Începând cu Fedora 17, în toate clonele de Red Hat Linux (de exemplu, Red Hat Enterprise Linux și CentOS 7), un nou serviciu pentru FirewallD de management firewall dinamic, cu suportul de conexiuni de rețea zone de încredere sau interfețe. Deoarece FirewallD pornește ca un serviciu, noile reguli pot fi adăugate fără restart, așa cum a fost cu iptables, adică fără resetarea firewall-ului instalat și reconectarea conexiunilor. Modificările în configurație pot fi făcute oricând și sunt aplicate instantaneu: nu este necesar să salvați sau să aplicați modificări. Serviciul FirewallD folosește iptables (instrumentul iptables) pentru a interacționa cu filtrul de pachete kernel.
Luați în considerare principalele diferențe dintre FirewallD și iptables:
- Serviciul iptables stochează configurația în / etc / sysconfig / iptables, în timp ce FirewallD îl stochează în diferite fișiere XML din / usr / lib / firewalld / și / etc / firewalld /. Este interesant de notat că fișierul / etc / sysconfig / iptables nu va exista dacă instalați sistemul Linux modern (de exemplu, Red Hat Enterprise Linux) cu FirewallD în mod implicit.
- Pentru serviciul iptables, fiecare schimbare însemna resetarea vechilor reguli și citirea celor noi din / etc / sysconfig / iptables, dar pentru FirewallD nu există niciun concept de "recreare" a regulilor; Atunci când se configurează numai diferențele dintre reguli sunt luate în considerare și aplicate. Astfel, FirewallD poate schimba setările la timpul de execuție fără a pierde conexiunile vechi.
Principala asemănare este că atât iptables, cât și FirewallD utilizează același iptables (instrumentul iptables).
Scapa de FirewallD
Dacă, ca susținător al școlii vechi, am decis să scăpăm de FirewallD și să ne întoarcem la iptables, atunci este posibil chiar și pe CentOS 7:
Dacă mergem la FirewallD, atunci mergem mai departe.
Verificați dacă pachetele necesare sunt instalate, dacă este necesar
Conceptul de zone de firewall
FirewallD utilizează zone de rețea pentru a determina nivelul de încredere al unei conexiuni de rețea, o conexiune poate face parte dintr-o singură zonă, dar o zonă poate defini mai multe conexiuni de rețea.
Pentru utilizarea în cazuri obișnuite, s-au creat câteva zone predefinite:
- pachetele de pachete de rețea primite sunt eliminate, fără răspuns, sunt permise numai conexiunile de ieșire
- blocurile de conexiuni de rețea sunt respinse cu mesajul icmp-host-prohibited, sunt permise numai conexiunile de rețea inițiate în sistemul nostru.
- public - dacă nu aveți încredere în computere, puteți instala numai conexiuni specifice.
- externe - pentru a fi utilizate în rețelele externe cu permis de mascare, în special pentru routere, este permisă instalarea numai a conexiunilor de intrare specifice
- dmz - pentru zonele computerizate proprii demilitarizate accesibile publicului cu acces limitat la rețeaua noastră internă, este permisă instalarea numai a unor conexiuni de intrare specifice.
- locul de muncă / casa / intern - încrederea maximă în computere, convingerea că nu vor afecta computerul, este permisă instalarea numai a unor conexiuni specifice
- de încredere - toate conexiunile de rețea sunt permise.
configurație
FirewallD poate fi configurat prin intermediul instrumentului de configurare firewall-config cu o interfață grafică, prin intermediul firewall-ului de comandă-cmd sau prin interfața D-BUS.
Accesul la instrumentul de configurare firewall-config cu o interfață grafică este furnizat de comanda firewall-config sau de meniul.
După lansare, veți vedea lista de zone menționate mai sus, puteți selecta oricare dintre acestea și puteți efectua setări în funcție de opțiuni:
- Servicii - servicii de încredere care pot fi accesate de la toți gazdele.
- Porturi - porturi de încredere care vor fi deschise în această zonă
- Masquerading - vă permite să configurați o gazdă sau un router care conectează rețeaua locală la internet
- Port Forwarding - adaugă intrări pentru a permite portul înainte sau unul de la altul.
- Filtrele ICMP - servicii de încredere
- Reguli bogate - folosiți limbajul bogat pentru a adăuga reguli complexe
- Interfețe - legarea interfețelor la zonă
- Surse - legați adresa sursă sau zona ariei
În opinia mea, cel mai convenabil instrument de configurare este linia de comandă și, în mod corespunzător, comanda firewall-cmd. Luați în considerare cele mai frecvent utilizate comenzi:
Articole similare
Trimiteți-le prietenilor: