Sistem

CENTOS 8 FİREWALLD KURALLARI AYARLAMA

Giriş – İş istasyonunuzu veya sunucunuzu istenmeyen trafikten korumak için kullanılan bir Linux güvenlik duvarı. Trafiği engellemek veya üzerinden izin vermek için kurallar ayarlayabilirsiniz. CentOS 8, D-Bus arayüzüne sahip dinamik, özelleştirilebilir ana bilgisayar tabanlı bir güvenlik duvarı ile birlikte gelir. Güvenlik duvarı arka plan programını veya hizmetini yeniden başlatmadan güvenlik duvarı kuralları ekleyebilir veya silebilir veya güncelleyebilirsiniz. Güvenlik duvarı-cmd nftables için bir ön uç görevi görür. CentOS 8’de nftables, iptables’ı varsayılan Linux ağ paketi filtreleme çerçevesi olarak değiştirir. CentOS 8’iniz için bir güvenlik duvarının nasıl kurulacağını ve güvenlik duvarı-cmd yönetim aracı yardımıyla nasıl yönetileceğini gösterir.

Güvenlik DuvarıD ile ilgili temel kavramlar

firewalld ağ trafiği yönetimi kavramlarını basitleştirir. CentOS 8’de ateşlenmeye gelince iki ana fikriniz var.

1. bölgeler

Ateşli bölgeler önceden tanımlanmış kural kümelerinden başka bir şey değildir. Aşağıdaki ls komutunu çalıştırarak tüm bölgeleri görebilirsiniz: Bırakma bölgesini görüntülemek
$ ls -l /usr/lib/firewalld/zones/
için cat komutunu kullanın :
$ cat /usr/lib/firewalld/zones/public.xml
CentOS 8'de tüm ateşli bölgeleri listeleme

Önceden tanımlanmış bölgeleri anlama

  1. block – Gelen tüm ağ bağlantıları reddedildi. Yalnızca sistem içinden başlatılan ağ bağlantıları mümkündür.
  2. dmz – LAN’ınıza sınırlı erişim sağlayan ve yalnızca seçilen gelen bağlantı noktalarına izin veren klasik askerden arındırılmış bölge (DMZ) bölgesi.
  3. drop – Gelen tüm ağ bağlantıları kesildi ve yalnızca giden ağ bağlantılarına izin verildi.
  4. external – Yönlendirici bağlantı türleri için kullanışlıdır. Masquerading (NAT) işlevinin düzgün çalışması için LAN ve WAN arabirimlerine de ihtiyacınız vardır.
  5. home – LAN’ınızdaki diğer bilgisayarlara güvendiğiniz dizüstü ve masaüstü bilgisayarlar gibi ev bilgisayarları için kullanışlıdır. Yalnızca seçilen TCP / IP bağlantı noktalarına izin verir.
  6. internal – LAN üzerindeki diğer sunuculara veya bilgisayarlara çoğunlukla güvendiğinizde dahili ağlarda kullanım içindir.
  7. public – Ağdaki diğer bilgisayarlara ve sunuculara güvenmezsiniz. Yalnızca gerekli bağlantı noktalarına ve hizmetlere izin verirsiniz. Bulut sunucular veya bulunduğunuz yerde barındırılan sunucular için her zaman herkese açık alan kullanın.
  8. trusted – Tüm ağ bağlantıları kabul edilir. Bu bölgeyi WAN’a bağlı özel sunucular veya VM’ler için önermiyorum.
  9. work – İş arkadaşlarınıza ve diğer sunucularınıza güvendiğiniz işyerinizde kullanım içindir.

CentOS 8’deki tüm bölgeleri görmek için aşağıdaki komutu çalıştırın:
$ firewall-cmd --get-zones

Varsayılan bölgenizi bulma

Bir bölgeye ağ arabirimi ve kaynak atayabilir. Bu bölgelerden biri varsayılan bölge olarak ayarlanmıştır. Varsayılan bölge çalıştırmanızı sağlamak için:
$ firewall-cmd --get-default-zone
Ağ arabirim adlarınızın ip komutunu veya nmcli komutunu çalıştırın : NetworkManager’a yeni arabirim bağlantısı eklendiğinde (eth0 veya ens3 gibi), varsayılan bölgeye eklenirler. Aşağıdaki komutu çalıştırarak doğrulayın:
$ ip link show
$ nmcli device status

$ firewall-cmd --get-active-zones
güvenlik duvarı-cmd --get-active-zones

2. hizmetler

Hizmet, yerel bağlantı noktaları, protokoller, kaynak bağlantı noktaları, hedefler ve güvenlik duvarı yardımcı modüllerinin bir listesinden başka bir şey değildir. Bazı örnekler:

  • Bağlantı noktası – 443 veya 25 veya 110
  • Hizmet – SSH, HTTP
  • Protokoller – ICMP

Genel alanla ilişkili güvenlik duvarı kuralları veya hizmetleri nasıl görüntülenir

Çalıştır:
$ sudo firewall-cmd --list-all
VEYA
$ sudo firewall-cmd --list-all --zone=public
Varsayılan ateşli bölgeleri ve kuralları nasıl bulabilirim?
Yukarıdaki komutlar varsayılan bölgemin genel olduğunu ve CentOS 8 / RHEL 8’de gelen SSH bağlantılarına (bağlantı noktası 22), dhcpv6-client ve kokpit servis bağlantı noktasına izin verdiğimi gösterir . Diğer tüm trafik varsayılan olarak düştü. CentOS 8’de Apache veya Nginx’i yapılandırırsam, güvenlik duvarı-cmd kullanarak 80/443 numaralı bağlantı noktasını açmam gerekir. Kokpit veya dhcpv6-client gibi gereksiz hizmetleri istemediğinizi, kuralları değiştirerek bunları bırakabileceğinizi varsayalım. Örneğin, dhcpv6-client ve kokpit hizmetlerini kaldırın:
$ sudo firewall-cmd --remove-service=cockpit --permanent
$ sudo firewall-cmd --remove-service=dhcpv6-client --permanent
$ sudo firewall-cmd --reload
$ sudo firewall-cmd --list-services

