Beállítás firewalld - Én egy rendszergazda

előzőa következő

Beállítás firewalld - Én egy rendszergazda

Firewalld rám jött az első telepítése Centos 7. bár valószínűleg sok már régóta használják. Szigorúan véve firewalld nem az, amit kialakult az alapoktól kezdve a tűzfal, és csak felépítmény felett az iptables (vagy még inkább, mint az iptables használ iptables eszköz és működteti az ugyanabban a sorban szűrő kernel), de azt, hogy van néhány új lehetőségeket és veszített a régi .

Kezdjük azzal, hogy mivel vagyunk szokva, hogy nem áll rendelkezésre:

  1. Nem / etc / sysconfig / iptables. Iptables konfiguráció a szokásos megelőzően helyet, firewalld tárolja a beállításait XML-fájlok szétszórva őket az / usr / lib / firewalld / és / etc / firewalld /
  2. Add szabályok ismerős parancsokat, mint iptables -A INPUT -p ICMP -j ACCEPT akkor nem fog sikerülni, és általában, hogy megpróbálja, hogy fellebbezni iptables, nem kaptunk. Tulajdonképpen csak azt kell beállítani, hogy a többi csapat.

És mi van, nem nagyon hasznos, vagy felhagy a szokásos ellenőrzési módszerek:

  1. Képes megváltoztatni a szabályokat nem kell újraindítani a szolgáltatást: Firewalld szolgáltatásként fut, és lehetővé teszi a konfiguráció és a rendszer csak a különbségeket a szabályokat. Ez azt jelenti, (vagy nem merül fel, de valójában) fontos jellemzője, mivel ez megváltoztathatja a szabályokat anélkül, hogy elszakadna a meglévő kapcsolatokat. Mindazonáltal érdemes innováció. (Kapott megjegyzéssel, hogy iptables szintén nem szakítja meg a kapcsolatot, ha újraindítja az asztalra, úgy, hogy a lehetőséget, ez nem így van, és az innovációt. Ugyanakkor, mivel a helyszínen krasnogoryachih ezt Punk szolgált innovációs amíg osavlyu változatlanul, amint azt a játék körül, és leírja az eredményt )
  2. A koncepció a zónák: Fierwalld működik a fogalmak hálózati zónák. Hálózati zóna mindkét említett specifikáció meghatározza a bizalom szintje hálózati kapcsolat. Az orosz meg lehet érteni, mint egy előre meghatározott szabályok, amelyek hozzárendelhetők a kapcsolatot (legalábbis ha jól értem). Nyilvánvaló, hogy annak érdekében, hogy elkerüljék az összeférhetetlenség szabályait, egy kapcsolat lehet csak egy zóna, de a terület, akkor add a kapcsolatok számát.
  • drop - ahogy az elvárható bejövő hálózati csomagokat eldobják, nem fogadott, csak akkor engedélyezett kimenő kapcsolatok
  • blokk - a bejövő hálózati kapcsolatokat elutasították azzal az üzenettel ICMP-host tilos az IPv4 és icmp6-ADM-tiltani IPv6 hálózati kapcsolat engedélyezett csak akkor indul a rendszerünkben.
  • Nyilvános - alkalmazásra hálózatot megbízható számítógépek (a parkban talán, te és az output a szerver a parkba sétálni) csak akkor engedélyezhető adott bejövő kapcsolatokat.
  • - külső használatra külső hálózatok megengedett maszkolás, különösen router, csak benne specifikus vegyület
  • DMZ - számítógépek saját demilitarizált övezet korlátozott hozzáférést a belső hálózat telepítését csak bizonyos bejövő kapcsolatokat.
  • munka / home / belső - mindhárom zónát a leírást az azonos víz, valamint: a maximális bizalmat a számítógépek, a hitben, hogy nem okoz kárt a mi számítógép csak adott bejövő kapcsolatokat
  • Megbízható - Speciális terület anyós, az összes hálózati kapcsolat engedélyezett.

Összesen, adjunk hozzá egy kapcsolat a zóna és kap egy sor előre meghatározott szabályok. Lehet, hogy ez hasznos, ha szeretné a területet, majd néhány szabályt rendelni interfészek az újonnan csatlakoztatott számítógépek, de eddig én nem érteni.

Kezeléséhez mindez rengeteg funkcióval, két fő eszköz:

  1. tűzfal-config GUI, amit még soha nem láttam, úgyhogy nincs autó firewalld és GUI. Tehát feltételezhető opsaniyu jelenti be, hogy nagyon kényelmes, és képes sok mindent.
  2. tűzfal-cmd parancssori segédprogram, amely nem kevésbé hasznos, és arra is képes, hogy sok mindent, de róla részletesebben:

Az első nem legalapvetőbb és helyes, de néha fontos, hogy szeretnék megemlíteni, hogyan lehet megnyitni a portot. Hogy vele a készüléket csak az első, hogy ott forog egyetlen olyan szolgáltatás, például jabber szerver, amely esetben csak meg kell nyitni bizonyos portokat, így minden más zárva (22 alapértelmezésben tcp open)

# Tűzfal-cmd --zone = [nuzhnaya_zona] --add-port = 5280 / TCP --permanent
# Tűzfal-cmd --reload

Esetünkben nuzhnaya_zona nyilvánosságra, mert nyitunk a portbeállítás --permanent adunk a változások tartósan tárolódnak, ha nincs megadva, akkor az új beállítások elvesznek egy újraindítás után.

