Opsætning og konfiguration af en firewall med FirewallD på CentOS 7

FirewallD er et firewall-styringsværktøj, der er tilgængeligt som standard på CentOS 7-servere. Dybest set er det en wrapper omkring iptables, og den leveres med grafisk konfigurationsværktøj firewall-config og kommandolinjeværktøj firewall-cmd. Med iptables-tjenesten kræves enhver ændring af de gamle regler og læsning af de nye regler fra filen `/ etc / sysconfig / iptables`, mens firewalld kun bruger forskelle.

FirewallD zoner

FirewallD bruger tjenester og zoner i stedet for iptables regler og kæder. Som standard er følgende zoner tilgængelige:

  • drop - Slet alle indkommende netværkspakker uden svar, kun udgående netværksforbindelser er tilgængelige.
  • blokere - Afvis alle indkommende netværkspakker med en ICMP-vært-forbudt meddelelse, kun udgående netværksforbindelser er tilgængelige.
  • offentlige - Kun udvalgte indkommende forbindelser accepteres til brug i offentlige områder
  • ekstern For eksterne netværk med masquerading aktiveret accepteres kun valgte indgående forbindelser.
  • dmz - DMZ-demilitariseret zone, offentligt tilgængelig med begrænset adgang til det interne netværk, accepteres kun valgte indgående forbindelser.
  • arbejde - For computere i dit hjemområde accepteres kun udvalgte indgående forbindelser.
  • hjem - For computere i dit hjemområde accepteres kun udvalgte indgående forbindelser.
  • interne -For computere i dit interne netværk accepteres kun valgte indgående forbindelser.
  • betroet - Alle netværksforbindelser accepteres.

For at liste alle tilgængelige zoner køre:

# firewall-cmd --get-zoner arbejdsfald interne eksterne betroede hjem dmz offentlig blok

For at angive standardzonen:

# firewall-cmd --get-default-zone offentligt

Sådan ændres standardzonen:

# firewall-cmd - set-default-zone = dmz # firewall-cmd --get-default-zone dmz

FirewallD-tjenester

FirewallD-tjenester er xml-konfigurationsfiler med oplysninger om en serviceindtastning til firewalld. At liste alle tilgængelige tjenester køre:

# firewall-cmd --get-services amanda-client amanda-k5-client bacula bacula-client ceph ceph-mon dhcp dhcpv6 dhcpv6-client dns docker-registry dropbox-lansync freeipa-ldap freeipa-ldaps freeipa-replikation ftp høj http https imap imaps ipp ipp-klient ipsec iscsi-target kadmin kerberos kpasswd ldap ldaps libvirt libvirt-tls mdns mosh mountd ms-wbt mysql nfs ntp openvpn pmcd pmproxy pmwebapi pmwebapis pop3 popXNlpcdpd samba samba-klient sane smtp smtps snmp snmptrap blæksprutte ssh synergi syslog syslog-tls telnet tftp tftp-klient tinc tor-sokker transmission-klient vdsm vnc-server wbem-https xmpp-bosh xmpp-klient xmpp-lokal xmpp-server

xml konfigurationsfiler gemmes i / usr / lib / firewalld / services / og / Etc / firewalld / serviceydelser / mapper.

Konfiguration af din firewall med FirewallD

Som et eksempel her er hvordan du kan konfigurere din RoseHosting VPS firewall med FirewallD, hvis du kører en webserver, SSH på port 7022 og mail server.

Først vil vi indstille standardzonen til dmz.

# firewall-cmd - set-default-zone = dmz # firewall-cmd --get-default-zone dmz

For at tilføje permanente serviceregler for HTTP og HTTPS til dmz-zonen skal du køre:

# firewall-cmd - zone = dmz --add-service = http --permanent # firewall-cmd - zone = dmz --add-service = https --permanent

Åbn port 25 (SMTP) og port 465 (SMTPS):

firewall-cmd - zone = dmz - add-service = smtp --permanent firewall-cmd - zone = dmz --add-service = smtps --permanent

Åbn, IMAP, IMAPS, POP3 og POP3S-porte:

firewall-cmd - zone = dmz - add-service = imap --permanent firewall-cmd - zone = dmz --add-service = imaps --permanent firewall-cmd - zone = dmz --add-service = pop3 --permanent firewall-cmd - zone = dmz --add-service = pop3s --permanent

Da SSH-porten ændres til 7022, fjerner vi ssh-tjenesten (port 22) og åbner port 7022

firewall-cmd - fjern service = ssh --permanent firewall-cmd --add-port = 7022 / tcp --permanent 

For at gennemføre ændringerne skal vi genindlaste firewallen med:

firewall-cmd - reload

Endelig kan du liste reglerne med:

# firewall-cmd -list-all
dmz
mål: standard
icmp-blok-inversion: nej
interfaces:
kilder:
tjenester: http https imap imaps pop3 pop3s smtp smtps
porte: 7022 / tcp
protokoller:
maskerade: nej
forward-porte:
sourceports:
ICMP-blokke:
rige regler:

Kilde

Giv en kommentar

Dette websted bruger Akismet til at reducere spam. Lær, hvordan dine kommentardata behandles.