CentOS 8'de dhcpv6-client ve kokpit hizmetlerini kaldırın

Geçerli bölgede hangi hizmetlere izin verildiğini görme

$ sudo firewall-cmd --list-services
VEYA VEYA döngü için bash’yi aşağıdaki gibi kullanın :
$ sudo firewall-cmd --list-services --zone=public
$ sudo firewall-cmd --list-services --zone=home

## or just use 'sudo firewall-cmd --list-all-zones' ##
for z in $(firewall-cmd --get-zones)
do  
    echo "Services allowed in $z zone: $(sudo firewall-cmd --list-services --zone=$z)"
done

Geçerli bölgede hangi hizmetlere izin verildiğini görün

Bir CentOS 8’de firewalld hizmetini başlatma, durdurma, yeniden başlatma

Şimdiye kadar ateşli bölgeleri, hizmetleri ve varsayılanları nasıl görüntüleyeceğinizi biliyorsunuz. Güvenlik duvarımızı CentOS 8 Linux kutusunda etkinleştirip yapılandırmanın zamanı geldi.

Firewalld’i başlat ve etkinleştir

$ sudo systemctl start firewalld
$ sudo systemctl enable firewalld

Firewalld’i durdurun ve devre dışı bırakın

$ sudo systemctl stop firewalld
$ sudo systemctl disable firewalld

Firewalld durumunu kontrol edin

$ sudo firewall-cmd --state

Kurallarda değişiklik yaptığınızda firewalld yapılandırmasını yeniden yükleme komutu

$ sudo firewall-cmd --reload

Firewalld hizmetinin durumunu alma

$ sudo systemctl status firewalld
CentOS 8 Üzerinde Güvenlik DuvarıD Kurulumu ve Yönetimi

Çalışma zamanı ve kalıcı güvenlik duvarı kural kümelerini anlama

Çalışma zamanı firewalld yapılandırma değişiklikleri geçicidir. CetnOS 8 sunucusunu yeniden başlattığınızda bunlar ortadan kalkar. Örneğin, aşağıdakiler geçici olarak Nginx / Apache web sunucusu için 80/443 TCP bağlantı noktasını (https) açar: Linux kutusunu yeniden başlattığınızda veya firewalld hizmetlerini yeniden başlattığınızda yukarıdaki kural korunmaz.
$ sudo firewall-cmd --zone=public --add-service=http
$ sudo firewall-cmd --zone=public --add-service=https

Kalıcı kümeye kural nasıl eklenir ve firewalld nasıl yeniden yüklenir

Kuralı (HTTPS / 443 ve HTTP / 80) kalıcı olarak ekleyelim ve firewalld’i yeniden yükleyelim: Doğrulayın:
$ sudo firewall-cmd --zone=public --add-service=http --permanent
$ sudo firewall-cmd --zone=public --add-service=https --permanent
$ sudo firewall-cmd --reload

$ sudo firewall-cmd --list-services
$ sudo firewall-cmd --list-services --permanent

Firewalld çalışma zamanı ve kalıcı kural kümesi örnekleri
Firewalld çalışma zamanı ve kalıcı kural kümesi örnekleri

Firewalld tarafından desteklenen hizmetlerin listesi nasıl bulunur?

Sözdizimi sisteminizde aşağıdaki gibidir:
$ sudo firewall-cmd --get-services
$ sudo firewall-cmd --get-services | grep mysql
$ ls -l /usr/lib/firewalld/services/
$ cat /usr/lib/firewalld/services/ssh.xml

Firewalld mevcut hizmetlerin bir listesini alın
Firewalld, kural kümeleri eklemek veya kural kümelerinden silmek için mevcut hizmetlerin bir listesini alır

Firewalld kural kümeleri örnekleri

Varsayılan bölgeniz için bazı yaygın firewalld örneklerini görelim.

Bölgenize nasıl hizmet eklenir?

Dns hizmeti ekle (TCP / UDP bağlantı noktası 53):
sudo firewall-cmd --zone=public --add-service=dns --permanent

Hizmet bölgenizden nasıl kaldırılır (silinir)

Vnc sunucu hizmetini sil (TCP bağlantı noktası aralığı 5900-5903):
sudo firewall-cmd --zone=public --remove-service=vnc-server --permanent

TCP / UDP bağlantı noktası / protokolüne nasıl izin verilir / açılır

9009 numaralı TCP bağlantı noktasını açma:
sudo firewall-cmd --zone=public --add-port=9009/tcp --permanent
Eklenen bağlantı noktalarını görüntülemek için şunu çalıştırın:
$ sudo firewall-cmd --zone=internal --list-ports

TCP / UDP bağlantı noktası / protokolü nasıl engellenir / engellenir

23 numaralı TCP bağlantı noktasını açın:
sudo firewall-cmd --zone=public --remove-port=23/tcp --permanent

Click to comment

You must be logged in to post a comment Login

Leave a Reply

This site uses Akismet to reduce spam. Learn how your comment data is processed.

popüler yazılar

To Top
%d blogcu bunu beğendi: