Table of Contents
Jak nastavit bránu firewall pomocí firewalld na Rocky Linux 9
Rocky Linux 9 je nejnovější verze bezplatné a open source distribuce podniku, která poskytuje stabilní a bezpečné prostředí pro různé aplikace. Jednou z klíčových funkcí Rocky Linux 9 je vestavěný firewall firewalld, který pomáhá chránit systém před neoprávněným přístupem a útoky zvenčí. Tento článek poskytuje komplexní průvodce nastavením a správou brány firewall firewalld na Rocky Linux 9.
Co je firewalld?
Firewalld je pokročilá sada nástrojů pro správu firewallu, která nabízí flexibilní a výkonné ovládání síťového provozu. Je navržen tak, aby zjednodušil správu firewallu pomocí jednoduchého rozhraní založeného na zónách a službách.
Instalace firewalld
Firewalld je předinstalován ve výchozím nastavení na Rocky Linux 9. Chcete-li zkontrolovat, zda je nainstalován, spusťte následující příkaz:
bash
rpm -q firewalld
Pokud je firewalld nainstalován, výstup bude podobný následujícímu:
bash
firewalld-1.2.6-1.el9.x86_64
Základní konfigurace brány firewall
1. Spuštění a povolení firewalld:
Spusťte následující příkazy, abyste firewalld spustili a povolili při spouštění systému:
bash
sudo systemctl start firewalld
sudo systemctl enable firewalld
2. Kontrola stavu firewalld:
Zkontrolujte stav firewallu spuštěním následujícího příkazu:
bash
sudo systemctl status firewalld
Výstup by měl vypadat podobně jako následující:
bash
● firewalld.service - firewalld - dynamic firewall daemon
Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled; vendor preset: enabled)
Active: active (running) since Mon 2023-03-13 16:38:05 CST; 1h 20min ago
Docs: man:firewalld(1)
https://www.firewalld.org
3. Zobrazení aktuální konfigurace:
Spusťte následující příkaz, abyste zobrazili aktuální pravidla brány firewall:
bash
sudo firewall-cmd --list-all
Výstup bude obsahovat seznam všech aktuálně aktivních pravidel.
Zóny firewalld
Zóny firewalld představují různé úrovně důvěryhodnosti sítě. Umožňují definovat různá pravidla pro různé síťové rozhraní nebo síťové segmenty. Rocky Linux 9 přichází s následujícími předdefinovanými zónami:
– public: Pro síťová rozhraní přístupná z internetu
– internal: Pro síťová rozhraní v interní síti
– dmz: Pro síťová rozhraní v demilitarizované zóně (DMZ)
– work: Pro síťová rozhraní používaná pro pracovní účely
– home: Pro síťová rozhraní používaná v domácím prostředí
Správa zón
1. Zobrazení aktuálních zón:
Spusťte následující příkaz, abyste zobrazili seznam aktuálně definovaných zón:
bash
sudo firewall-cmd --get-zones
Výstup bude obsahovat seznam všech zón v následujícím formátu:
public (default, active)
internal
dmz
work
home
2. Přidání nové zóny:
Spusťte následující příkaz, abyste vytvořili novou zónu s názvem „custom_zone“:
bash
sudo firewall-cmd --new-zone=custom_zone
3. Nastavení výchozí zóny:
Spusťte následující příkaz, abyste nastavili zónu „internal“ jako výchozí zónu:
bash
sudo firewall-cmd --set-default-zone=internal
Služby firewalld
Služby firewalld představují různé síťové aplikace nebo porty, které vyžadují přístup do nebo ze systému. Rocky Linux 9 přichází s následujícími předdefinovanými službami:
– http: Pro přístup k webovým serverům
– https: Pro zabezpečený přístup k webovým serverům
– ssh: Pro zabezpečený přístup k serverům SSH
– dns: Pro přístup k serverům DNS
– smtp: Pro přístup k poštovním serverům
Správa služeb
1. Zobrazení aktuálních služeb:
Spusťte následující příkaz, abyste zobrazili seznam aktuálně definovaných služeb:
bash
sudo firewall-cmd --get-services
Výstup bude obsahovat seznam všech služeb v následujícím formátu:
http
https
ssh
dns
smtp
2. Přidání nové služby:
Spusťte následující příkaz, abyste vytvořili novou službu s názvem „custom_service“, která bude poslouchat na portu 8080:
bash
sudo firewall-cmd --new-service=custom_service --permanent --port=8080/tcp
3. Povolení služby v zóně:
Spusťte následující příkaz, abyste povolili službu „custom_service“ ve výchozí zóně:
bash
sudo firewall-cmd --add-service=custom_service --permanent --zone=internal
Pravidla firewalld
Pravidla firewalld definují konkrétní akce, které firewall musí provést s příchozím nebo odchozím síťovým provozem.
Správa pravidel
1. Zobrazení aktuálních pravidel:
Spusťte následující příkaz, abyste zobrazili seznam aktuálně definovaných pravidel:
bash
sudo firewall-cmd --list-rules
Výstup bude obsahovat seznam všech pravidel v následujícím formátu:
rule family=ipv4 source address=192.168.1.0/24 port port=80 protocol=tcp accept
rule family=ipv4 source address=192.168.1.0/24 port port=443 protocol=tcp accept
rule family=ipv4 source address=192.168.1.0/24 port port=22 protocol=tcp accept
2. Přidání nového pravidla:
Spusťte následující příkaz, abyste vytvořili nové pravidlo, které povolí veškerý příchozí provoz na portu 8080:
bash
sudo firewall-cmd --add-port=8080/tcp --permanent --zone=internal
3. Odstranění pravidla:
Spusťte následující příkaz, abyste odstranili pravidlo, které povolil veškerý příchozí provoz na portu 8080:
bash
sudo firewall-cmd --remove-port=8080/tcp --permanent --zone=internal
Perzistence konfigurace
Po provedení všech změn v konfiguraci brány firewall je důležité uložit tyto změny trvale.
1. Uložení pravidel:
Spusťte následující příkaz, abyste uložili všechna aktuální pravidla brány firewall do trvalého úložiště:
bash
sudo firewall-cmd --runtime-to-permanent
2. Obnovení pravidel:
Spusťte následující příkaz, abyste obnovili pravidla brány firewall z trvalého úložiště při příštím restartování systému:
bash
sudo firewall-cmd --reload
Závěr
Firewalld je výkonný a flexibilní nástroj pro správu firewallu, který poskytuje komplexní ovládání příchozího a odchozího síťového provozu. Správná konfigurace a správa brány firewall firewalld je zásadní pro ochranu Rocky Linux 9 před neoprávněným přístupem a útoky zvenčí. Tento článek poskytl podrobný průvodce nastavením a správou brány firewall firewalld, včetně vysvětlení zón, služeb, pravidel a údržby konfigurace. Díky implementaci strategií firewall