CentOS 7 Firewall: настройка, включение, отключение и создание правил

Одна из мер, включенных в операционные системы, для повышения уровня безопасности и установления контроля над входящими и исходящими системными подключениями. Брандмауэр является фундаментальной частью безопасности нашего оборудования независимо от системы, поскольку именно он защищает наше оборудование от неправильного содержимого. К счастью, в таких системах, как Linux, брандмауэр уже встроен по умолчанию и предлагает нам множество вариантов для решения этих ситуаций. В частности, в CentOS встроенный межсетевой экран называется firewalld и выполняет различные задачи безопасности в нашем дистрибутиве Linux.

Очень важно знать все, что брандмауэр предлагает нам на уровне защиты, и важно знать, что в CentOS 7 решение, включенное в уровень брандмауэра, называется Firewalld, что дает следующие преимущества.

Преимущества Firewalld

Преимущества CentOS 7 Firewall:

• Это динамический брандмауэр.

• Стабильная.

• Несколько вариантов конфигурации.

• Поддерживает конфигурации Ipv4, Ipv6 и мосты Ethernet.

• Мы можем определить различные формы конфигурации Firewalld (непрерывный и работающий)

• Мы подробно проанализируем, как Firewalld работает в CentOS 7, и таким образом мы поймем его полную сферу.

1. Основные термины в Firewalld CentOS 7

Перед тем, как посмотреть, как использовать Firewalld в CentOS 7, необходимо несколько слов, на которые важно обратить внимание, поскольку они будут постоянно присутствовать в CentOS 7.

Что такое площадь?

Сетевая зона - это зона, в функции которой входит определение уровня доверия, которое будет иметь сетевое соединение.

Эти зоны управляются Firewalld в различных группах правил, и одна зона может использоваться многими сетевыми подключениями.

В Firewalld есть несколько типов областей:

Капля

Это самый низкий уровень доверия, поскольку все входящие пакеты автоматически отклоняются и разрешают только исходящие пакеты.

блок

Этот уровень доверия аналогичен Drop с той разницей, что входящие пакеты отклоняются сообщениями, запрещенными icmp-host для IPv4, и icmp6-adm-запрещено для IPv6.

общественного

Этот уровень доверия относится к ненадежным публичным сетям, он принимает только надежные соединения.

внешний

Этот тип уровня используется, когда мы используем Брандмауэр в качестве шлюза, и его маскирование включается маршрутизаторами.

ДМЗ

Этот уровень используется в оборудовании, расположенном в зоне DMZ (демилитаризованной), то есть имеет открытый доступ с ограничением к внутренней сети. Принимайте только принятые соединения.

работа

Этот уровень используется в рабочих областях, где большая часть сетевого оборудования будет иметь к нему доступ.

дома

Этот тип уровня используется в домашних условиях, и большинство оборудования принимается.

внутренний

Этот тип уровня используется во внутренних сетях, поэтому все компьютеры в сети будут приняты.

доверенный

Это самый высокий уровень и зависит от всех входящих соединений.

Любая из этих зон может быть настроена в правилах, которые мы создаем с помощью Firewalld в CentOS 7.

2. Как создать постоянное правило CentOS 7

Когда мы настраиваем Firewalld в CentOS 7, мы можем создавать два типа правил, постоянные или немедленные, поэтому, когда мы редактируем правило, изменение будет видно автоматически, но при следующем входе в систему это правило будет отменено.

Чтобы избежать этого, мы должны использовать параметр –permanent, чтобы правило было непрерывным и не удалялось при каждом входе в систему.

 -постоянно 

3. Как запустить службу Firewall в CentOS 7

Шаг 1
Важно, чтобы перед созданием необходимых правил с Firewalld мы активировали службу Firewalld, для этого мы вводим следующее.

 sudo systemctl start Firewalld.service 

$config[ads_text5] not found

Шаг 2
Если отображается сообщение об ошибке, указывающее, что Firewalld не установлен, мы можем выполнить следующую команду для его установки:

 Sudo yum установить Firewalld -y 

Шаг 3
Чтобы увидеть состояние службы брандмауэра, мы будем использовать следующую команду. Мы видим, что его состояние работает. Таким образом, мы включили службу и можем создавать и редактировать правила брандмауэра в CentOS 7.

