall-cmd --list-all
FedoraWorkstation (aktivan)
cilj: zadani
inverzija icmp-blok: br
sučelja: wlp3s0
izvori:
usluge: dhcpv6-client mdns samba-client ssh
priključci: 1025-65535 / udp 1025-65535 / tcp 1718 / tcp
protokoli:
maškarada: ne
prednji priključci:
izvorni portovi:
icmp-blokovi:
bogata pravila:

Napomena: Pod luke smo dodali broj luke 1718 kako bi se omogućio TCP promet.

Možete ukloniti luka 1718 / tcp pokretanjem sljedeće naredbe:

[tuts @ fosslinux ~] $ sudo firewall-cmd --zone = FedoraWorkstation - permanent --remove-port = 1718 / tcp
uspjeh
[tuts @ fosslinux ~] $ sudo firewall-cmd --reload
uspjeh

Napomena: Ako svoje promjene želite učiniti trajnim, morate dodati - -trajni zastavicu svojim naredbama.

Rekapitulacija

Firewalld je izvrstan uslužni program za upravljanje mrežnom sigurnošću. Najbolji način za povećanje vještina administratora vašeg sustava je stjecanje praktičnog iskustva. Toplo preporučujem instaliranje Fedore na vaš omiljeni virtualni stroj (VM) ili u Boxes kako biste eksperimentirali sa svim dostupnim funkcijama firewall-cmd. Možete saznati više funkcija vatrozida-cmd na službenoj početnoj stranici Firewalld-a.