CentOS 7 Firewall: configurați, activați, dezactivați și creați reguli

Una dintre măsurile incluse în sistemele de operare pentru creșterea nivelurilor de securitate și stabilirea controlului asupra conexiunilor de intrare și ieșire ale sistemului. Paravanul de protecție este o parte fundamentală în securitatea echipamentelor noastre, indiferent de sistem, deoarece gardianul împiedică deteriorarea echipamentului de conținut necorespunzător. Din fericire în sisteme precum Linux, Firewall-ul este deja integrat implicit și ne oferă o multitudine de opțiuni pentru a face față acestor situații. Mai exact, în CentOS, paravanul de protecție integrat se numește firewall și efectuează diferite sarcini de securitate în distribuția noastră Linux.

Este foarte important să știm tot ce ne oferă un Firewall la nivel de protecție și este important să știm că în CentOS 7 soluția inclusă la nivelul Firewall se numește Firewalld care ne oferă următoarele avantaje.

Firewalld AvantajeAvantajele paravanului de protecție CentOS 7 sunt:

• Este un firewall dinamic.

• Grajd.

• Opțiuni de configurare multiple.

• Suportă configurații de punte Ipv4, Ipv6 și Ethernet.

• Putem defini diferite forme de configurare Firewalld (continuă și în funcțiune)

• Vom analiza în detaliu modul în care funcționează Firewalld în CentOS 7 și în acest fel vom înțelege toată amploarea sa.

1. Termeni de bază în Firewalld CentOS 7

Înainte de a vedea cum să utilizați Firewalld în CentOS 7 există mai mulți termeni la care este important să acordați atenție, deoarece acestea vor fi continuu în CentOS 7.

Ce este o zonăO zonă de rețea este una a cărei funcție este de a defini nivelul de încredere pe care îl va avea conexiunea la rețea.

Aceste zone sunt gestionate de Firewalld în diferite grupuri de reguli și o zonă poate fi utilizată de mai multe conexiuni de rețea.

Există mai multe tipuri de zone în Firewalld, care sunt:

cădere bruscaEste cel mai scăzut nivel de încredere, deoarece toate pachetele primite sunt respinse automat și numai pachetele de ieșire sunt activate.

blocAcest nivel de încredere este similar cu Drop, cu diferența că pachetele primite sunt respinse cu mesaje icmp-host-prohibite pentru IPv4 și icmp6-adm-interzise pentru IPv6.

PublicAcest nivel de încredere se referă la rețelele publice de încredere, acceptă doar conexiuni de încredere.

ExternAcest tip de nivel este utilizat atunci când folosim Firewall-ul ca gateway și mascarea acestuia este activată de routere.

DMZAcest nivel este utilizat în echipamente situate într-o zonă DMZ (demilitarizată), adică are acces public cu restricții la rețeaua internă. Acceptă doar conexiuni acceptate.

MuncăAcest nivel este utilizat în zonele de lucru, astfel încât majoritatea computerelor din rețea vor avea acces la acesta.

AcasăAcest tip de nivel este utilizat într-un mediu casnic și majoritatea echipamentelor sunt acceptate.

InternAcest tip de nivel este utilizat în rețelele interne, astfel încât toate echipamentele de rețea vor fi acceptate.

De încredereAcesta este cel mai înalt nivel și are încredere în toate conexiunile primite.

Oricare dintre aceste zone poate fi configurată în regulile pe care le creăm folosind Firewalld în CentOS 7.

2. Cum se creează o regulă permanentă CentOS 7

Când configurăm Firewalld în CentOS 7 putem crea două tipuri de reguli, permanente sau imediate, în acest fel, atunci când edităm o regulă, modificarea va fi văzută automat, dar la următoarea autentificare această regulă va fi anulată.

Pentru a evita acest lucru, trebuie să folosim parametrul permanent, astfel încât regula să fie continuă și să nu fie eliminată la fiecare autentificare.

 -permanent

3. Cum se pornește serviciul Firewall în CentOS 7

Pasul 1
Este important ca înainte de a crea regulile necesare cu Firewalld să activăm serviciul Firewalld, pentru aceasta introducem următoarele.

 sudo systemctl pornește Firewalld.service 

Pasul 2
În cazul în care este afișat un mesaj de eroare care indică faptul că Firewalld nu este instalat, putem executa următoarea comandă pentru instalarea acestuia:

 Așadar, instalați Firewalld -y 

Pasul 3
Pentru a vedea starea serviciului Firewall vom folosi următoarea comandă. Putem vedea că starea lui funcționează. În acest fel, am activat serviciul și putem crea și edita regulile firewall-ului în CentOS 7.

 Firewall-cmd -state

4. Cum să vedeți zona curentă a CentOS 7

Pasul 1
Putem vizualiza zona curentă în care se află echipamentul nostru folosind următoarea comandă.

 Firewall-cmd --get-default-zone 

Pasul 2
Rezultatul va fi următorul:

Pasul 3
Pentru a cunoaște ce reguli sunt asociate cu zona menționată putem folosi următoarea comandă:

 Firewall-cmd --list-all

5. Cum să explorați diferitele zone din CentOS 7

Pasul 1
Putem verifica ce zone sunt disponibile pentru a utiliza introducând următoarea comandă:

 Firewall-cmd --get-zones 

Pasul 2
Este posibil să vizualizați configurația asociată unei zone utilizând parametrul -zone; de exemplu:

 Firewall-cmd --zone = home --list-all 

6. Cum se selectează zonele pentru interfețele de rețea în CentOS 7

Pasul 1
Este posibil ca într-o sesiune activă să dorim să atribuim o anumită zonă unei interfețe de rețea a computerului, pentru aceasta vom atribui zona de origine interfeței eth0 a CentOS 7:

 sudo Firewall-cmd --zone = home --change-interface = eth0 

Pasul 2
Putem vedea că starea sa este corectă, putem valida acest lucru folosind următoarea comandă:

 Firewall-cmd --get-active-zones 

Pasul 3
Problema este că interfața va reveni la zona implicită dacă nu am configurat o zonă definită în interfața menționată, aceste configurații ale interfeței sunt găzduite pe următorul traseu:

 / etc / sysconfig / network-scripts 

Pasul 4
Fișierele din acest director sunt în formatul ifcfg-interface. De exemplu, putem defini zona pentru interfața eth0 folosind următoarea comandă:

 sudo nano / etc / sysconfig / network-scripts / ifcfg-eth0 

7. Cum se ajustează regulile pentru aplicații în CentOS 7

Pasul 1
Putem adăuga excepții la firewall, astfel încât anumite aplicații să poată fi executate direct fără nicio problemă, pentru a vedea serviciile disponibile în CentOS 7 vom folosi următoarea comandă:

 Firewall-cmd --get-services 

Pasul 2
Pentru a activa un serviciu într-o anumită zonă va fi necesar să utilizați următorul parametru:

 --add-service = parametru 

Pasul 3
Dacă dorim să adăugăm serviciul http în zona publică, vom folosi următoarea sintaxă:

 sudo Firewall-cmd --zone = public --add-service = http 

Pasul 4
Este posibil să vedeți toate serviciile din acea zonă, inclusiv cea care tocmai a fost adăugată, folosind următoarea comandă.

 Firewall-cmd --zone = public --list-services 

Pasul 5
Acum, dacă dorim ca acest serviciu să fie permanent, trebuie să adăugăm, așa cum am menționat, parametrul permanent.

 sudo Firewall-cmd --zone = public --permanent --add-service = http 

În acest fel, serviciul va fi activ la fiecare conectare CentOS 7.

8. Cum se deschide un port pentru o anumită zonă în CentOS 7

Pasul 1
Deschiderea unui port în Firewall ne oferă posibilitatea de a obține un suport mai bun pentru aplicațiile și programele noastre, de exemplu, dacă avem o aplicație care folosește portul 3500 UDP trebuie să o adăugăm în zonă folosind parametrul -add-port ca acesta :

 sudo Firewall-cmd --zone = public --add-port = 3500 / udp 

Pasul 2
Pentru a vedea porturile deschise în Firewall putem folosi următoarea comandă.

 Firewall-cmd --list-ports 

9. Cum să vă creați propria zonă în Firewalld din CentOS 7

Deși zonele care sunt implicit în Paravanul de protecție CentOS 7 satisfac nevoile unei organizații, este posibil să dorim să ne creăm regulile pentru servicii specifice.