 Firewall-cmd –state 

4. Как просмотреть текущую область CentOS 7

Шаг 1
Мы можем визуализировать текущую зону, в которой находится наше оборудование, используя следующую команду.

 Firewall-cmd --get-default-zone 

$config[ads_text6] not found

Шаг 2
Результат будет следующим:

Шаг 3
Чтобы узнать, какие правила связаны с этой зоной, мы можем использовать следующую команду:

 Firewall-cmd --list-all 

5. Как исследовать различные области в CentOS 7

Шаг 1
Мы можем проверить, какие зоны доступны для использования, введя следующую команду:

 Firewall-cmd --get-zone 

Шаг 2
Можно увидеть конфигурацию, связанную с зоной, используя параметр –zone; например:

 Firewall-cmd --zone = home --list-all 

6. Как выбрать зоны для сетевых интерфейсов в CentOS 7

Шаг 1
Возможно, что в активном сеансе мы хотим назначить определенную зону сетевому интерфейсу оборудования, для этого мы назначим домашнюю зону интерфейсу eth0 CentOS 7:

 sudo Firewall-cmd --zone = home --change-interface = eth0 

$config[ads_text5] not found

Шаг 2
Мы видим, что его статус правильный, мы можем проверить это с помощью следующей команды:

 Firewall-cmd --get-active-zone 

Шаг 3
Проблема в том, что интерфейс вернется в свою зону по умолчанию, если мы не настроили определенную зону в этом интерфейсе, эти конфигурации интерфейса размещаются по следующему маршруту:

 / etc / sysconfig / network-scripts 

Шаг 4
Файлы в этом каталоге находятся в формате ifcfg-interface. Например, мы можем определить зону для интерфейса eth0, используя следующую команду:

 sudo nano / etc / sysconfig / network-scripts / ifcfg-eth0 

7. Как настроить правила для приложений в CentOS 7

Шаг 1
Мы можем добавить исключения в брандмауэр, чтобы некоторые приложения могли выполняться без каких-либо проблем, чтобы увидеть сервисы, доступные в CentOS 7, мы будем использовать следующую команду:

 Firewall-cmd --get-services 

Шаг 2
Чтобы включить службу в определенной области, нам нужно будет использовать следующий параметр:

 --add-service = параметр 

Шаг 3
Если мы хотим добавить службу http в публичную область, мы будем использовать следующий синтаксис:

 sudo Firewall-cmd --zone = public --add-service = http 

Шаг 4
Можно просмотреть все службы в этой области, включая недавно добавленную, с помощью следующей команды.

 Firewall-cmd --zone = public --list-services 

Шаг 5
Теперь, если мы хотим, чтобы этот сервис был постоянным, мы должны добавить, как мы уже упоминали, параметр –permanent.

 sudo Firewall-cmd --zone = public --permanent --add-service = http 

Таким образом, сервис будет активен при каждом входе в CentOS 7.

8. Как открыть порт для определенной области в CentOS 7

Шаг 1
Открытие порта в брандмауэре дает нам возможность получить лучшую поддержку для наших приложений и программ, например, если у нас есть приложение, использующее порт 3500 UDP, мы должны добавить его в зону с помощью параметра –add-port, например:

 sudo Firewall-cmd --zone = public --add-port = 3500 / udp 

Шаг 2
Чтобы увидеть открытые порты в брандмауэре, мы можем использовать следующую команду.

 Firewall-cmd --list-ports 

9. Как создать собственную зону в CentOS 7 Firewalld

Хотя зоны, используемые по умолчанию в брандмауэре CentOS 7, покрывают потребности организации, мы можем захотеть создать наши правила для определенных служб.

