Jara RHCSA: Awọn ibaraẹnisọrọ Firewall ati Iṣakoso Ijabọ Nẹtiwọọki Lilo FirewallD ati Awọn Iptables - Apá 11

Ni awọn ọrọ ti o rọrun, ogiri ogiri jẹ eto aabo ti o nṣakoso ijabọ ti nwọle ati ti njade ni nẹtiwọọki kan ti o da lori ipilẹ awọn ofin ti a ti pinnu tẹlẹ (bii opin irinna/orisun tabi iru ijabọ, fun apẹẹrẹ).

Ninu àpilẹkọ yii a yoo ṣe atunyẹwo awọn ipilẹ ti firewalld, daemon ailopin ogiriina aiyipada ni Red Hat Idawọlẹ Linux 7, ati iṣẹ iptables, iṣẹ ogiri ogún julọ fun Lainos, pẹlu eyiti ọpọlọpọ eto ati awọn alakoso nẹtiwọọki ti mọ daradara, ati eyiti o tun wa ninu RHEL 7.

Afiwera Laarin FirewallD ati Iptables

Labẹ Hood, mejeeji firewalld ati iṣẹ iptables sọrọ si ilana netfilter ninu ekuro nipasẹ wiwo kanna, kii ṣe iyalẹnu, pipaṣẹ iptables. Sibẹsibẹ, ni ilodi si iṣẹ iptables, firewalld le yi awọn eto pada lakoko iṣẹ eto deede laisi awọn isopọ to wa tẹlẹ ti sọnu.

O yẹ ki Firewalld fi sori ẹrọ nipasẹ aiyipada ninu eto RHEL rẹ, botilẹjẹpe o le ma ṣiṣẹ. O le rii daju pẹlu awọn ofin wọnyi (ogiriina-atunto jẹ irinṣẹ iṣeto ni wiwo olumulo):

# yum info firewalld firewall-config

ati,

# systemctl status -l firewalld.service

Ni apa keji, iṣẹ iptables ko wa ni aiyipada, ṣugbọn o le fi sii nipasẹ.

# yum update && yum install iptables-services

Awọn daemons mejeeji le bẹrẹ ati mu ṣiṣẹ lati bẹrẹ lori bata pẹlu awọn ilana eto deede:

# systemctl start firewalld.service | iptables-service.service
# systemctl enable firewalld.service | iptables-service.service

Ka Tun: Awọn Aṣẹ Wulo lati Ṣakoso Awọn iṣẹ Systemd

Bi fun awọn faili iṣeto, iṣẹ iptables lo /etc/sysconfig/iptables (eyiti kii yoo wa ti a ko ba fi package sii ninu eto rẹ). Lori apoti RHEL 7 ti a lo bi ipade iṣupọ, faili yii dabi awọn atẹle:

Lakoko ti firewalld tọju iṣeto rẹ kọja awọn itọsọna meji, /usr/lib/firewalld ati /etc/firewalld :

# ls /usr/lib/firewalld /etc/firewalld

A yoo ṣe ayẹwo awọn faili iṣeto wọnyi siwaju sii ni nkan yii, lẹhin ti a ṣafikun awọn ofin diẹ nibi ati nibẹ. Ni bayi o yoo to lati leti fun ọ pe o le wa alaye nigbagbogbo nipa awọn irinṣẹ mejeeji pẹlu.

# man firewalld.conf
# man firewall-cmd
# man iptables

Miiran ju iyẹn lọ, ranti lati wo Atunwo Awọn ofin pataki & Documentation System - Apá 1 ti jara lọwọlọwọ, nibi ti Mo ṣapejuwe ọpọlọpọ awọn orisun nibi ti o ti le gba alaye nipa awọn idii ti a fi sori ẹrọ lori eto RHEL 7 rẹ.

Lilo Iptables lati Ṣakoso Ijabọ Nẹtiwọọki

O le fẹ tọka si Tunto Iptables Firewall - Apá 8 ti Linux Foundation Certified Engineer (LFCE) jara lati sọ iranti rẹ di nipa awọn inu inu iptables ṣaaju ṣiṣe siwaju. Nitorinaa, a yoo ni anfani lati fo ni ọtun sinu awọn apẹẹrẹ.

Awọn ibudo TCP 80 ati 443 jẹ awọn ibudo aiyipada ti olupin ayelujara Apache lo lati mu deede (HTTP) ati aabo (HTTPS) ijabọ wẹẹbu. O le gba ijabọ oju opo wẹẹbu ti nwọle ati ti njade nipasẹ awọn ibudo mejeeji lori wiwo enp0s3 bi atẹle:

# iptables -A INPUT -i enp0s3 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
# iptables -A OUTPUT -o enp0s3 -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT
# iptables -A INPUT -i enp0s3 -p tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT
# iptables -A OUTPUT -o enp0s3 -p tcp --sport 443 -m state --state ESTABLISHED -j ACCEPT

Awọn akoko le wa nigbati o nilo lati dènà gbogbo iru (tabi diẹ ninu) iru ijabọ ti o ṣẹda lati nẹtiwọọki kan pato, sọ 192.168.1.0/24 fun apẹẹrẹ:

# iptables -I INPUT -s 192.168.1.0/24 -j DROP

yoo ju gbogbo awọn idii ti o nbọ lati nẹtiwọọki 192.168.1.0/24 silẹ, lakoko,

# iptables -A INPUT -s 192.168.1.0/24 --dport 22 -j ACCEPT

yoo gba laaye ijabọ ti nwọle nikan nipasẹ ibudo 22.

Ti o ba lo apoti RHEL 7 rẹ kii ṣe bi ogiriina sọfitiwia nikan, ṣugbọn tun gẹgẹbi ọkan ti o da lori hardware, nitorinaa o joko laarin awọn nẹtiwọọki ọtọtọ meji, fifiranṣẹ IP gbọdọ ti ṣiṣẹ tẹlẹ ninu eto rẹ. Ti kii ba ṣe bẹ, o nilo lati satunkọ /etc/sysctl.conf ki o ṣeto iye ti net.ipv4.ip_forward si 1, bi atẹle:

net.ipv4.ip_forward = 1

lẹhinna fi ayipada naa pamọ, pa olootu ọrọ rẹ ati nikẹhin ṣiṣe aṣẹ atẹle lati lo iyipada naa:

# sysctl -p /etc/sysctl.conf

Fun apẹẹrẹ, o le ni itẹwe ti a fi sii ni apoti inu pẹlu IP 192.168.0.10, pẹlu iṣẹ CUPS ti n tẹtisi lori ibudo 631 (mejeeji lori olupin atẹjade ati lori ogiriina rẹ). Lati le dari awọn ibeere titẹ lati ọdọ awọn alabara ni apa keji ti ogiriina, o yẹ ki o ṣafikun ofin iptables wọnyi:

# iptables -t nat -A PREROUTING -i enp0s3 -p tcp --dport 631 -j DNAT --to 192.168.0.10:631

Jọwọ ranti pe awọn iptables ka awọn ofin rẹ lẹsẹsẹ, nitorinaa rii daju pe awọn eto aiyipada tabi awọn ofin nigbamii ko ṣe bori awọn ti o ṣe ilana ninu awọn apẹẹrẹ loke.

Bibẹrẹ pẹlu FirewallD

Ọkan ninu awọn ayipada ti a ṣe pẹlu firewalld ni awọn agbegbe. Erongba yii ngbanilaaye lati ya awọn nẹtiwọọki sinu ipele awọn agbegbe agbegbe igbẹkẹle ti olumulo ti pinnu lati gbe sori awọn ẹrọ ati ijabọ laarin nẹtiwọọki yẹn.

Lati ṣe atokọ awọn agbegbe ti nṣiṣe lọwọ:

# firewall-cmd --get-active-zones

Ninu apẹẹrẹ ni isalẹ, agbegbe ita gbangba n ṣiṣẹ, ati pe wiwo enp0s3 ni a ti fi si i laifọwọyi. Lati wo gbogbo alaye nipa agbegbe kan pato:

# firewall-cmd --zone=public --list-all

Niwọn igba ti o le ka diẹ sii nipa awọn agbegbe ni itọsọna Aabo RHEL 7, a yoo ṣe atokọ diẹ ninu awọn apẹẹrẹ pato nibi.

Lati gba atokọ ti awọn iṣẹ atilẹyin, lo.

# firewall-cmd --get-services

Lati gba laaye ijabọ wẹẹbu http ati https nipasẹ ogiriina, o munadoko lẹsẹkẹsẹ ati lori awọn bata bata to tẹle:

# firewall-cmd --zone=MyZone --add-service=http
# firewall-cmd --zone=MyZone --permanent --add-service=http
# firewall-cmd --zone=MyZone --add-service=https
# firewall-cmd --zone=MyZone --permanent --add-service=https
# firewall-cmd --reload

Ti o ba ti fi koodu silẹ> -zone , agbegbe aiyipada (o le ṣayẹwo pẹlu ogiriina-cmd –get-default-zone) ti lo.

Lati yọ ofin kuro, rọpo ọrọ fi kun pẹlu yọ ninu awọn ofin loke.

Ni akọkọ, o nilo lati wa ti o ba ti ṣiṣẹ masquerading fun agbegbe ti o fẹ:

# firewall-cmd --zone=MyZone --query-masquerade

Ni aworan ti o wa ni isalẹ, a le rii pe o ti ṣiṣẹ masquerading fun agbegbe ita, ṣugbọn kii ṣe fun gbogbo eniyan:

O le boya mu ifipamọ ṣiṣẹ fun gbogbo eniyan:

# firewall-cmd --zone=public --add-masquerade

tabi lo masquerading ni ita. Eyi ni ohun ti a yoo ṣe lati ṣe apẹẹrẹ Apẹẹrẹ 3 pẹlu firewalld:

# firewall-cmd --zone=external --add-forward-port=port=631:proto=tcp:toport=631:toaddr=192.168.0.10

Maṣe gbagbe lati tun gbe ogiriina sii.

O le wa awọn apeere siwaju sii lori Apakan 9 ti jara RHCSA, nibi ti a ti ṣalaye bi a ṣe le gba laaye tabi mu awọn ibudo ti a maa n lo nipasẹ olupin wẹẹbu ati olupin ftp kan, ati bii o ṣe le yi ofin ti o baamu pada nigbati ibudo aiyipada fun awọn iṣẹ wọnyẹn ti wa ni yipada. Ni afikun, o le fẹ lati tọka si firewalld wiki fun awọn apẹẹrẹ siwaju.

Ka Tun: Wulo FirewallD Awọn apẹẹrẹ lati Tunto ogiriina ni RHEL 7

Ipari

Ninu nkan yii a ti ṣalaye kini ogiriina kan jẹ, kini awọn iṣẹ to wa lati ṣe imuse ọkan ni RHEL 7, ati pese awọn apẹẹrẹ diẹ ti o le ṣe iranlọwọ fun ọ lati bẹrẹ pẹlu iṣẹ yii. Ti o ba ni awọn asọye, awọn didaba, tabi awọn ibeere eyikeyi, ni ọfẹ lati jẹ ki a mọ nipa lilo fọọmu ti o wa ni isalẹ. O ṣeun siwaju!