Pasul 1
Vom crea o nouă zonă numită Solvetic, pentru care vom introduce următoarele:

 sudo Firewall-cmd --permanent --new-zone = Solvetic 

Pasul 2
Putem folosi următoarea comandă pentru a vedea hotspoturile din CentOS 7:

 sudo Firewall-cmd --permanent --get-zones 

Pasul 3
Acum, pentru ca noua zonă să fie reflectată, trebuie să repornim serviciul Firewalld folosind următoarea comandă:

 sudo Firewall-cmd -reload 

Pasul 4
Acum, dacă dorim să adăugăm un serviciu în noua noastră zonă, de exemplu, SSH, vom folosi următoarea comandă:

 udo Firewall-cmd --zone = Solvetic --add-service = ssh 

10. Cum se activează Firewall-ul pentru pornirea automată la conectarea la CentOS7

Dacă dorim ca serviciul Firewall să fie activat de la începutul CentOS 7 și nu este necesar să îl activați în orice moment, putem folosi următoarea comandă:

 sudo systemctl activează Firewalld 

În acest fel, Paravanul de protecție va fi activ în orice moment în CentOS 7, protejând toți parametrii sistemului.

11. Cum să opriți și să dezactivați Firewalld în CentOS 7

Pasul 1
Pentru a dezactiva Firewalld în CentOS 7 trebuie să folosim următoarea comandă:

 systemctl dezactivează Firewalld 

Pasul 2
Pentru a opri complet Firewalld vom folosi următoarea comandă:

 systemctl stop Firewalld 

12. Cum se blochează Firewalld pe Linux CentOS și Ubuntu

Așa cum vedem cu firewall-ul, suntem, de asemenea, expuși riscului ca software-ul local, cum ar fi programe sau servicii, să poată modifica configurația firewall-ului nostru, dacă acestea sunt pornite ca root. Dar, ca buni administratori, putem controla ce programe pot face modificări și care sunt acoperite de lista albă.

Pasul 1
Aceasta este dezactivată în mod implicit, dar o putem controla cu următoarele comenzi:

 sudo firewall-cmd --lockdown-on (Activare) sudo firewall-cmd --lockdown-off (dezactivare)

Pasul 2
O altă metodă pentru a gestiona această opțiune într-un mod mai sigur este să o faceți din fișierul de configurare de bază, deoarece firewall-cmd nu există întotdeauna. Prin urmare, executăm următoarele:

 sudo nano /etc/firewalld/firewalld.conf

Pasul 3
Aici trebuie să căutăm linia Lockdown = nu și îi trecem starea la Lockdown = da.

MARI

Pasul 4
Acum trebuie doar să salvați modificările și să ieșiți cu aceste taste:
Salvăm modificările folosind următoarea combinație de taste:

Ctrl + O

Lăsăm editorul folosind:

Ctrl + X

13. Cum se dezactivează firewall-ul în Linux CentOS Ubuntu

Sistemele Linux și diferitele lor distribuții încorporează un tip de firewall numit UFW care urmărește să protejeze integritatea securității rețelei, controlând astfel conexiunile și stabilind dacă acestea sunt sau nu securizate. După cum vedem, în cadrul CentOS, acest firewall se numește firewalld și misiunea sa este nivelurile de încredere și zonele de rețea, în funcție de faptul că sunt sau nu dăunătoare sistemului. Acest Firewalld este integrat atât în ​​CentOS, cât și în RedHat.

În mod implicit, acest firewall este dezactivat și în Solvetic vă recomandăm să îl activați pentru a controla ce conexiuni sunt sigure și care nu. Cu toate acestea, există momente în care trebuie să efectuăm sarcini sau teste în care Firewall-ul îl împiedică și de aceea trebuie să îl dezactivăm temporar. Pentru a activa sau dezactiva paravanul de protecție puteți face următoarele:

14. Cum se instalează și se configurează CSF Firewall pe CentOS 7 Linux

În cadrul gestionării paravanului de protecție din CentOS putem vorbi despre paravanul de protecție CSF. Acesta este un element de securitate de bază în cadrul gestionării serverelor web. Misiunea sa principală este de a opri traficul întunecat al conținutului rău intenționat care poate intra pe server. Acest firewall acționează ca un zid împotriva intrușilor sau atacurilor grave care încearcă să ne distrugă sistemele.

Firewall-ul CSF ne anunță în timp real și prin e-mail despre tot ce se întâmplă pe serverele noastre. Datorită acestor notificări vom putea acționa rapid și ameliora problemele care apar. Acest firewall CSF efectuează o analiză exhaustivă a pachetelor SPI în timp ce execută sarcini de securitate precum cele pe care le-am menționat.

Pentru a instala și configura firewall-ul CSF în CentOS 7 vom face următoarele.

În acest fel putem gestiona toate valorile Firewalld din CentOS 7 pentru a stabili zone în funcție de nevoile companiei. Securitatea este foarte importantă și mai mult dacă vorbim despre un mediu de lucru în care informațiile sunt mult mai delicate.