Введение в Firewalld

При управлении безопасностью сервера надежное хостинговое решение необходимо для обеспечения надежности и эффективности ваших конфигураций. Linux VPS хостинг от AlexHost представляет собой идеальную платформу для реализации передовых мер безопасности, таких как динамическое управление брандмауэром с помощью Firewalld. Благодаря полному root-доступу, настраиваемым ресурсам и высокой производительности, AlexHost гарантирует вам гибкость и стабильность, необходимые для эффективной настройки и управления Firewalld.

Firewalld – это инструмент динамического управления брандмауэром, который обеспечивает более гибкий способ управления настройками брандмауэра в системах Linux. Он упрощает процесс настройки брандмауэров по сравнению с традиционными инструментами, такими как iptables, предлагая более простой в использовании интерфейс, сохраняя при этом надежные функции безопасности. Firewalld доступен по умолчанию в нескольких дистрибутивах Linux, включая Fedora, CentOS, Red Hat Enterprise Linux и другие. В этом руководстве вы найдете введение в Firewalld, его ключевые концепции и способы эффективного использования.

Что такое Firewalld?

Firewalld – это внешний интерфейс для iptables и nftables, которые являются основными механизмами брандмауэра в системах Linux. В то время как эти традиционные инструменты требуют ручного создания правил и управления ими, Firewalld предоставляет более простой способ динамического создания, изменения и управления правилами брандмауэра. Его основное преимущество заключается в возможности изменять настройки без необходимости перезапускать службу брандмауэра или прерывать активные сетевые соединения.

Ключевые понятия в Firewalld

Прежде чем приступить к изучению того, как использовать Firewalld, необходимо понять некоторые ключевые концепции, которые лежат в основе его работы.

1. Зоны

Зоны являются центральным понятием в Firewalld и представляют собой различные уровни доверия для сетевых соединений. Каждая зона может быть настроена с собственным набором правил брандмауэра, а сетевые интерфейсы могут быть назначены определенным зонам в зависимости от их потребностей в безопасности.

Firewalld включает несколько предопределенных зон, таких как:

• Общественная: Подходит для использования в общественных местах, таких как аэропорты и кафе, где безопасность является главным приоритетом.
• Частная: Используется для доверенных сетей, таких как домашняя или офисная сеть.
• Доверенный: Разрешены все входящие соединения. Этот режим следует использовать только для сетей с высоким уровнем доверия.
• Блокировать: Входящие соединения отбрасываются без какого-либо ответа.
• Drop: аналогично Block, но беззвучно отбрасывает весь входящий трафик.
• Внутренний: Используется для доверенных внутренних сетей, позволяя применять более мягкие правила брандмауэра.

Вы также можете создавать пользовательские зоны в соответствии с вашими специфическими требованиями.

2. Услуги

Службы в Firewalld представляют собой набор предопределенных правил брандмауэра для определенных сетевых служб, таких как HTTP, FTP или SSH. Вместо того чтобы вручную настраивать порты и протоколы, Firewalld позволяет включать и отключать службы с помощью простой команды. Это облегчает управление правилами брандмауэра без необходимости разбираться во всех технических деталях базовой службы.

3. Богатый набор правил

Богатые правила – это расширенные правила в Firewalld, которые обеспечивают более детальный контроль над фильтрацией трафика. Они позволяют использовать определенные условия, такие как IP-адреса, протоколы и порты. Расширенные правила полезны, когда вам нужны более сложные конфигурации, выходящие за рамки того, что доступно в стандартных правилах на основе зон.

4. Время выполнения и постоянная конфигурация

Firewalld позволяет вносить изменения как во время выполнения, так и постоянно. Изменения во время выполнения происходят немедленно, но теряются при перезагрузке системы, в то время как постоянные изменения сохраняются при перезагрузке.

• Конфигурация во время выполнения: Немедленная, но временная.
• Постоянная конфигурация: Долгосрочная, но применяется только после перезагрузки или перезагрузки.

Такое разделение позволяет протестировать изменения перед их постоянной фиксацией.

Установка Firewalld

Если Firewalld не установлен в вашей системе по умолчанию, вы можете легко установить его с помощью менеджера пакетов для вашего дистрибутива Linux. Например:

• На RHEL/CentOS/Fedora:
  sudo yum install firewalld

• На Debian/Ubuntu:
  sudo apt-get install firewalld


После установки запустите службу Firewalld и включите ее запуск при старте:

Основные команды Firewalld

Здесь приведены некоторые общие команды Firewalld, которые помогут вам начать работу.

1. Проверка состояния Firewalld

Чтобы проверить, запущен ли Firewalld, используйте:

Если он запущен, то в выводе вы увидите статус запущен .

2. Список активных зон

Чтобы посмотреть, какие зоны активны и какие сетевые интерфейсы им назначены, выполните команду:

3. Установить зону по умолчанию

Если вы хотите установить зону по умолчанию для новых сетевых подключений, вы можете сделать это с помощью:

4. Добавление служб в зону

Вы можете разрешить службу (например, SSH или HTTP) в зоне с помощью следующей команды:

Чтобы сделать это изменение постоянным, используйте флаг –permanent:

5. Открыть определенные порты

Если вам нужно открыть конкретные порты, а не включать предопределенные службы, вы можете сделать это с помощью:

Сделайте его постоянным, добавив опцию –permanent, как и раньше.

6. Удаление служб или портов

Чтобы удалить службу или порт из зоны, используйте команды –remove-service или –remove-port: