Wprowadzenie do Firewalld ⋆ ALexHost SRL

Sprawdź swoje umiejętności we wszystkich naszych usługach hostingowych i otrzymaj 15% zniżki!

Użyj kodu przy kasie:

Skills
19.11.2024

Wprowadzenie do Firewalld

Podczas zarządzania bezpieczeństwem serwera, solidne rozwiązanie hostingowe jest niezbędne do zapewnienia niezawodności i wydajności konfiguracji. Hosting Linux VPS firmy AlexHost zapewnia idealną platformę do wdrażania zaawansowanych środków bezpieczeństwa, takich jak dynamiczne zarządzanie zaporą ogniową za pomocą Firewalld. Dzięki pełnemu dostępowi roota, konfigurowalnym zasobom i wysokiej wydajności, AlexHost zapewnia elastyczność i stabilność potrzebną do skutecznej konfiguracji i zarządzania Firewalld.

Firewalld to narzędzie do dynamicznego zarządzania zaporą sieciową, które zapewnia bardziej elastyczny sposób zarządzania ustawieniami zapory w systemach Linux. Upraszcza proces konfiguracji zapór sieciowych w porównaniu do tradycyjnych narzędzi, takich jak iptables, oferując łatwiejszy w użyciu interfejs przy zachowaniu solidnych funkcji bezpieczeństwa. Firewalld jest domyślnie dostępny w kilku dystrybucjach Linuksa, w tym Fedora, CentOS, Red Hat Enterprise Linux i innych. Niniejszy przewodnik zawiera wprowadzenie do Firewalld, jego kluczowe koncepcje i sposób jego efektywnego wykorzystania.

Czym jest Firewalld?

Firewalld jest interfejsem front-end dla iptables i nftables, które są podstawowymi mechanizmami zapory sieciowej w systemach Linux. Podczas gdy te tradycyjne narzędzia wymagają ręcznego tworzenia reguł i zarządzania nimi, Firewalld zapewnia prostszy sposób dynamicznego tworzenia, modyfikowania i zarządzania regułami zapory. Jego główną zaletą jest możliwość zmiany ustawień bez konieczności ponownego uruchamiania usługi zapory sieciowej lub przerywania aktywnych połączeń sieciowych.

Kluczowe pojęcia w Firewalld

Przed zagłębieniem się w sposób korzystania z Firewalld, konieczne jest zrozumienie kilku kluczowych pojęć, które stanowią podstawę jego działania.

1. Strefy

Strefy są centralnym pojęciem w Firewalld i reprezentują różne poziomy zaufania dla połączeń sieciowych. Każda strefa może być skonfigurowana z własnym zestawem reguł firewalla, a interfejsy sieciowe mogą być przypisane do określonych stref w oparciu o ich potrzeby bezpieczeństwa.

Firewalld zawiera kilka predefiniowanych stref, takich jak:

  • Publiczna: Nadaje się do użytku w miejscach publicznych, takich jak lotniska i kawiarnie, gdzie bezpieczeństwo jest najwyższym priorytetem.
  • Prywatna: Używana dla zaufanych sieci, takich jak sieć domowa lub biurowa.
  • Zaufane: Wszystkie połączenia przychodzące są dozwolone. Ta opcja powinna być używana tylko w przypadku wysoce zaufanych sieci.
  • Blokuj: Połączenia przychodzące są odrzucane bez żadnej odpowiedzi.
  • Drop: podobne do Block, ale po cichu odrzuca cały ruch przychodzący.
  • Internal: Używany w zaufanych sieciach wewnętrznych, pozwalając na łagodniejsze reguły zapory.

Można również tworzyć niestandardowe strefy w oparciu o konkretne wymagania.

2. Usługi

Usługi w Firewalld reprezentują zestaw predefiniowanych reguł zapory sieciowej dla określonych usług sieciowych, takich jak HTTP, FTP lub SSH. Zamiast ręcznie konfigurować porty i protokoły, Firewalld pozwala włączyć lub wyłączyć usługi za pomocą prostego polecenia. Ułatwia to zarządzanie regułami zapory sieciowej bez konieczności rozumienia każdego szczegółu technicznego związanego z daną usługą.

3. Bogate reguły

Reguły rozszerzone to zaawansowane reguły w Firewalld, które zapewniają bardziej szczegółową kontrolę nad filtrowaniem ruchu. Pozwalają one na użycie określonych warunków, takich jak adresy IP, protokoły i porty. Reguły Rich są przydatne, gdy potrzebne są bardziej złożone konfiguracje, które wykraczają poza to, co jest dostępne za pośrednictwem domyślnych reguł opartych na strefach.

4. Runtime a konfiguracja stała

Firewalld umożliwia wprowadzanie zmian zarówno w czasie wykonywania, jak i na stałe. Zmiany w czasie wykonywania są natychmiastowe, ale tracone po ponownym uruchomieniu systemu, podczas gdy trwałe zmiany utrzymują się po ponownym uruchomieniu.

  • Konfiguracja w czasie działania: Natychmiastowe, ale tymczasowe.
  • Konfiguracja trwała: Długotrwała, ale stosowana tylko po przeładowaniu lub ponownym uruchomieniu systemu.

Ta separacja pozwala przetestować zmiany przed ich trwałym zatwierdzeniem.

Instalacja Firewalld

Jeśli Firewalld nie jest domyślnie zainstalowany w systemie, można go łatwo zainstalować za pomocą menedżera pakietów dla danej dystrybucji Linuksa. Na przykład:

  • Na RHEL/CentOS/Fedora:
    sudo yum install firewalld
  • Na Debian/Ubuntu:
    sudo apt-get install firewalld

Po instalacji uruchom usługę Firewalld i włącz jej uruchamianie przy starcie systemu:

sudo systemctl start firewalld
sudo systemctl enable firewalld

Podstawowe polecenia Firewalld

Oto kilka typowych poleceń Firewalld, które pomogą ci zacząć.

1. Sprawdź status Firewalld

Aby sprawdzić, czy Firewalld jest uruchomiony, użyj:

sudo firewall-cmd --state

Jeśli jest uruchomiony, na wyjściu pojawi się komunikat running .

2. Lista aktywnych stref

Aby sprawdzić, które strefy są aktywne i które interfejsy sieciowe są do nich przypisane, uruchom:

sudo firewall-cmd --get-active-zones

3. Ustaw strefę domyślną

Jeśli chcesz ustawić domyślną strefę dla nowych połączeń sieciowych, możesz to zrobić za pomocą:

sudo firewall-cmd --set-default-zone=public

4. Dodawanie usług do strefy

Możesz zezwolić na usługę (taką jak SSH lub HTTP) w strefie za pomocą następującego polecenia:

sudo firewall-cmd --zone=public --add-service=http

Aby uczynić tę zmianę trwałą, należy użyć flagi –permanent:

sudo firewall-cmd --zone=public --add-service=http --permanent

5. Otwieranie określonych portów

Jeśli chcesz otworzyć określone porty zamiast włączać predefiniowane usługi, możesz to zrobić za pomocą:

sudo firewall-cmd --zone=public --add-port=8080/tcp

Ustaw to na stałe, dodając –permanent jak poprzednio.

6. Usuwanie usług lub portów

Aby usunąć usługę lub port ze strefy, należy użyć poleceń –remove-service lub –remove-port:

sudo firewall-cmd --zone=public --remove-service=http
sudo firewall-cmd --zone=public --remove-port=8080/tcp

Sprawdź swoje umiejętności we wszystkich naszych usługach hostingowych i otrzymaj 15% zniżki!

Użyj kodu przy kasie:

Skills