Võrgu turvalisuse säilitamine on süsteemiadministraatorite jaoks võti ja tulemüüri konfigureerimine käsurea kaudu on oluline oskus, mida õppida. Artiklis tuuakse välja tulemüüri haldamine tulemüüri cmd abil Linuxi käsureal.
Tulemüür on sisuliselt tarkvara, mille saate konfigureerida sissetuleva ja väljamineva võrguliikluse juhtimiseks. Tulemüürid võivad takistada teistel kasutajatel teie kasutatavas süsteemis võrguteenuste kasutamist. Enamik Linuxi süsteeme tarnitakse vaikimisi tulemüüriga. Linuxi süsteemide varasemad versioonid on pakettide filtreerimise deemonina kasutanud iptablesi. Fedora, RHEL / CentOS, laeva openSUSE uuemad versioonid, mille tulemüüri vaikimisi deemon on tulemüür. Firewalldi saate installida ka Debiani ja Ubuntu distrosse.
Soovitan iptable'i asemel kasutada tulemüüri. Ärge võtke seda lihtsalt minu sõna. Lisateavet leiate meie põhjalikust juhendist Linuxi süsteemile saadaolevate avatud lähtekoodiga tulemüüride kohta.
Firewalld on dünaamiline deemon tulemüüride haldamiseks, toetades võrgu- või tulemüüri tsoone. Tulemüüritsoonid määravad võrguliideste, -teenuste või -ühenduste võrgu turvalisuse usaldustasemed. Võrgu turvasüsteemi administraatorid on leidnud, et tulemüür töötab suurepäraselt IPv4, IPv6, IP komplektide ja Etherneti sildadega. Tulemüüri haldamiseks võite kasutada tulemüüri cmd terminali käsku või tulemüüri konfigureerimise GUI seadistustööriista.
Selles juhendis kasutatakse tulemüür-cmd käsk võrgu turvalisuse haldamiseks ja meie testikeskkonnaks saab Fedora Workstation 33.
Enne kui saame kõik tehnilised, õpime mõned põhitõed võrgus.
Võrgu põhitõed
Võrku ühendatud arvutile määratakse IP-aadress, mida kasutatakse andmete suunamiseks. Samuti on arvutitel porte vahemikus 0-65535, mis toimivad IP-aadressi ühenduspunktidena. Rakendused võivad reserveerida konkreetseid sadamaid. Veebiserverid reserveerivad tavaliselt pordi 80 turvalise HTTP-ühenduse jaoks. Põhimõtteliselt on pordivahemikud 0-1024 reserveeritud tuntud eesmärkidel ja süsteemil.
Kaks peamist Interneti-andmeedastusprotokolli (TCP ja UDP) kasutavad neid porte võrguside ajal. Peremeesarvuti loob ühenduse allika IP-aadressi ja pordi (mittepõhise HTTP jaoks 80 port) ning sihtkoha aadressi ja pordi vahel.
Võrgu turvalisuse haldamiseks võib tulemüüri tarkvara lubada või blokeerida andmeedastust või suhtlemist reeglite alusel, näiteks pordid või IP-aadressid.
Firewalldi installimine
Fedora, RHEL / CentOS 7/8, openSUSE
Firewalld on vaikimisi installitud Fedorasse, RHEL / CentOS 7/8 ja openSUSE. Kui ei, saate selle installida järgmise käsu abil:
# yum installige tulemüür -y
VÕI
#dnf installige tulemüür -y
Debian / Ubuntu
Ubuntu süsteemid tarnitakse vaikimisi komplitseerimata tulemüüriga. Tulemüüri kasutamiseks peate lubama universumi hoidla ja deaktiveerima tüsistusteta tulemüüri.
sudo add-apt-hoidla universum
sudo apt install tulemüür
Deaktiveerige tüsistusteta tulemüür:
sudo systemctl keelab ufw
Lubage tulemüür käivitamisel:
sudo systemctl enable-nüüd tulemüür
Veenduge, et tulemüür töötab:
sudo tulemüür-cmd -riik
jooksmine
Tulemüüri tsoonid
Firewalld muudab teie tulemüüri konfigureerimise lihtsaks, luues vaikevööndid. Tsoonid on reeglite kogum, mis sobib enamiku Linuxi administraatorite igapäevaste vajadustega. Tulemüüritsoon võib määratleda teenuste ja portide jaoks usaldusväärsed või keelatud tasemed.
