Введение в Firewalld ⋆ ALexHost SRL

Проверьте свои навыки на всех наших услугах хостинга и получите скидку 15%!.

Используйте код при регистрации:

Skills
19.11.2024

Введение в Firewalld

При управлении безопасностью сервера надежное хостинговое решение необходимо для обеспечения надежности и эффективности ваших конфигураций. Linux VPS хостинг от AlexHost представляет собой идеальную платформу для реализации передовых мер безопасности, таких как динамическое управление брандмауэром с помощью Firewalld. Благодаря полному root-доступу, настраиваемым ресурсам и высокой производительности, AlexHost гарантирует вам гибкость и стабильность, необходимые для эффективной настройки и управления Firewalld.

Firewalld – это инструмент динамического управления брандмауэром, который обеспечивает более гибкий способ управления настройками брандмауэра в системах Linux. Он упрощает процесс настройки брандмауэров по сравнению с традиционными инструментами, такими как iptables, предлагая более простой в использовании интерфейс, сохраняя при этом надежные функции безопасности. Firewalld доступен по умолчанию в нескольких дистрибутивах Linux, включая Fedora, CentOS, Red Hat Enterprise Linux и другие. В этом руководстве вы найдете введение в Firewalld, его ключевые концепции и способы эффективного использования.

Что такое Firewalld?

Firewalld – это внешний интерфейс для iptables и nftables, которые являются основными механизмами брандмауэра в системах Linux. В то время как эти традиционные инструменты требуют ручного создания правил и управления ими, Firewalld предоставляет более простой способ динамического создания, изменения и управления правилами брандмауэра. Его основное преимущество заключается в возможности изменять настройки без необходимости перезапускать службу брандмауэра или прерывать активные сетевые соединения.

Ключевые понятия в Firewalld

Прежде чем приступить к изучению того, как использовать Firewalld, необходимо понять некоторые ключевые концепции, которые лежат в основе его работы.

1. Зоны

Зоны являются центральным понятием в Firewalld и представляют собой различные уровни доверия для сетевых соединений. Каждая зона может быть настроена с собственным набором правил брандмауэра, а сетевые интерфейсы могут быть назначены определенным зонам в зависимости от их потребностей в безопасности.

Firewalld включает несколько предопределенных зон, таких как:

  • Общественная: Подходит для использования в общественных местах, таких как аэропорты и кафе, где безопасность является главным приоритетом.
  • Частная: Используется для доверенных сетей, таких как домашняя или офисная сеть.
  • Доверенный: Разрешены все входящие соединения. Этот режим следует использовать только для сетей с высоким уровнем доверия.
  • Блокировать: Входящие соединения отбрасываются без какого-либо ответа.
  • Drop: аналогично Block, но беззвучно отбрасывает весь входящий трафик.
  • Внутренний: Используется для доверенных внутренних сетей, позволяя применять более мягкие правила брандмауэра.

Вы также можете создавать пользовательские зоны в соответствии с вашими специфическими требованиями.

2. Услуги

Службы в Firewalld представляют собой набор предопределенных правил брандмауэра для определенных сетевых служб, таких как HTTP, FTP или SSH. Вместо того чтобы вручную настраивать порты и протоколы, Firewalld позволяет включать и отключать службы с помощью простой команды. Это облегчает управление правилами брандмауэра без необходимости разбираться во всех технических деталях базовой службы.

3. Богатый набор правил

Богатые правила – это расширенные правила в Firewalld, которые обеспечивают более детальный контроль над фильтрацией трафика. Они позволяют использовать определенные условия, такие как IP-адреса, протоколы и порты. Расширенные правила полезны, когда вам нужны более сложные конфигурации, выходящие за рамки того, что доступно в стандартных правилах на основе зон.

4. Время выполнения и постоянная конфигурация

Firewalld позволяет вносить изменения как во время выполнения, так и постоянно. Изменения во время выполнения происходят немедленно, но теряются при перезагрузке системы, в то время как постоянные изменения сохраняются при перезагрузке.

  • Конфигурация во время выполнения: Немедленная, но временная.
  • Постоянная конфигурация: Долгосрочная, но применяется только после перезагрузки или перезагрузки.

Такое разделение позволяет протестировать изменения перед их постоянной фиксацией.

Установка Firewalld

Если Firewalld не установлен в вашей системе по умолчанию, вы можете легко установить его с помощью менеджера пакетов для вашего дистрибутива Linux. Например:

  • На RHEL/CentOS/Fedora:
    sudo yum install firewalld
  • На Debian/Ubuntu:
    sudo apt-get install firewalld

После установки запустите службу Firewalld и включите ее запуск при старте:

sudo systemctl start firewalld
sudo systemctl enable firewalld

Основные команды Firewalld

Здесь приведены некоторые общие команды Firewalld, которые помогут вам начать работу.

1. Проверка состояния Firewalld

Чтобы проверить, запущен ли Firewalld, используйте:

sudo firewall-cmd --state

Если он запущен, то в выводе вы увидите статус запущен .

2. Список активных зон

Чтобы посмотреть, какие зоны активны и какие сетевые интерфейсы им назначены, выполните команду:

sudo firewall-cmd --get-active-zones

3. Установить зону по умолчанию

Если вы хотите установить зону по умолчанию для новых сетевых подключений, вы можете сделать это с помощью:

sudo firewall-cmd --set-default-zone=public

4. Добавление служб в зону

Вы можете разрешить службу (например, SSH или HTTP) в зоне с помощью следующей команды:

sudo firewall-cmd --zone=public --add-service=http

Чтобы сделать это изменение постоянным, используйте флаг –permanent:

sudo firewall-cmd --zone=public --add-service=http --permanent

5. Открыть определенные порты

Если вам нужно открыть конкретные порты, а не включать предопределенные службы, вы можете сделать это с помощью:

sudo firewall-cmd --zone=public --add-port=8080/tcp

Сделайте его постоянным, добавив опцию –permanent, как и раньше.

6. Удаление служб или портов

Чтобы удалить службу или порт из зоны, используйте команды –remove-service или –remove-port:

sudo firewall-cmd --zone=public --remove-service=http
sudo firewall-cmd --zone=public --remove-port=8080/tcp

Проверьте свои навыки на всех наших услугах хостинга и получите скидку 15%!.

Используйте код при регистрации:

Skills