Управљајте мрежном сигурношћу помоћу Фиреваллд-а помоћу командних линија

Одржавање мрежне сигурности је кључно за администраторе система, а конфигурисање заштитног зида кроз командну линију је основна вештина за учење. Чланак ће нагласити како управљати заштитним зидом помоћу фиревалл-цмд у Линук командној линији.

Заштитни зид је у основи софтвер који можете да конфигуришете за контролу долазног и одлазног мрежног промета. Заштитни зидови могу спречити друге кориснике да користе мрежне услуге на систему који користите. Већина Линук система испоручује се са подразумеваним заштитним зидом. Раније верзије Линук система су користиле иптаблес као демон за филтрирање пакета. Новије верзије Федоре, РХЕЛ / ЦентОС, опенСУСЕ испоручују се са Фиреваллд-ом као подразумеваним демоном заштитног зида. Такође можете инсталирати Фиреваллд у дистрибуцијама Дебиан и Убунту.

Препоручујем вам да користите Фиреваллд уместо иптаблес. Не верујте ми само на реч. Сазнајте више из нашег свеобухватног водича о доступним заштитним зидовима отвореног кода за ваш Линук систем.

Фиреваллд је динамички демон за управљање заштитним зидовима с подршком за мрежне или заштитне зидове. Зоне заштитног зида дефинишу нивое мрежне сигурности поверења мрежних интерфејса, услуга или веза. Администратори система мрежне сигурности открили су да Фиреваллд одлично функционише са ИПв4, ИПв6, ИП скуповима и Етхернет мостовима. Да бисте управљали заштитним зидом, можете користити наредбу терминала фиревалл-цмд или алат за конфигурацију ГУИ-а за конфигурисање заштитног зида.

Овај водич ће користити фиревалл-цмд наредба за управљање мрежном сигурношћу, а наше тестно окружење биће Федора радна станица 33.

Пре него што добијемо све техничке, научимо неколико мрежних основа.

Основе мреже

Рачунару повезаном на мрежу додељује се ИП адреса која се користи за усмеравање података. Рачунари такође имају портове у опсегу 0-65535, који делују као тачке повезивања на ИП адреси. Апликације могу резервисати одређене портове. Веб сервери обично резервишу порт 80 за сигурну ХТТП комуникацију. У основи, опсези порта 0 - 1024 резервисани су за добро познате сврхе и систем.

Два главна Интернет протокола за пренос података (ТЦП и УДП) користе ове портове током мрежне комуникације. Рачунар домаћин успоставља везу између изворне ИП адресе и порта (порт 80 за несигурни ХТТП) и одредишне адресе и порта.

Да би управљао мрежном сигурношћу, софтвер заштитног зида може да дозволи или блокира пренос података или комуникацију на основу правила попут портова или ИП адреса.

Инсталирање Фиреваллд-а

Федора, РХЕЛ / ЦентОС 7/8, опенСУСЕ

Фиреваллд је подразумевано инсталиран у Федори, РХЕЛ / ЦентОС 7/8 и опенСУСЕ. Ако не, можете га инсталирати помоћу следеће наредбе:

# иум инсталирајте фиреваллд -и
ИЛИ
#днф инсталирај заштитни зид -и

Дебиан / Убунту

Убунту системи се подразумевано испоручују са некомпликованим заштитним зидом. Да бисте користили заштитни зид, морате омогућити универзумско спремиште и деактивирати некомпликовани заштитни зид.

судо адд-апт-репозиторијум универзум
судо апт инсталирај заштитни зид

Деактивирајте некомпликовани заштитни зид:

судо системцтл онемогући уфв

Омогући заштитни зид приликом покретања:

судо системцтл енабле -нов фиреваллд

Проверите да ли је Фиреваллд покренут:

судо фиревалл-цмд -стате
трчање

Зоне заштитног зида

Фиреваллд чини конфигурацију вашег заштитног зида једноставном успостављањем подразумеваних зона. Зоне су скуп правила која одговарају свакодневним потребама већине Линук администратора. Зона заштитног зида може дефинисати поуздане или одбијене нивое услуга и портова.

• Поуздана зона: Све мрежне везе су прихваћене и користе се само у поузданим окружењима попут породичне куће или тест лабораторије.
• Јавна зона: Правила можете дефинисати само да дозволите одређеним портовима да отварају везе, док ће друге везе бити прекинуте. Може се користити на јавним местима када немате поверења у друге хостове у мрежи.
• Кућа, Интерно, Радне зоне: Већина долазних веза је прихваћена у ове три зоне. Долазне везе искључују саобраћај на лукама које не очекују никакве везе или активности. Можете га применити у кућним везама где постоји опште поверење осталих корисника на мрежи. Омогућава само одабране долазне везе.
• Блоцк зоне: Ово је изузетно параноична поставка заштитног зида где су могуће само везе покренуте из мреже или сервера. Све долазне везе са мрежом се одбијају и издаје се порука коју ИЦМП забрањује домаћин.
• ДМЗ зона: Демилитаризована зона се може користити за омогућавање приступа неким услугама јавности. Прихватају се само одабране везе. То је основна опција за одређене типове сервера у мрежи организације.
• Спољна зона: Када је омогућена, ова зона ће деловати као рутер и може се користити у спољним мрежама са омогућеним маскирањем. ИП адреса ваше приватне мреже пресликава се и скрива иза јавне ИП адресе. Прихватају се само одабране долазне везе, укључујући ССХ.
• Зона пада: Сви долазни пакети се испуштају без одговора. Ова зона дозвољава само одлазне мрежне везе.

Пример подразумеваних зона дефинисаних Федора радном станицом 33

цат / уср / либ / фиреваллд / зоне / ФедораВоркстатион.кмл


Федора радна станица
Нежељени долазни мрежни пакети се одбијају од порта 1 до 1024, осим за одређене мрежне услуге. [заштитни зид] Прихватају се долазни пакети који су повезани са одлазном мрежном везом. Одлазне мрежне везе су дозвољене.

Набавите своју тренутну зону:
Можете користити - - гет-ацтиве-зоне заставицу да бисте проверили тренутно активне зоне у вашем систему.

судо фиревалл-цмд --гет-ацтиве-зоне
[судо] лозинка за тутс:
ФедораВоркстатион
интерфејси: влп3с0
либвирт
интерфејси: вирбр0

Подразумевана зона на Федора радној станици 33 у ФедораВоркстатион зони

Набавите подразумевану зону и све дефинисане зоне:

судо фиревалл-цмд --гет-дефаулт-зоне
[судо] лозинка за тутс:
ФедораВоркстатион
[тутс @ фосслинук ~] $ судо фиревалл-цмд --гет-зоне
ФедораСервер Федора радна станица блок дмз испуштање спољног дома интерни либвирт нм-дељено јавно поуздано дело

Листа услуга:

Можете добити услуге које заштитни зид омогућава другим системима да приступе помоћу  - -листа-услуга застава.

[тутс @ фосслинук ~] $ судо фиревалл-цмд --лист-сервицес
дхцпв6-цлиент мднс самба-цлиент ссх

На Федори Линук 33, заштитни зид омогућава приступ четири услуге (дхцпв6-цлиент мднс самба-цлиент ссх) са добро познатим бројевима портова.

Листа поставки портова заштитног зида:
Можете користити - -лист-портс заставицу да бисте видели друга подешавања порта у било којој зони.

тутс @ фосслинук ~] $ судо фиревалл-цмд --лист-портс --зоне = ФедораВоркстатион
[судо] лозинка за тутс:
1025-65535 / удп 1025-65535 / тцп

Навели смо зону за проверу помоћу опције - -зоне = ФедораВоркстаион.

Управљање зонама, лукама и услугама

Конфигурације заштитног зида могу се конфигурисати као време извођења или као трајно. Све акције цмд заштитног зида трају само док се рачунар или заштитни зид поново не покрену. Морате створити трајна подешавања са ознаком -перманент.

Направите зону

Да бисте креирали зону, морате да користите - -нова зона застава.
Пример:
Направите нову трајну зону која се зове фоссцорп:

[тутс @ фосслинук ~] $ судо фиревалл-цмд --нев-зоне фоссцорп - перманент
[судо] лозинка за тутс:
успех

Поново учитајте правила заштитног зида да бисте активирали нову зону:

[тутс @ фосслинук ~] $ судо фиревалл-цмд --релоад

Додајте ссх услугу у зону фоссцорп да бисте јој могли приступити на даљину:

[тутс @ фосслинук ~] $ судо фиревалл-цмд --зоне фоссцорп --адд-сервице ссх --перманент
[судо] лозинка за тутс:
успех

Потврдите да је нова зона „фоссцорп“ активна:

[тутс @ фосслинук ~] $ судо фиревалл-цмд --гет-зоне
ФедораСервер ФедораВоркстатион блок дмз дроп ектернал фоссцорп хоме интерни либвирт нм-дељено јавно поуздано дело

Ваша нова зона фоссцорп је сада активна и одбија све долазне везе осим ССХ саобраћаја.

Користити - -цханге-интерфаце заставицу да зона фоссцорп постане активна и подразумевана зона за мрежни интерфејс (влп3с0) који желите да заштитите:

[тутс @ фосслинук ~] $ судо фиревалл-цмд --цханге-интерфаце влп3с0 \
> --зоне фоссцорп --трајно
Интерфејс је под [заштитним зидом] контролом НетворкМанагер-а, постављајући зону на 'фоссцорп'.
успех

Ако желите да поставите фоссцорп као подразумевану и примарну зону, покрените следећу команду:

[тутс @ фосслинук ~] $ судо фиревалл-цмд --сет-дефаулт фоссцорп
успех

Прегледајте зоне које су тренутно додељене сваком интерфејсу помоћу - -гет-ацтиве-зоне застава:

[тутс @ фосслинук ~] $ судо фиревалл-цмд --гет-ацтиве-зоне
фоссцорп
интерфејси: влп3с0

Додајте и уклоните услуге:

Брзи начин да омогућите саобраћај кроз заштитни зид је додавање унапред дефинисане услуге.

Наведите доступне унапред дефинисане услуге:

тутс @ фосслинук ~] $ судо фиревалл-цмд --гет-сервицес
[судо] лозинка за тутс:
РХ-Сателлите-6 аманда-клијент аманда-к5-клијент амкп амкпс апцупсд ревизија бацула бацула-клијент бб бгп битцоин битцоин-рпц
битцоин-тестнет битцоин-тестнет-рпц битторрент-лсд цепх цепх-мон цфенгине цоцкпит цондор-цоллецтор цтдб дхцп дхцпв6 дхцпв6-цлиент
[…]

Деблокирајте унапред дефинисану услугу

Можете дозволити ХТТПС саобраћај (или било коју другу унапред дефинисану услугу) путем заштитног зида помоћу - -додатна услуга застава.

[тутс @ фосслинук ~] $ судо фиревалл-цмд --адд-сервице хттпс --перманент
успех
[тутс @ фосслинук ~] $ судо фиревалл-цмд --релоад

Такође можете уклонити услугу помоћу - -ремове-сервице застава:

[тутс @ фосслинук ~] $ судо фиревалл-цмд --ремове-сервице хттпс --перманент
успех
[тутс @ фосслинук ~] $ судо фиревалл-цмд --релоад

Додајте и уклоните портове

Такође можете додати број порта и прототип директно ознаком -адд-порт. Директно додавање броја порта може вам добро доћи када унапред дефинисана услуга не постоји.

Пример:
Можете додати нестандардне лука 1717 за ССХ у вашу прилагођену зону помоћу следеће наредбе:

[тутс @ фосслинук ~] $ судо фиревалл-цмд --адд-порт 1717 / тцп --перманент
[судо] лозинка за тутс:
успех
[тутс @ фосслинук ~] $ судо фиревалл-цмд -релоад

Уклоните порт помоћу опције заставице -ремове-порт:

[тутс @ фосслинук ~] $ судо фиревалл-цмд --ремове-порт 1717 / тцп --перманент
успех
[тутс @ фосслинук ~] $ судо фиревалл-цмд -релоад

Такође можете одредити зону за додавање или уклањање порта додавањем заставе -зоне у наредбу:
Додајте порт 1718 за ТЦП везу у зону ФедораВорстатион:

[тутс @ фосслинук ~] $ судо фиревалл-цмд --зоне = ФедораВоркстатион --перманент --адд-порт = 1718 / тцп
успех
[тутс @ фосслинук ~] $ судо фиревалл-цмд --релоад
успех

Потврдите да ли су промене ступиле на снагу:

[тутс @ фосслинук ~] $ судо фиревалл-цмд --лист-алл
ФедораВоркстатион (активна)
циљ: подразумевано
инверзија ицмп-блока: бр
интерфејси: влп3с0
извори:
услуге: дхцпв6-цлиент мднс самба-цлиент ссх
портови: 1025-65535 / удп 1025-65535 / тцп 1718 / ком
протоколи:
маскенбал: не
форвард-портс:
соурце-портс:
ицмп-блокови:
богата правила:

Напомена: Под луке смо додали лука број 1718 како би се омогућио ТЦП саобраћај.

Можете уклонити лука 1718 / тцп покретањем следеће команде:

[тутс @ фосслинук ~] $ судо фиревалл-цмд --зоне = ФедораВоркстатион --перманент --ремове-порт = 1718 / тцп
успех
[тутс @ фосслинук ~] $ судо фиревалл-цмд --релоад
успех

Напомена: Ако желите да промене учините трајним, морате додати - -стални заставицу својим командама.

Укратко

Фиреваллд је сјајан услужни програм за управљање мрежном сигурношћу. Најбољи начин да повећате своје системске администраторске вештине је стицање практичног искуства. Топло препоручујем инсталирање Федоре на вашу омиљену виртуелну машину (ВМ) или у Бокес да бисте експериментисали са свим доступним функцијама фиревалл-цмд. Можете сазнати више функција фиревалл-цмд на службеној почетној страници Фиреваллд-а.