- Usaldusväärne tsoon: Kõiki võrguühendusi aktsepteeritakse ja kasutatakse ainult usaldusväärsetes keskkondades, nagu perekodu või katselabor.
- Avalik tsoon: Reeglid saate määratleda ainult selleks, et teatud sadamad saaksid ühendusi avada, samal ajal kui teised ühendused katkestatakse. Seda saab kasutada avalikes kohtades, kui te ei usalda teisi võrgu hoste.
- Kodu, sisemine, töötsoonid: Enamik sissetulevaid ühendusi võetakse vastu nendes kolmes tsoonis. Sissetulevad ühendused välistavad liikluse sadamates, kus ei eeldata ühendusi ega tegevust. Saate seda rakendada koduühendustes, kus võrgu teised kasutajad üldiselt usaldavad. See lubab ainult valitud sissetulevaid ühendusi.
- Blokeeri tsoon: See on äärmiselt paranoiline tulemüüri seade, kus on võimalikud ainult võrgu või serveri kaudu algatatud ühendused. Kõik sissetulevad ühendused võrku lükatakse tagasi ja väljastatakse ICMP-host-keelatud teade.
- DMZ tsoon: Demilitariseeritud tsooni saab kasutada, et võimaldada üldsusele juurdepääsu mõnele teenusele. Aktsepteeritakse ainult valitud ühendusi. See on organisatsiooni võrgus teatud tüüpi serverite jaoks hädavajalik valik.
- Väline tsoon: Kui see on lubatud, toimib see tsoon ruuterina ja seda saab kasutada välistes võrkudes, kus maskeerimine on lubatud. Teie privaatvõrgu IP-aadress on kaardistatud ja peidetud avaliku IP-aadressi taha. Aktsepteeritakse ainult valitud sissetulevaid ühendusi, sealhulgas SSH-d.
- Kukutsoon: Kõik sissetulevad paketid loobuvad vastamata. See tsoon lubab ainult väljuvaid võrguühendusi.
Näide Fedora tööjaama määratletud vaikevöönditest
kass / usr / lib / tulemüür / tsoonid / FedoraWorkstation.xmlFedora tööjaam Soovimata sissetulevad võrgupaketid lükatakse porti 1 kuni 1024 tagasi, välja arvatud valitud võrguteenused. [tulemüür] Väljaminevate võrguühendustega seotud sissetulevaid pakette aktsepteeritakse. Väljaminevad võrguühendused on lubatud.
Hankige oma praegune tsoon:
Võite kasutada - - get-active-tsoonid lipp, et kontrollida teie süsteemis praegu aktiivseid tsoone.
sudo tulemüür-cmd --get-active-zone
[sudo] parool juhendajate jaoks:
FedoraWorkstation
liidesed: wlp3s0
libvirt
liidesed: virbr0
Vaiketsoon Fedora Workstation 33-s FedoraWorkstationi tsoonis
Hankige vaikevöönd ja kõik määratletud tsoonid:
sudo tulemüür-cmd --get-default-zone
[sudo] parool juhendajate jaoks:
FedoraWorkstation
[tuts @ fosslinux ~] $ sudo tulemüür-cmd --get-zone
FedoraServer Fedora tööjaama plokk dmz välise kodu sisemine libvirt nm-jagatud avalik usaldusväärne töö
Loetle teenused:
Teenused, millele tulemüür lubab teistele süsteemidele juurdepääsu, kasutades - -nimekirja-teenused lipp.
[tuts @ fosslinux ~] $ sudo tulemüür-cmd --list-services
dhcpv6-klient mdns samba-klient ssh
Fedora Linux 33-s võimaldab tulemüür juurdepääsu neljale tuntud pordinumbriga teenusele (dhcpv6-klient mdns samba-klient ssh).
Loetlege tulemüüri pordi seaded:
Võite kasutada - -loendipordid lipp, et näha mis tahes tsooni muid pordiseadeid.
tuts @ fosslinux ~] $ sudo tulemüür-cmd --list-ports --zone = FedoraWorkstation
[sudo] parool juhendajate jaoks:
1025-65535 / udp 1025-65535 / tcp
Oleme määranud kontrollitava tsooni, kasutades valikut - -zone = FedoraWorkstaion.
Tsoonide, sadamate ja teenuste haldamine
Tulemüüri konfiguratsioone saab konfigureerida kas tööaja või püsivana. Kõik tulemüüri cmd toimingud püsivad ainult seni, kuni arvuti või tulemüür taaskäivitub. Peate looma püsiseaded püsilipuga.
Looge tsoon
Tsooni loomiseks peate kasutama - -uus tsoon lipp.
Näide:
Looge uus püsivöönd nimega fosscorp:
[tuts @ fosslinux ~] $ sudo tulemüür-cmd - new-zone fosscorp --permanent
[sudo] parool juhendajate jaoks:
edu
Uue tsooni aktiveerimiseks laadige tulemüüri reeglid uuesti:
[tuts @ fosslinux ~] $ sudo tulemüür-cmd - uuesti laadida
Lisage ssh-teenus fosscorpi tsooni, et saaksite sellele juurde pääseda:
[tuts @ fosslinux ~] $ sudo tulemüür-cmd --zone fosscorp --add-service ssh --püsiv
[sudo] parool juhendajate jaoks:
edu
Veenduge, et teie uus tsoon 'fosscorp' on aktiivne:
[tuts @ fosslinux ~] $ sudo tulemüür-cmd --get-zone
FedoraServer FedoraWorkstationi plokk dmz drop external fosscorp kodu sisemine libvirt nm-jagatud avalik usaldusväärne töö
Teie uus tsoon fosscorp on nüüd aktiivne ja see lükkab tagasi kõik sissetulevad ühendused, välja arvatud SSH-liiklus.
Kasuta - -vahetusliides lipp, et muuta tsoon fosscorp kaitstava võrguliidese (wlp3s0) aktiivseks ja vaiketsooniks:
[tuts @ fosslinux ~] $ sudo tulemüür-cmd --change-interface wlp3s0 \
> --zone fosscorp - püsiv
Liides on NetworkManageri [tulemüüri] kontrolli all, määrates tsooni 'fosscorp'.
edu
Kui soovite vaikeväärtuseks ja peamiseks tsooniks seada fosscorp, käivitage järgmine käsk:
[tuts @ fosslinux ~] $ sudo tulemüür-cmd - set-default fosscorp
edu
Vaadake igale liidesele praegu määratud tsoone, kasutades - -get-active-tsoonid lipp:
[tuts @ fosslinux ~] $ sudo tulemüür-cmd --get-active-zone
fosscorp
liidesed: wlp3s0
Teenuste lisamine ja eemaldamine:
Kiire viis tulemüüri kaudu liikluse lubamiseks on eelmääratud teenuse lisamine.
Nimekiri saadaolevatest eelmääratud teenustest:
tuts @ fosslinux ~] $ sudo tulemüür-cmd --get-services
[sudo] parool juhendajate jaoks:
RH-Satellite-6 amanda-klient amanda-k5-klient amqp amqps apcupsd audit bacula bacula-klient bb bgp bitcoin bitcoin-rpc
bitcoin-testnet bitcoin-testnet-rpc bittorrent-lsd ceph ceph-mon cfengine cockpit condor-collector ctdb dhcp dhcpv6 dhcpv6-client
[…]
Eelmääratud teenuse blokeerimine
Saate lubada oma tulemüüri kaudu HTTPS-i liikluse (või mõne muu eelnevalt määratletud teenuse), kasutades - -lisateenus lipp.
[tuts @ fosslinux ~] $ sudo tulemüür-cmd --add-service https --permanent
edu
[tuts @ fosslinux ~] $ sudo tulemüür-cmd - uuesti laadida
Teenuse saate eemaldada ka teenusega - -eemaldamisteenus lipp:
[tuts @ fosslinux ~] $ sudo tulemüür-cmd --remove-service https --permanent
edu
[tuts @ fosslinux ~] $ sudo tulemüür-cmd - uuesti laadida
Lisage ja eemaldage sadamad
Pordi numbri ja prototüübi saate lisada ka otse lipuga -add-port. Pordinumbri otse lisamine võib olla kasulik, kui eelmääratud teenust pole.
Näide:
Võite lisada mittestandardse sadam 1717 SSH-i jaoks oma kohandatud tsooni järgmise käsu abil:
[tuts @ fosslinux ~] $ sudo tulemüür-cmd --add-port 1717 / tcp --püsiv
[sudo] parool juhendajate jaoks:
edu
[tuts @ fosslinux ~] $ sudo tulemüür-cmd -reload
Eemaldage port, kasutades suvandit -remove-port:
[tuts @ fosslinux ~] $ sudo tulemüür-cmd --remove-port 1717 / tcp --permanent
edu
[tuts @ fosslinux ~] $ sudo tulemüür-cmd -reload
Pordi lisamiseks või eemaldamiseks saate määrata ka tsooni, lisades käsu -zone lipu:
Lisage TCP-ühenduse jaoks port 1718 FedoraWorstationi tsooni:
[tuts @ fosslinux ~] $ sudo tulemüür-cmd --zone = FedoraWorkstation --püsiv --add-port = 1718 / tcp
edu
[tuts @ fosslinux ~] $ sudo tulemüür-cmd - uuesti laadida
edu
Kontrollige, kas muudatused on jõustunud:
[tuts @ fosslinux ~] $ sudo tulemüür-cmd - list-all
FedoraWorkstation (aktiivne)
sihtmärk: vaikimisi
icmp-plokk-inversioon: ei
liidesed: wlp3s0
allikad:
teenused: dhcpv6-klient mdns samba-klient ssh
pordid: 1025-65535 / udp 1025-65535 / tcp 1718 / tp
protokollid:
maskeraad: ei
edasi-pordid:
allikasportid:
icmp-plokid:
rikkalikud reeglid:
Märkus: sadamate all oleme lisanud sadama number 1718 TCP-liikluse lubamiseks.
Saate eemaldada port 1718 / tp käivitades järgmise käsu:
[tuts @ fosslinux ~] $ sudo tulemüür-cmd --zone = FedoraWorkstation --permanent --remove-port = 1718 / tcp
edu
[tuts @ fosslinux ~] $ sudo tulemüür-cmd - uuesti laadida
edu
Märkus. Kui soovite muudatused püsivaks muuta, peate selle lisama - -püsiv märkige oma käskude juurde.
Kokkuvõte
Firewalld on võrgu turvalisuse haldamiseks suurepärane utiliit. Parim viis oma süsteemi administraatori oskuste suurendamiseks on praktiliste kogemuste hankimine. Kõigi saadaolevate tulemüüri-cmd funktsioonidega katsetamiseks soovitan tungivalt Fedora installida oma lemmik virtuaalsesse masinasse (VM) või lahtritesse Boxes. Lisateavet tulemüüri-cmd funktsioonide kohta saate tulemüüri ametlikult kodulehelt.