Configurarea firewall-ului - Sunt administrator de sistem

Configurarea firewall-ului - Sunt administrator de sistem

Pentru mine, firewall-ul a venit împreună cu prima instalare a Centos 7. cu toate că probabil mulți l-au folosit mult timp. Strict vorbind firewalld nu este ceea ce a dezvoltat, care de la sol un firewall, și doar o suprastructură peste iptables (sau mai degrabă este ca iptables folosește pentru iptables și funcționează în kernel-ul de filtrare aceeași linie), dar cu ea, avem niște oportunități noi și a pierdut o parte din cele vechi .







Să începem cu faptul că de obicei nu putem:

  1. Nu / etc / sysconfig / iptables. configurația iptables în obișnuită înainte de locul lor acolo, firewalld stochează setările în fișiere XML le împrăștiate pe / usr / lib / firewalld / și / etc / firewalld /
  2. Adăugați reguli cu comenzile obișnuite precum iptables -A INPUT -p ICMP -j ACCEPT nu va mai funcționa pentru noi și, în general, vom primi refuzul de a încerca iptables. De fapt, trebuie doar să o configurați cu alte comenzi.

Și ce folosim sau nu renunțăm la metodele obișnuite de management:

  1. Abilitatea de a schimba regulile fără a reporni serviciul: Firewalld ruleaza ca un serviciu care permite configurarea și utilizează numai diferențele dintre regulile. Din aceasta rezultă (sau nu urmează, dar de fapt există) o proprietate importantă, și anume este posibilă modificarea regulilor fără a rupe conexiunile existente. Cu toate acestea, aceasta este o inovație demnă de dorit. (Primit observația că iptables, de asemenea, nu se rupe conexiunea atunci când reporniți masa, astfel încât posibilitatea de acest lucru nu este atât și inovația. Cu toate acestea, deoarece site-ul krasnogoryachih acest Punk a servit ca o inovație până osavlyu nemodificată, Redare după cum este necesar în jurul și să descrie rezultatul )
  2. Conceptul de zone: Fierwalld operează cu conceptele unei zone de rețea. Zona de rețea descrisă în descriere definește nivelul de încredere în conexiunea la rețea. În limba rusă, acest lucru poate fi înțeles ca un set predefinit de reguli care pot fi atribuite conexiunii (cel puțin am înțeles acest lucru). Evident, pentru a evita conflictele de reguli, o conexiune poate fi într-o singură zonă, dar puteți adăuga cât mai multe conexiuni la zona dorită.
  • drop - după cum v-ați aștepta, pachetele de rețea primite sunt abandonate, fără răspuns, sunt permise numai conexiuni de ieșire
  • blocurile de conexiuni de rețea sunt respinse cu mesajul icmp-gazdă interzis pentru Ipv4 și icmp6-adm interzise pentru IPv6, numai conexiunile de rețea inițiate în sistemul nostru sunt permise.
  • publice - pentru a fi utilizate în rețea cu computere nesigure (în parc, de multe ori vă duceți serverele în parc pentru o plimbare), puteți instala doar conexiuni specifice.
  • externe - pentru a fi utilizate în rețelele externe cu permis de mascare, în special pentru routere, este permisă instalarea numai a conexiunilor de intrare specifice
  • dmz - pentru computerele proprii zone demilitarizate cu acces limitat la rețeaua dvs. internă, este permisă instalarea numai a conexiunilor de intrare specifice.
  • munca / home / intern - pentru toate cele trei zone în descrierea despre aceeași apă, plus: încrederea maximă în calculatoarele, convingerea că nu vor dăuna computerului noastre trebuie să specifice numai conexiuni de intrare
  • de încredere - O zonă specială pentru soacra, toate conexiunile de rețea sunt permise.

Total, adăugați conexiunea în zonă și obțineți un set predefinit de reguli. Este probabil convenabil dacă vă faceți zonele și apoi le atribuiți interfețelor calculatoarelor nou conectate prin anumite reguli, dar nu mi-am dat seama încă.

Pentru a gestiona toate aceste bogății de oportunități, există două instrumente principale:







  1. firewall-config cu un GUI pe care nu l-am văzut niciodată, deoarece nu am niciun echipament cu firewall și cu un GUI. Deci, cred că opsaniyu informează că este foarte convenabil și știe multe lucruri.
  2. firewall-cmd utilitar linie de comandă care nu este mai puțin util și are, de asemenea, o mulțime de lucruri, dar despre asta în detaliu:

Primul, nu cel mai fundamental și mai corect, dar uneori important pe care aș dori să-l menționez, este cum să deschid portul. Este că ai pus aparatul numai pentru primul, acolo pentru filare doar serviciu, de exemplu de server Jabber, caz în care trebuie doar să deschidă anumite porturi, lăsând totul este închis (22 implicit tcp deschis)

# firewall-cmd -zone = [necesar_zona] --add-port = 5280 / tcp --permanent
# firewall-cmd - reîncărcare

În cazul nostru, zonele necesare_zone sunt publice deoarece deschidem portul. Parametrul -permanent este adăugat pentru ca modificările să fie stocate permanent, dacă este omis, atunci setările efectuate vor fi pierdute după repornire.

Și, bineînțeles, doar în cazul în care:

# firewall-cmd [--zone = zone necesare] - port-list

Dacă specificăm în loc de publicul necesar, vom obține o listă de porturi deschise. Dacă să scrieți -list-services că este posibil să se uite prin lista porturilor de servicii pentru care sunt deschise (serviciile sunt adăugate într-o zonă publică). În zonă, puteți adăuga un port și un serviciu (și nu numai) și dacă ați adăugat un serviciu public în zonă, portul pe care rulează nu apare în lista de porturi.

În general, în măsura în care am înțeles toți parametrii programului firewall-cmd vor veni cu două liniuțe - înainte. Iată o listă a celor mai folositoare pe Internet:
firewall-cmd

Bună ziua!
Unele critici:
Abilitatea de a schimba regulile fără a reporni serviciul: Firewall-ul rulează ca serviciu și, în configurație, ia în considerare și aplică doar diferențele în reguli. Din aceasta rezultă (sau nu urmează, dar de fapt există) o proprietate importantă, și anume este posibilă modificarea regulilor fără a rupe conexiunile existente.

Când reîncărcați iptables, conexiunile nu sunt rupte, ci doar recitiți regulile. sistemctl reload iptables.service sau serviciu iptables reload. Deci, această funcționalitate este posibilă atât în ​​firewall, cât și în iptables vechi bun. Am verificat personal CentOS 6 și 7.


Când reîncărcați iptables, conexiunile nu sunt rupte, ci doar recitiți regulile. sistemctl reload iptables.service sau serviciu iptables reload. Deci, această funcționalitate este posibilă atât în ​​firewall, cât și în iptables vechi bun. Am verificat personal CentOS 6 și 7.

Am adăugat un amendament la articol, dacă am timp liber, voi încerca cu siguranță să rescrie paragraful :) Vă mulțumesc foarte mult.

Firewolld, desigur, serviciul este dinamic, dar fără - reîncărcați portul nu sa deschis :)

Reîncărcarea a fost necesară deoarece ați specificat opțiunea --permanent din comandă. Firewalld are două, ca să spunem așa, locurile în care configurația este stocată - este o durată de execuție și o permanentă (de exemplu, în ruterele de hardware ale Cisco, de exemplu). - Permanent - aceasta este salvată în config. Dacă regula este setată fără această cheie, atunci se va aplica imediat. Dar nu va fi reflectat în config.Pentru a transfera configurația curentă de execuție la config, trebuie să executați comanda:

Citez pe Aleq Qery:

Firewolld, desigur, serviciul este dinamic, dar fără - reîncărcați portul nu sa deschis :)

  • Lucrul cu utilizatorii din linia de comandă Windows (utilizator net)

Iată ajutorul pentru programul minunat de programe, mai precis pentru lucrul cu utilizatorii: utilizator net. Uneori, de exemplu, trebuie să activați un cont de invitat sau.

  • Diagnosticarea politicilor de grup - gpresult

    Utilitarul gpresult este o modalitate simplă și convenabilă de a testa performanța politicilor de grup pe mașinile client. Acesta este inclus în pachetul standard Windows și cu acesta.

  • Professional Database Administrator Standard

    Aici este interesant, pentru administratorul bazei de date, Ministerul Muncii și Protecției Sociale a creat un standard separat, iar pentru administrator, de exemplu, nu există un standard separat pentru serverele web. Dar.

  • Standard profesional pentru suport tehnic
  • Și încă un standard profesional al administratorului de sistem

    Iată un alt standard profesional din ministerul pe care îl iubim, potrivit atât pentru administratorul de sistem, cât și pentru Enikyoshchik simplu, deoarece.

    Știri interesante

    • Telemetria în Windows 10. Opriți-vă, nu deconectați, veți obține în continuare cea mai bună soluție
  • Sf. Computerul a reușit să învingă campionul campionului european de trei ori în meci

    Programul AlphaGo, dezvoltat de compania britanică DeepMind, a câștigat cinci jocuri consecutive pentru fan-ul american Fan Fan Hui de trei ori. Jocul merge.

  • Noi "cadouri" de la Microsoft - "stabilitate" și "intimitate"

    Korparotsiya de renume mondial din nou ne-a mulțumit știri: După lansarea următorului patch-uri, built-in instrument de criptare BitLocker încetat să funcționeze, iar Microsoft nu poate.

    • Instalatorul nu a putut crea unul nou sau nu a găsit o partiție de sistem existentă.
    • Configurarea firewall-ului
    • Eroare 79 Eroare de service la imprimanta HP LaserJet 400 M401dn
    • Descrierea postului de administrator al sistemului
    • Cheat foaie de pe parametrii fierwalld-cmd sau din nou setarea de firewall
    • Transferarea rolurilor FSMO
    • Ce puteți face dacă doriți să eliminați driverul de imprimantă și sistemul răspunde: "Driverul imprimantei specificat este ocupat".
    • Instalarea CentOS 7
    • Instalarea ejabberd 15 pe CentOS 7
    • Cheat foaie pentru cicluri în bash
    • Instalarea Openfire 3.10 pe CentOS 7
    • Cheat-o pe Wget
    • Protocolul de transfer de fișiere FTP
    • Cum să ștergeți o coadă de imprimare în Windows.
    • Operatorii de alegere în bash






    Articole similare

    Pagina anterioară

    Pagina următoare

    Trimiteți-le prietenilor: