Wprowadzenie: Konfigurowanie zapory ogniowej za pomocą FirewallD w Rocky Linux 9
FirewallD to potężna, oparta na daemonie zapora ogniowa, która zapewnia dynamiczne zarządzanie regułami zapory ogniowej dla systemów Linux. W Rocky Linux 9 FirewallD jest domyślną zaporą ogniową i oferuje rozbudowane funkcje konfiguracyjne, aby spełnić różnorodne wymagania bezpieczeństwa. W tym artykule przeprowadzimy Cię przez proces konfigurowania zapory ogniowej FirewallD w Rocky Linux 9, zapewniając szczegółowe instrukcje i wskazówki.
Spis treści:
1. Sprawdzenie statusu zapory ogniowej
Przed skonfigurowaniem zapory ogniowej FirewallD ważne jest sprawdzenie jej aktualnego statusu. Możesz to zrobić za pomocą następującego polecenia:
sudo systemctl status firewalld
Powinno pojawić się wyjście wskazujące na jej stan, na przykład:
● firewalld.service - firewalld - dynamic firewall daemon
Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled; vendor preset: enabled)
Active: active (running) since śr 2023-03-08 13:02:00 CET; 1h 4min ago
Jeśli zapora ogniowa nie jest uruchomiona, możesz ją uruchomić za pomocą następującego polecenia:
sudo systemctl start firewalld
2. Cofnięcie zmian i wczytywanie nowych reguł
Aby cofnąć zmiany w konfiguracji zapory ogniowej, możesz użyć następującego polecenia:
sudo firewall-cmd --reload
Aby wczytać nowe reguły w systemach zarządzanych przez systemd, takich jak Rocky Linux 9, możesz użyć polecenia:
sudo systemctl reload firewalld
3. Zarządzanie strefami
Strefy zapory ogniowej reprezentują różne poziomy zaufania do sieci i są wykorzystywane do definiowania reguł zapory ogniowej. Domyślnie FirewallD definiuje trzy strefy:
– public – Sieć publiczna, np. Internet
– internal – Sieć wewnętrzna, np. sieć lokalna lub intranet
– dmz – Strefa zdemilitaryzowana, znajdująca się między siecią publiczną a wewnętrzną
Możesz wyświetlić listę dostępnych stref za pomocą następującego polecenia:
sudo firewall-cmd --get-zones
Aby utworzyć nową strefę, użyj następującej składni:
sudo firewall-cmd --new-zone="nazwa_strefy"
Aby usunąć strefę, użyj następującej składni:
sudo firewall-cmd --delete-zone="nazwa_strefy"
3.1. Przypisywanie interfejsów do stref
Interfejsy sieciowe muszą być przypisane do stref w celu egzekwowania reguł zapory ogniowej. Możesz to zrobić za pomocą następującej składni:
sudo firewall-cmd --zone="nazwa_strefy" --add-interface="nazwa_interfejsu"
Aby usunąć interfejs ze strefy, użyj następującej składni:
sudo firewall-cmd --zone="nazwa_strefy" --remove-interface="nazwa_interfejsu"
4. Tworzenie reguł zapory ogniowej
Reguły zapory ogniowej określają, które połączenia są dozwolone, a które blokowane. Możesz utworzyć regułę zezwalającą na połączenia TCP na porcie 80 za pomocą następującego polecenia:
sudo firewall-cmd --zone="nazwa_strefy" --add-port=80/tcp
Aby usunąć regułę, użyj następującej składni:
sudo firewall-cmd --zone="nazwa_strefy" --remove-port=80/tcp
4.1. Zaawansowane opcje reguł
FirewallD oferuje różne zaawansowane opcje podczas tworzenia reguł zapory ogniowej, takie jak:
– –source – Określa źródłowy adres IP lub interwał adresów IP
– –destination – Określa docelowy adres IP lub interwał adresów IP
– –protocol – Określa protokół, np. tcp lub udp
– –icmp-block – Blokuje określony typ wiadomości ICMP, np. echo-request
4.2. Przykłady reguł zapory ogniowej
Poniżej przedstawiono kilka przykładów reguł zapory ogniowej:
– Zezwalaj na ruch HTTP na porcie 80:
sudo firewall-cmd --zone="nazwa_strefy" --add-service=http
– Zezwalaj na ruch SSH na porcie 22 z określonego adresu IP:
sudo firewall-cmd --zone="nazwa_strefy" --add-port=22/tcp --source=192.168.1.100
– Blokuj ruch ICMP typu echo-request:
sudo firewall-cmd --zone="nazwa_strefy" --add-icmp-block=echo-request
5. Konfiguracja MASQUERADINGU
MASQUERADING to technika używana do ukrywania adresów IP komputerów w sieci lokalnej i zastępowania ich jednym adresem IP. W przypadku używania NAT (Network Address Translation) jest to niezbędne do zapewnienia dostępu do Internetu dla komputerów w sieci lokalnej.
Aby skonfigurować MASQUERADING dla określonego interfejsu, użyj następującego polecenia:
sudo firewall-cmd --zone="nazwa_strefy" --add-masquerade
Aby usunąć MASQUERADING dla interfejsu, użyj następującego polecenia:
sudo firewall-cmd --zone="nazwa_strefy" --remove-masquerade
6. Zarządzanie usługami
Usługi są powiązane z portem lub listą portów i można je łatwo włączać i wyłączać za pomocą FirewallD.
Aby włączyć usługę HTTP, użyj następującego polecenia:
sudo firewall-cmd --permanent --add-service=http
Aby wyłączyć usługę HTTP, użyj następującego polecenia:
sudo firewall-cmd --permanent --remove-service=http
6.1. Przykłady usług
Poniżej przedstawiono kilka przykładów usług:
– HTTP: Port 80
– HTTPS: Port 443
– SSH: Port 22
– FTP: Port 21
7. Zapisywanie i przywracanie konfiguracji zapory ogniowej
Aby zapisać aktualną konfigurację zapory ogniowej, użyj następującego polecenia:
sudo firewall-cmd --runtime-to-permanent
Aby przywrócić zapisaną konfigurację zapory ogniowej, użyj następującego polecenia:
sudo firewall-cmd --reload
8. Konfiguracja zapory ogniowej za pomocą interfejsu graficznego
Oprócz interfejsu wiersza poleceń FirewallD można również skonfigurować za pomocą interfejsu graficznego, takiego jak Cockpit lub Webmin.
8.1. Używanie Cockpit
Cockpit to nowoczesny interfejs graficzny do zarządzania systemami Linux. Możesz użyć go do konfigurowania zapory ogniowej FirewallD, wykonując następujące czynności:
1. Przejdź do interfejsu internetowego Cockpit: https://your-server-ip:9090
2. Zaloguj się przy użyciu nazwy użytkownika i hasła sudo
3. Kliknij „Zapora” w panelu nawigacyjnym
4. Skonfiguruj zapory ogniowe zgodnie z potrzebami
8.2. Używanie Webmin
Webmin to internetowy panel sterowania dla systemów Linux. Możesz użyć go do konfigurowania zapory ogniowej FirewallD, wykonując następujące czynności:
1. Przejdź do interfejsu internetowego Webmin: https://your-server-ip:10000
2. Zaloguj się przy użyciu nazwy użytkownika i hasła sudo
3. Kliknij „Zapora” w menu „System”
4. Skonfiguruj zapory ogniowe zgodnie z potrzebami
Wniosek
FirewallD to potężna i elastyczna zapora ogniowa, która zapewnia bogate funkcje konfiguracyjne dla systemów Rocky Linux 9. Ten artykuł dostarczył szczegółowych instrukcji dotyczących konfigurowania FirewallD, od zarządzania strefami i regułami zapory ogniowej po konfigurow