Test your skills on our all Hosting services and get 15% off!

Use code at checkout:

Skills
19.11.2024

Въведение във Firewalld

Когато управлявате сигурността на сървъра, надеждното хостинг решение е от съществено значение, за да се гарантира, че конфигурациите ви са надеждни и ефективни. Linux VPS хостингът на AlexHost осигурява идеална платформа за прилагане на усъвършенствани мерки за сигурност, като например динамично управление на защитна стена с Firewalld. С пълен root достъп, персонализирани ресурси и висока производителност AlexHost ви гарантира гъвкавостта и стабилността, необходими за ефективното конфигуриране и управление на Firewalld.

Firewalld е инструмент за динамично управление на защитна стена, който осигурява по-гъвкав начин за управление на настройките на защитната стена в Linux системите. Той опростява процеса на конфигуриране на защитни стени в сравнение с традиционните инструменти като iptables, като предлага по-лесен за използване интерфейс, като същевременно поддържа надеждни функции за сигурност. Firewalld е наличен по подразбиране в няколко дистрибуции на Linux, включително Fedora, CentOS, Red Hat Enterprise Linux и други. Това ръководство предоставя въведение във Firewalld, основните му концепции и как да го използвате ефективно.

Какво е Firewalld?

Firewalld е преден интерфейс за iptables и nftables, които са основните механизми за защитни стени в Linux системите. Докато тези традиционни инструменти изискват ръчно създаване и управление на правила, Firewalld предоставя по-прост начин за динамично създаване, промяна и управление на правила за защитна стена. Основното му предимство се състои във възможността за промяна на настройките, без да се налага рестартиране на услугата защитна стена или прекъсване на активните мрежови връзки.

Ключови понятия във Firewalld

Преди да се потопите в начина на използване на Firewalld, е важно да разберете някои ключови концепции, които са в основата на неговата работа.

1. Зони

Зоните са централна концепция във Firewalld и представляват различни нива на доверие за мрежовите връзки. Всяка зона може да бъде конфигурирана със собствен набор от правила за защитна стена, а мрежовите интерфейси могат да бъдат разпределени към конкретни зони въз основа на техните нужди от сигурност.

Firewalld включва няколко предварително дефинирани зони, като например:

  • Публични: Подходяща за използване в обществени зони като летища и кафенета, където сигурността е основен приоритет.
  • Частна: Използва се за доверени мрежи, като например домашната или офисната ви мрежа.
  • Надеждна: Всички входящи връзки са разрешени. Тази опция трябва да се използва само за силно надеждни мрежи.
  • Блокиране: Входящите връзки се прекъсват без отговор.
  • Drop (Отхвърляне): Подобно на Block (Блокиране), но безшумно отхвърля целия входящ трафик.
  • Вътрешно: Използва се за доверени вътрешни мрежи, като позволява по-облекчени правила за защитна стена.

Можете също така да създавате персонализирани зони въз основа на вашите специфични изисквания.

2. Услуги

Услугите във Firewalld представляват набор от предварително дефинирани правила за защитна стена за конкретни мрежови услуги, като HTTP, FTP или SSH. Вместо да конфигурирате ръчно портове и протоколи, Firewalld ви позволява да разрешавате или забранявате услугите с една проста команда. Това улеснява управлението на правилата за защитна стена, без да е необходимо да разбирате всички технически подробности за съответната услуга.

3. Богати правила

Богатите правила са усъвършенствани правила във Firewallld, които осигуряват по-детайлен контрол върху филтрирането на трафика. Те позволяват използването на специфични условия, като например IP адреси, протоколи и портове. Богатите правила са полезни, когато се нуждаете от по-сложни конфигурации, които надхвърлят това, което е достъпно чрез правилата по подразбиране, базирани на зони.

4. Конфигурация по време на работа срещу постоянна конфигурация

Firewalld ви позволява да правите промени по време на работа или постоянно. Промените по време на работа са незабавни, но се губят при рестартиране на системата, докато постоянните промени се запазват при всички рестартирания.

  • Конфигурация по време на работа: Незабавни, но временни.
  • Постоянна конфигурация: Дълготрайна, но се прилага само след презареждане или рестартиране.

Това разделение ви позволява да тествате промените, преди да ги извършите за постоянно.

Инсталиране на Firewalld

Ако Firewalld не е инсталиран на вашата система по подразбиране, можете лесно да го инсталирате, като използвате мениджъра на пакети за вашата дистрибуция на Linux. Например:

  • За RHEL/CentOS/Fedora:
    sudo yum install firewalld
  • В Debian/Ubuntu:
    sudo apt-get install firewalld

След инсталацията стартирайте услугата Firewalld и разрешете нейното стартиране при стартиране:

sudo systemctl start firewalld
sudo systemctl enable firewalld

Основни команди на Firewalld

Ето някои общи команди на Firewalld, които ще ви помогнат да започнете.

1. Проверка на състоянието на Firewalld

За да проверите дали Firewalld работи, използвайте:

sudo firewall-cmd --state

Ако тя работи, на изхода ще видите ” работи” .

2. Списък на активните зони

За да видите кои зони са активни и кои мрежови интерфейси са им присвоени, изпълнете:

sudo firewall-cmd --get-active-zones

3. Задаване на зона по подразбиране

Ако искате да зададете зона по подразбиране за нови мрежови връзки, можете да го направите с:

sudo firewall-cmd --set-default-zone=public

4. Добавяне на услуги към зона

Можете да разрешите услуга (като SSH или HTTP) в рамките на зона, като използвате следната команда:

sudo firewall-cmd --zone=public --add-service=http

За да направите тази промяна постоянна, използвайте флага –permanent:

sudo firewall-cmd --zone=public --add-service=http --permanent

5. Отваряне на конкретни портове

Ако трябва да отворите конкретни портове, а не да активирате предварително зададени услуги, можете да го направите с:

sudo firewall-cmd --zone=public --add-port=8080/tcp

Направете го постоянно, като добавите –permanent, както преди.

6. Премахване на услуги или портове

За да премахнете услуга или порт от зона, използвайте командите –remove-service или –remove-port:

sudo firewall-cmd --zone=public --remove-service=http
sudo firewall-cmd --zone=public --remove-port=8080/tcp

Test your skills on our all Hosting services and get 15% off!

Use code at checkout:

Skills