Шаг 1
Мы создадим новую область под названием Solvetic, поэтому введем следующее:

 sudo Firewall-cmd --permanent --new-zone = Solvetic 

Шаг 2
Мы можем использовать следующую команду, чтобы увидеть активные зоны в CentOS 7:

 sudo Firewall-cmd --permanent --get-zone 

Шаг 3
Теперь для отражения новой зоны мы должны перезапустить службу Firewalld с помощью следующей команды:

 sudo Firewall-cmd –reload 

Шаг 4
Теперь, если мы хотим добавить сервис в нашу новую зону, например, SSH, мы будем использовать следующую команду:

 брандмауэр udo-cmd --zone = Solvetic --add-service = ssh 

10. Как включить брандмауэр для автоматического запуска при входе в CentOS7

Если мы хотим, чтобы служба брандмауэра была включена с момента запуска CentOS 7, и нет необходимости включать ее в любое время, мы можем использовать следующую команду:

 sudo systemctl включить Firewalld 

Таким образом, межсетевой экран будет постоянно активен в CentOS 7, защищая все параметры системы.

11. Как остановить и отключить Firewalld в CentOS 7

Шаг 1
Чтобы отключить Firewalld в CentOS 7, мы должны использовать следующую команду:

 systemctl отключить Firewalld 

$config[ads_text5] not found

Шаг 2
Чтобы полностью остановить Firewalld, мы будем использовать следующую команду:

 systemctl stop Firewalld 

12. Как заблокировать Firewalld в Linux CentOS и Ubuntu

Как мы видим в брандмауэре, мы также рискуем, что локальное программное обеспечение, такое как программы или службы, может вносить изменения в конфигурацию нашего брандмауэра, если они запускаются с правами root. Но, как хорошие администраторы, мы можем контролировать, какие программы могут вносить изменения, а какие - в белый список.

Шаг 1
Это отключено по умолчанию, но мы можем управлять им с помощью следующих команд:

 sudo firewall-cmd - блокировка-вкл (включить) sudo firewall-cmd - блокировка-выкл (отключить) 

Шаг 2
Другой способ управлять этой опцией более безопасным способом - это сделать это из базового файла конфигурации, потому что firewall-cmd не всегда существует. Поэтому мы выполняем следующее:

 sudo nano /etc/firewalld/firewalld.conf 

$config[ads_text5] not found

Шаг 3
Здесь мы должны найти строку Lockdown = no и передать ее статус в Lockdown = yes.

Шаг 4
Теперь вам просто нужно сохранить изменения и выйти с этими ключами:
Мы сохраняем изменения, используя следующую комбинацию клавиш:

Ctrl + O

Мы покидаем редактор, используя:

Ctrl + X

13. Как отключить брандмауэр в Linux CentOS Ubuntu

Системы Linux и их различные дистрибутивы включают в себя тип межсетевого экрана под названием UFW, который стремится защитить целостность сетевой безопасности, контролируя таким образом соединения и устанавливая, являются ли они безопасными или нет. Как мы видим, в CentOS этот межсетевой экран называется firewalld, и его миссия - уровни доверия и сетевые зоны в зависимости от того, вредны они для системы или нет. Этот Firewalld интегрирован в CentOS и RedHat.

$config[ads_text6] not found

По умолчанию этот firewalld деактивирован, и в Solvetic мы рекомендуем включить его, чтобы контролировать, какие соединения безопасны, а какие нет. Однако бывают случаи, когда нам необходимо выполнять задачи или тесты, когда брандмауэр предотвращает это, и поэтому нам необходимо временно отключить его. Чтобы активировать или деактивировать брандмауэр, вы можете сделать следующее:

14. Как установить и настроить CSF Firewall на CentOS 7 Linux

В рамках управления брандмауэром в CentOS мы можем говорить о брандмауэре CSF. Это основной элемент безопасности в управлении веб-серверами. Его основная задача - остановить темный трафик вредоносного контента, который может попасть на сервер. Этот брандмауэр действует как стена против злоумышленников или грубых атак, которые пытаются нанести вред нашим системам.

$config[ads_text5] not found

CSF Firewall уведомляет нас в режиме реального времени и по почте обо всем, что происходит на наших серверах. Благодаря этим уведомлениям мы можем действовать быстро и облегчать возникающие проблемы. Этот межсетевой экран CSF выполняет тщательный анализ пакетов SPI при выполнении задач безопасности, таких как упомянутые.

Чтобы установить и настроить CSF Firewall в CentOS 7, мы сделаем следующее.

Таким образом, мы можем управлять всеми значениями Firewalld в CentOS 7 для создания зон в соответствии с корпоративными потребностями. Безопасность очень важна и особенно важна, если мы говорим о рабочей среде, где информация гораздо более деликатна.