Введение в Firewalld

защитите свой сервер с помощью Firewalld на VPS AlexHost

Зачем использовать Firewalld на AlexHost? Firewalld упрощает динамическое управление брандмауэром, повышая безопасность сервера. Linux VPS от AlexHost с NVMe хранилищем, полным корневым доступом и защитой от DDoS предоставляет надежную платформу для настройки Firewalld. В этом руководстве рассматриваются концепции, настройка и использование Firewalld на AlexHost.

Что такое Firewalld?

Firewalld – это внешний интерфейс для iptables и nftables, которые являются основными механизмами брандмауэра в системах Linux. В то время как эти традиционные инструменты требуют ручного создания правил и управления ими, Firewalld предоставляет более простой способ динамического создания, изменения и управления правилами брандмауэра. Его основное преимущество заключается в возможности изменять настройки без необходимости перезапускать службу брандмауэра или прерывать активные сетевые соединения

Ключевые понятия в Firewalld

Прежде чем приступить к изучению того, как использовать Firewalld, необходимо понять некоторые ключевые концепции, которые лежат в основе его работы

1. Зоны

Зоны являются центральным понятием в Firewalld и представляют собой различные уровни доверия для сетевых соединений. Каждая зона может быть настроена на свой собственный набор правил брандмауэра, а сетевые интерфейсы могут быть назначены определенным зонам в зависимости от их потребностей в безопасности. Firewalld включает несколько предопределенных зон, таких как

• Общественная: Подходит для использования в общественных местах, таких как аэропорты и кафе, где безопасность является главным приоритетом.
• Частная: Используется для доверенных сетей, таких как домашняя или офисная сеть.
• Доверенная: Разрешены все входящие соединения. Этот режим следует использовать только для сетей с высоким уровнем доверия.
• Блокировать: Входящие соединения отбрасываются без какого-либо ответа.
• Drop: аналогично Block, но беззвучно отбрасывает весь входящий трафик.
• Внутренний: Используется для доверенных внутренних сетей, позволяя применять более мягкие правила брандмауэра.

Вы также можете создавать пользовательские зоны в соответствии с вашими специфическими требованиями

2. Службы

Службы в Firewalld представляют собой набор предопределенных правил брандмауэра для определенных сетевых служб, таких как HTTP, FTP или SSH. Вместо того чтобы вручную настраивать порты и протоколы, Firewalld позволяет включать и отключать службы с помощью простой команды. Это облегчает управление правилами брандмауэра без необходимости разбираться во всех технических деталях базовой службы

3. Богатые правила

Богатые правила – это расширенные правила в Firewalld, которые обеспечивают более детальный контроль над фильтрацией трафика. Они позволяют использовать определенные условия, такие как IP-адреса, протоколы и порты. Богатые правила полезны, когда вам нужны более сложные конфигурации, выходящие за рамки того, что доступно в стандартных правилах на основе зон

4. Время выполнения и постоянная конфигурация

Firewalld позволяет вносить изменения как во время выполнения, так и постоянно. Изменения во время выполнения происходят немедленно, но теряются при перезагрузке системы, в то время как постоянные изменения сохраняются после перезагрузки

• Конфигурация во время выполнения: Немедленная, но временная.
• Постоянная конфигурация: Долгосрочная, но применяется только после перезагрузки или перезагрузки.

Такое разделение позволяет протестировать изменения перед их постоянной фиксацией

Установка Firewalld

Если Firewalld не установлен в вашей системе по умолчанию, вы можете легко установить его с помощью менеджера пакетов для вашего дистрибутива Linux. Например

• На RHEL/CentOS/Fedora
  sudo yum install firewalld

• В Debian/Ubuntu
  sudo apt-get install firewalld


После установки запустите службу Firewalld и включите ее запуск при старте

Основные команды Firewalld

Здесь приведены некоторые общие команды Firewalld, которые помогут вам начать работу

1. Проверка состояния Firewalld

Чтобы проверить, запущен ли Firewalld, используйте

Если он запущен, вы увидите на выходе сообщение “Запущен” .

2. Список активных зон

Чтобы увидеть, какие зоны активны и какие сетевые интерфейсы им назначены, выполните команду

3. Установка зоны по умолчанию

Если вы хотите установить зону по умолчанию для новых сетевых подключений, вы можете сделать это с помощью команды

4. Добавление служб в зону

Вы можете разрешить службу (например, SSH или HTTP) в зоне с помощью следующей команды

Чтобы сделать это изменение постоянным, используйте флаг –permanent

5. Открытие определенных портов

Если вам нужно открыть определенные порты, а не включить предопределенные службы, вы можете сделать это с помощью флага

Чтобы сделать его постоянным, добавьте –permanent, как и раньше

6. Удаление служб или портов

Чтобы удалить сервис или порт из зоны, воспользуйтесь командами –remove-service или –remove-port