Вступ до Firewalld ⋆ ALexHost SRL

Перевірте свої навички на всіх наших хостингових послугах та отримайте знижку 15%!

Використовуйте код під час оформлення замовлення:

Skills
19.11.2024

Вступ до Firewalld

При управлінні безпекою сервера надійне хостингове рішення має важливе значення для забезпечення надійності та ефективності ваших конфігурацій. Linux VPS хостинг від AlexHost є ідеальною платформою для впровадження передових заходів безпеки, таких як динамічне керування брандмауером за допомогою Firewalld. Завдяки повному кореневому доступу, ресурсам, що налаштовуються, і високій продуктивності, AlexHost гарантує вам гнучкість і стабільність, необхідні для ефективного налаштування та управління Firewalld.

Firewalld – це динамічний інструмент управління брандмауером, який забезпечує більш гнучкий спосіб управління налаштуваннями брандмауера в системах Linux. Він спрощує процес налаштування брандмауерів у порівнянні з традиційними інструментами, такими як iptables, пропонуючи більш простий у використанні інтерфейс, зберігаючи при цьому надійні функції безпеки. Firewalld доступний за замовчуванням у декількох дистрибутивах Linux, включаючи Fedora, CentOS, Red Hat Enterprise Linux та інші. Цей посібник надає вступ до Firewalld, його ключових концепцій та способів ефективного використання.

Що таке Firewalld?

Firewalld – це інтерфейс для iptables і nftables, які є основними механізмами брандмауера в системах Linux. В той час як ці традиційні інструменти вимагають ручного створення правил і керування ними, Firewalld надає простіший спосіб динамічного створення, модифікації та керування правилами брандмауера. Його основна перевага полягає у можливості змінювати налаштування без необхідності перезапуску служби брандмауера або розриву активних мережевих з’єднань.

Ключові поняття у Firewalld

Перш ніж зануритися у використання Firewalld, важливо зрозуміти деякі ключові поняття, які лежать в основі його роботи.

1. Зони

Зони є центральним поняттям у Firewalld і представляють різні рівні довіри для мережевих з’єднань. Кожну зону можна налаштувати за допомогою власного набору правил брандмауера, а мережеві інтерфейси можна призначити певним зонам відповідно до їхніх потреб у безпеці.

Firewalld включає кілька попередньо визначених зон, таких як

  • Публічна: Підходить для використання в громадських місцях, таких як аеропорти та кафе, де безпека є головним пріоритетом.
  • Приватна: Використовується для надійних мереж, таких як домашня або офісна мережа.
  • Довірений: Дозволено всі вхідні з’єднання. Використовується лише для мереж з високим рівнем довіри.
  • Блокувати: Вхідні з’єднання обриваються без будь-якої відповіді.
  • Відкидати: подібно до Блокувати, але беззвучно відкидає весь вхідний трафік.
  • Внутрішній: Використовується для внутрішніх мереж, яким довіряють, і дозволяє застосовувати більш м’які правила брандмауера.

Ви також можете створювати власні зони відповідно до ваших конкретних вимог.

2. Служби

Служби у Firewalld – це набір попередньо визначених правил брандмауера для певних мережевих сервісів, таких як HTTP, FTP або SSH. Замість того, щоб вручну налаштовувати порти і протоколи, Firewalld дозволяє вмикати або вимикати служби за допомогою простої команди. Це полегшує керування правилами брандмауера без необхідності розуміти кожну технічну деталь базової служби.

3. Розширені правила

Розширені правила – це розширені правила Firewalld, які забезпечують більш детальний контроль над фільтрацією трафіку. Вони дозволяють використовувати специфічні умови, такі як IP-адреси, протоколи та порти. Розширені правила корисні, коли вам потрібні більш складні конфігурації, які виходять за рамки того, що доступно за допомогою стандартних правил на основі зон.

4. Виконання проти постійної конфігурації

Firewalld дозволяє вносити зміни або під час виконання, або назавжди. Зміни під час виконання вступають в силу негайно, але втрачаються при перезавантаженні системи, в той час як постійні зміни зберігаються при перезавантаженні.

  • Конфігурація підчас виконання: Негайно, але тимчасово.
  • Постійна конфігурація: Довготривала, але застосовується лише після перезавантаження або перезавантаження.

Цей поділ дозволяє вам протестувати зміни перед тим, як зафіксувати їх назавжди.

Встановлення брандмауераd

Якщо Firewalld не встановлено у вашій системі за замовчуванням, ви можете легко встановити його за допомогою менеджера пакетів для вашого дистрибутива Linux. Наприклад, за допомогою

  • У RHEL/CentOS/Fedora:
    sudo yum install firewalld
  • У Debian/Ubuntu:
    sudo apt-get install firewalld

Після встановлення запустіть службу Firewalld і увімкніть її запуск під час запуску:

sudo systemctl start firewalld
sudo systemctl enable firewalld

Основні команди Firewalld

Нижче наведено деякі загальні команди Firewalld, які допоможуть вам розпочати роботу.

1. Перевірка стану Firewalld

Щоб перевірити, чи запущено Firewalld, скористайтеся:

sudo firewall-cmd --state

Якщо він запущений, ви побачите run у якості результату.

2. Перелік активних зон

Щоб побачити, які зони активні і які мережеві інтерфейси їм призначено, запустіть:

sudo firewall-cmd --get-active-zones

3. Встановлення зони за замовчуванням

Якщо ви хочете встановити зону за замовчуванням для нових мережевих підключень, ви можете зробити це за допомогою:

sudo firewall-cmd --set-default-zone=public

4. Додавання служб до зони

Ви можете дозволити службу (наприклад, SSH або HTTP) у зоні за допомогою наступної команди:

sudo firewall-cmd --zone=public --add-service=http

Щоб зробити цю зміну постійною, використовуйте прапорець –permanent:

sudo firewall-cmd --zone=public --add-service=http --permanent

5. Відкрийте певні порти

Якщо вам потрібно відкрити певні порти замість того, щоб увімкнути попередньо визначені служби, ви можете зробити це за допомогою:

sudo firewall-cmd --zone=public --add-port=8080/tcp

Зробіть його постійним, додавши –permanent, як і раніше.

6. Видалення служб або портів

Щоб вилучити службу або порт із зони, скористайтеся командами –remove-service або –remove-port:

sudo firewall-cmd --zone=public --remove-service=http
sudo firewall-cmd --zone=public --remove-port=8080/tcp

Перевірте свої навички на всіх наших хостингових послугах та отримайте знижку 15%!

Використовуйте код під час оформлення замовлення:

Skills