És persze, csak abban az esetben:

# Tűzfal-cmd [--zone = nuzhnaya_zona] --list-portok

Ha megadjuk helyett nuzhnaya_zona nyilvános akkor kap egy listát a nyitott portok. Ha írsz --list-szolgáltatások megtekintheti kikötők jegyzékét, amelyek nyitva szolgáltatások (kiegészül a közös helyiségekben). A zóna lehet adni, mint egy kikötő vagy szolgáltatás (és nem csak), és ha ehhez hozzávesszük a közös helyiségekben a szolgáltatás, a port, amelyen működik nem jelennek meg a jegyzéket.

Általában, ha jól értem az összes paramétert a program tűzfal-cmd prishutsya két kötőjellel - előre. Itt van egy lista a hasznos alap naryty az Interneten:
tűzfal-cmd

Jó napot!
Egyes kritikusok:
Képes megváltoztatni a szabályokat nem kell újraindítani a szolgáltatást: Firewalld szolgáltatásként fut, és lehetővé teszi a konfiguráció és a rendszer csak a különbségeket a szabályokat. Ez azt jelenti, (vagy nem merül fel, de valójában) fontos jellemzője, mivel ez megváltoztathatja a szabályokat anélkül, hogy elszakadna a meglévő kapcsolatokat.

Ha látsz iptables vegyületek nem törik, csak újraolvastam a szabályokat. systemctl reload iptables.service vagy szolgáltatás iptables váljanak. Annak érdekében, hogy ez a funkció lehetővé firewalld, valamint a jó öreg iptables. Személyesen tesztelt CentOS 6 és 7.


Ha látsz iptables vegyületek nem törik, csak újraolvastam a szabályokat. systemctl reload iptables.service vagy szolgáltatás iptables váljanak. Annak érdekében, hogy ez a funkció lehetővé firewalld, valamint a jó öreg iptables. Személyesen tesztelt CentOS 6 és 7.

Cikk hozzáadva módosítást, feltéve, hogy rendelkezésre álló idő és minden bizonnyal megpróbálja újraírni egy bekezdést :) Köszönöm szépen.

Firewolld természetesen dinamikus szolgáltatás, de nem - reload port nem nyitható :)

Reload szükség, mert a csapat beírt --permanent gombot. A firewalld két, hogy úgy mondjuk, a hely, ahol a konfiguráció tárolása - egy futásidejű és állandó (mint a Cisco hardver marshrutizatoraz, például). --permanent - tárolja a konfigurációs fájlban. Ha a szabályt anélkül, hogy ez kulcsfontosságú, hogy haladéktalanul alkalmazzák. De ez nem fog tükröződni a konfigurációs fájlt az aktuális futási konfigurált, hogy mozog a konfiguráció az alábbi parancsot:

Quote Aleq Qery:

Firewolld természetesen dinamikus szolgáltatás, de nem - reload port nem nyitható :)

  • Bízza a felhasználók a parancssorban a Windows (nettó felhasználó)

Itt információt a neten csodálatos programot, vagy inkább annak munkáját felhasználók: net user. Néha például, meg kell aktiválni a fiókot, vagy a vendég fiókot.

  • Diagnostics csoportházirend - gpresult

    gpresult eszközt - egy egyszerű és kényelmes módja annak, hogy tesztelje a csoportházirend a kliens gépeken. Ez szabványos Windows, és segítségével.

  • Szakmai Adatbázis adminisztrátor Normál

    Itt érdemes DBAs ministaerstvo Munkaügyi és Társadalombiztosítási létrehozott egy külön szabvány, és a rendszergazda számára, mint például a web szerver nem külön szabvány. De.

  • Szabványa tehhpodderzhki
  • És még egy profi rendszergazda, standard

    Itt egy újabb szakmai színvonalat a minisztérium a mi szeretett, amely alkalmas mind a rendszer adminisztrátori kezdődött, és egy egyszerű enikeoschika mert.

    érdekes hírek

    • A telemetria Windows 10. letilt, tiltsa még mindig a legjobb ajánlatot
  • Szent A számítógép is verte a bajnok a játékot háromszor Európa-bajnok

    AlphaGo program által kifejlesztett brit DeepMind, verte a háromszoros Európa-bajnok Fan Hui öt játék egy sorban. A játék második.

  • Új „ajándék” a Microsoft - „stabilitás” és a „magánélet”

    A világhírű korparotsiya ismét tetszett nekünk a híreket: megjelenése után a következő patch, beépített eszköz BitLocker titkosítási leállt, és a Microsoft nem.

    • A telepítő nem tudta létrehozni vagy keressen egy meglévő rendszer partíció.
    • Beállítás Firewalld
    • 79 Service Error Error HP LaserJet nyomtató 400 M401dn
    • Job Description rendszeradminisztrátor
    • Gyermekágy paramétereken fierwalld-cmd vagy újra firewalld beállítás
    • FSMO szerepkörök átvitele
    • Mit tehetünk, ha azt szeretné, hogy távolítsa el az illesztőprogramot, és a rendszer válaszol: „A megadott nyomtató-illesztőprogram van elfoglalva.”
    • Telepítése CentOS 7
    • Telepítése ejabberd 15 CentOS 7
    • Gyermekágy a ciklust bash
    • Telepítése Openfire 3.10 CentOS 7
    • Gyermekágy a Wget
    • FTP File Transfer Protocol
    • Hogyan tisztítsa meg a nyomtatási sor a Windows.
    • Az üzemeltetők a választás bash

    Kapcsolódó cikkek

    • előzőa következő