Использование Linux Firewalld и случай

Динамические средства управления брандмауэром
определения зоны , а уровень безопасности интерфейсы
и время выполнения отдельные пункты , постоянно сконфигурированные
двухслойной структуру
основного уровня и устройство обработки фоновой, такие как IPTables, ip6tables, Ebtables, ipset и модуль загрузчика
изменение конфигурации D-Bus верхней и создать брандмауэр основной путь. Все firewalld использовать этот интерфейс предоставляет онлайн инструменты
схемных

Firewalld с Iptables контрастирует
firewalld является Iptables интерфейсных контроллеров
Iptables брандмауэра статическим либо изменениям политики необходимо перезагрузить все политики, потеря существующих связей
firewalld динамического изменения политики брандмауэра не требует какого - либо перезагрузок всех политики будут изменять некоторое IPTables сохранить, не потерять все существующее ссылка
firewalld службы демона и использование основных IPTables на
основе Netfilter ядра
конфигурации
брандмауэра конфигурации GUI
брандмауэр-CMD инструмент командной строки
непосредственно изменить файл конфигурации
/ LIB / firewalld альтернативную конфигурацию по умолчанию и
/ и т.д. / firewalld пользователю создавать и пользовательский файл конфигурации переопределить настройки по умолчанию
/etc/firewalld/firewall.conf глобальной конфигурации
конфигурации и выполнения постоянно настроенный
брандмауэр-CMD -zone = SMTP настраивается при запуске публичного -add-службы, перезапускать отказ
брандмауэра CMD -постоянно -zone = общественное -add-служба = SMTP постоянная конфигурация, не влияет на текущее соединение, вступит в силу после перезагрузки
конфигурации сохраняется постоянно брандмауэр-CMD -runtime-к-постоянного время выполнения
зоны
-fi надежного уровня, для многих, регион соответствующее множество соединительных
drop.xml репеллента Все соединения
block.xml отвергают все соединения
public.xml позволяют только указанные соединения * регион по умолчанию
external.xml позволяют только указанные соединения
dmz.xml допускают только указанное соединение
work.xml позволяют только указанные соединения
home.xml позволяют только определенные соединения
internal.xml позволяют только определенные соединения
trusted.xml позволяет все соединения
/ Библиотека / firewalld / зоны и конфигурации по умолчанию резервная область
/ и т.д. / firewalld / зоны для создания и настройки профиля пользователя переопределяет область конфигурации по умолчанию
<? XML версия = «1.0 «кодирование =» UTF-8 «?>
<Zone>
<Short> публичный </ Short>
<описания изобретения> для использования в общественных местах. Тобой не доверяю другим компьютерам сети не НАВРЕДЯТ YO
UR компьютер. только выбранные входящие соединения общепринятый есть. </ Description>
<-Service имя = "SSH" />
<-Service имя = "Клиент-DHCPv6" />
</ Zone>
1
2
3
4
5
6
7
8
версия = "строка"版本
целевой = "ACCEPT | %% REJECT %% | DROP"默认REJECT策略
короткий名称
описание描述
интерфейса接口
название = "строка"
источник源地址
адрес = "адрес [/ маска]"
Mac =» MAC»
ipset = "" ipset
服务службы
имя = "" строка
порта端口
порт = "portid [-portid]"
протокол = "TCP | UDP"
протокол协议
значение = "строка"
ICMP-блок
имя = "строка"
ICMP-блок -inversion
маскарад
вперед-порта
порта = "portid [-portid]"
протокол = "TCP | UDP"
до порта = "portid [-portid]"
к-адр = "адрес"
источник-порт
порта = "portid [-portid]"
протокол = "TCP | UDP"
правило
<правило [семья = "ipv4 | ipv6"]>
[<адрес источника = "адрес [/ маска]" [инвертный = "True"] />]
[<адрес назначения = "адрес [ / маска]»[инвертный = "True"] />]
[
<имя службы = "строка"/> |
<порт порт = "portid [-portid]" Протокол = "TCP | UDP" /> |
<значение протокола = "Протокол" /> |
<ICMP-блок имя = "icmptype" /> |
<маскарад /> |
<вперед-порт порт = "portid [-portid]" Протокол = "TCP | UDP" [до порта = "portid [-portid]"] [к-адр = "адрес"] /> |
<источник-порт порт = "portid [-portid]" Протокол = "TCP | UDP" /> |
]
[<Журнал [префикс = "prefixtext"] [уровень = "АВАРИЙНАЯ | бдительный | крит | эээ | предупредит | уведомление | Информация | отлаживать"] /> [<предельное значение = "скорость / длительность" />] </ журнал >]
[<Аудит> [<предельное значение = "скорость / длительность" />] </ аудит>]
[
<принять> [<предельное значение = "скорость / длительность" />] </ принять> |
<отвергнуть [тип = "rejecttype"]> [<предельное значение = "скорость / длительность" />] </ отклонить> |
<капля> [<предельное значение = "скорость / длительность" />] </ падение> |
<знак установлен = "метка [/ маска]"> [<предельное значение = "скорость / длительность" />] </ метка>
]
</ правило>

богатые правило
<правило [семья = "ipv4 | ipv6"]>
<адрес источника = "адрес [/ маска]" [инвертный = "True"] />
[<журнал [префикс = "prefixtext"] [уровень = "АВАРИЙНАЯ | предупреждение | крит | эээ | предупредит | уведомление | Информация | отлаживать "] /> [<предельное значение =" скорость / длительность "/>] </ журнал>]
[<аудит> [<предельное значение =" скорость / длительность "/ >] </ аудит>]
<принять> [<предельное значение = "скорость / длительность" />] </ принять> |
<отвергнуть [тип = "rejecttype"]> [<предельное значение = "скорость / длительность" />] </ отклонить> |
<капля> [<предельное значение = "скорость / длительность" />] </ падение>
</ правило>




















21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
услуги
<? XML версия = "1.0" кодирование = "UTF-8"?>
<служба>
<краткая> MySQL </ короткая>
<описание> MySQL сервер базы данных </ описание>
<порт протокола = "TCP" порт =»3306" />
</ услуги>
-
2
3
4
5
6
версии = «строка»
короткое
описание
порта
порт = «строка»
Протокол = «строка»
Протокол
значение = «строка»
источник-порт
порт = «строка»
Протокол = «строка»
модуль
имя = "строка"
пункт назначения
ipv4 = "адрес [/ маска]"
ipv6 = "адрес [/ маска]"
. 1
2
. 3
. 4
. 5
. 6
. 7
. 8
. 9
10
. 11
12
13
14
15
16
Конфигурация IPSET
система не IPSET файл конфигурации по умолчанию, файл конфигурации необходимо вручную создать IPSET
MkDir -p /etc/firewalld/ipsets/mytest.xml MyTest имя ipset
шаблоны конфигурации , предоставленные официальным руководством
<XML Version = "1.0" кодирование = "UTF-8"?>
<ipset от типа = "хэш: NET" >
<Short> White-List </ Short>
<запись> 192.168.1.1 </ запись>
<запись> 192.168.1.2 </ запись>
<запись> 192.168.1.3 </ запись>
</ IPSET>
запись должна быть добавлена в IP - адрес
брандмауэра-CMD --get-ipsets отображения текущего IPSET
FireWall-CMD --permanent --add-Rich-властвуй 'правила Family = "IPv4" Источник IPSET = "MyTest" = Порт 80 Порт Протокол TCP = Accept'Ipset применяется к политике
. 1
2
. 3
. 4
. 5
. 6
. 7
. 8
. 9
10
. 11
12
13
менеджер по обслуживанию
ням -y установить firewalld брандмауэр-конфигурации # монтажный firewalld
systemctl включить | отключить firewalld # загрузки
systemctl начать | остановить | перезапуск firewalld # запуск, остановка, перезапуск firewalld
Если вы хотите использовать IPTables для настройки правил брандмауэра, необходимо установить IPTables и отключить firewalld
ням -y установки Iptables-установки служб # Iptables
systemctl включить IPTables # загрузки
systemctl начать | остановить | перезапуск IPtables # запуск, остановка, перезапуск IPTables
брандмауэр-CMD часто используемые команды
брандмауэра CMD --version Просмотр firewalld версии
брандмауэра CMD --help , чтобы просмотреть использование брандмауэра-CMD
человек брандмауэра CMD
1
2
3
брандмауэре -cmd --state # Просмотр firewalld состояние
статус systemctl firewalld # Просмотр firewalld состояния в деталях
1
2
брандмауэр-CMD --reload перезагрузить конфигурацию брандмауэра, не прерывая текущего соединения
брандмауэр-CMD --complete-перезарядка перезагружает конфигурация, текущее соединение потеряно
1
2
брандмауэр-CMD --get-услуга перечисляет все службы по умолчанию
списка брандмауэры-CMD --list-услуга текущего обслуживания
брандмауэр CMD --permanent --zone = общественный --add -service = SMTP сервис включен
брандмауэр-CMD - -постоянно --zone общественного --remove-служба = служба SMTP = отключены
. 1
2
. 3
. 4
брандмауэр-CMD = --zone порты общественного --list-
Брандмауэр-CMD = --permanent --zone общественных --add-Port = 8080 / TCP - порт включен
брандмауэр-CMD --permanent --zone = общественный --remove -port = 8080 / TCP - порт отключить
брандмауэр-CMD --zone = "общественность" --add вперед-порт = порт = 80: прото = ТСР: toport = 12345 сервер с перенаправлением портов для пересылки порта 80 на порт 12345
брандмауэр-CMD --zone = другой порт сервера пересылки общественного --add-маскарад, первый открыл Маскарад
брандмауэр-CMD --zone = «общественность» - добавить вперед-порт = порт = 80: прото = ТСР: toport = 8080: toaddr = 192.168.1.1 отличается перенаправление портов сервера, чтобы 192.168.1.1 порт 8080
. 1
2
. 3
. 4
. 5
. 6
Брандмауэр-CMD --get-зона просмотреть все доступные зоны
брандмауэр-CMD --get-активная-зона в настоящее время активного вида области, и в настоящее время , возложенное на них предоставляются со списком интерфейсов
брандмауэр-CMD --list -Все-зоны во всех регионах перечислены все конфигурации
брандмауэра-CMD --zone = работа --list- весь список всех указанной конфигурации домена
зоны брандмауэра CMD --get-умолчанию-зоны для просмотра по умолчанию
брандмауэр-CMD --set -default зона = публичный установки по умолчанию области
. 1
2
. 3
. 4
. 5
. 6
Брандмауэр-CMD --get-зонный из-интерфейса = eno222
брандмауэр-CMD [--zone = <зона>] --add-интерфейс = <интерфейс > добавить сетевой интерфейс
брандмауэра-CMD [--zone = <зона >] --change-интерфейс = <интерфейс> изменения сетевого интерфейса
брандмауэра-CMD [--zone = <зона >] --remove-интерфейс = <интерфейс> удалить сетевой интерфейс
Брандмауэр-CMD [--zone = <зона >] --query-интерфейс = <интерфейс> Сетевой интерфейс запросов
. 1
2
. 3
. 4
. 5
Брандмауэр-CMD = Внутренний --permanent --zone --add-Источник = 192.168.122.0 / 24 предусмотрен в сетевой адрес назначенной зоны
брандмауэра-CMD --permanent --zone = внутренний --remove -source = 192.168.122.0 / 24 сетевой адрес удаления указанной области
. 1
2
брандмауэра-CMD --get-icmptypes
. 1
Богатый правила
Firewall-CMD-Rich - список с правилами всех правил , перечисленные в
брандмауэре-CMD [-zone = зона] -query богатых властвуй = 'правило' правила , чтобы проверить , есть ли
брандмауэр-CMD [-zone = зона] -remove -богатые-правила = «правило» правила , чтобы удалить
брандмауэр-CMD [-zone = зону] -add -богатого-правила = «правило» добавить
Примеры конфигурации сложного правила
брандмауэр-CMD --zone = публичное --add- богатых властвуй «правило семьи = источник„ipv4“адрес = 192.168.0.14 принимает» разрешить весь трафик IPv4 , 192.168.0.14 в
брандмауэре-CMD --zone = общественности - добавить обогащенную-правила 'правила семьи = "ipv4" адрес источника = "192.168.1.10" порт порта = 22 протокола TCP = Reject' отказаться от хоста IPv4 22 до 192.168.1.10 порт TCP трафика
брандмауэра CMD --zone = общественных --add-богатое правило «правила семьи = источник IPv4 - адрес = 10.1.0.3 вперед-порт порт = 80 = протокол TCP-порту к = 6532» Сей TCP - трафик с IPv4 хоста 10.1.0.3 до 80 портов, а также 6532 направляет трафик на порт
брандмауэра-CMD --zone = общественного --add- богатых властвуй «правило семьи = ipv4 вперед порт порт = 80 = протокол ТСР-порт = 8080 к-адр = 172.31.4.2» будет 80 IPv4 хоста 172.31.4.2 трафика на порту 8080 направляется в порт (на область должна быть активирована маскарад)
FireWall-CMD --add-Rich-правило = «правило Family =„IPv4“адрес источника = «192.168.122.0» Принимаю «позволяет все соединения хост 192.168.122.0/24
брандмауэр-CMD --add богатых властвуй = «правило имя службы = предельное значение FTP = 2 / м принимает» каждые две минуты , чтобы новое соединение для доступа к FTP - сервер
брандмауэра CMD --add-RICH-правила = «Имя правила службы = FTP предел журнала значение = «1 / м» аудит Принимает « согласен на новое соединение IPv4 и IPv6 FTP, и использовать журнал аудит каждую минуту
брандмауэр-CMD --add богатых властвуй =» правила семьи = «ipv4» адрес источника = «192.168.122.0/24» имя службы = SSH = «SSH» уровень = «уведомление» предельное значение префикса журнала = «3 / м» принять " , чтобы новый адрес IPv4 от службы соединения 1192.168.122.0/24 TFTP, и раза в минуте запись
брандмауэра-CMD --permanent --add-rich- правило = «значение протокола правила = падение ICMP» ICMP пакет отбрасывать все
брандмауэр-CMD --add-RICH-правила = «правила семьи = источник ipv4 адрес = 192,168 .122.0 / 24 отвергают «--timeout = 10 при использовании указанного источника и адрес назначения должен быть указан параметр семьи IPv4 или IPv6. Если указать тайм - аут, то правило будет активировано в течение определенного количества секунд, а затем автоматически удаляется
брандмауэр-CMD --add богатых властвуй = 'правило семьи = источник ipv6 адрес = "2001: db8 :: / 64" имя службы = "DNS" предел аудита значение = "1 / ч" отклонить' --timeout = 300 отвергаю все от 2001 года: хост доступа службы DNS db8 :: / 64 подсети, а запись аудита только один раз в час журнал
брандмауэр-CMD --permanent --add-rich- правила = «правила семьи = источник ipv4 адрес = 192,168 .122.0 / 24 = имя службы FTP принимает « служба FTP позволяет узлу доступ к сегменту сети 192.168.122.0/24
брандмауэр-CMD --add богатых властвуй =» семьи = источник «ipv6» правила адреса = «1: 2: 3: 4: 6 :: "вперед -portto-адр =" 1 :: 2: 3: 4: 7 "до порта =" 4012 "протокол =" "порт =" TCP 4011 " ' от адрес пересылки 1 ipv6: 2: 3: 4: 6 :: TCP - порт 4011, 1: 2: 3: 4:7 TCP - порт 4012
. 1
2
. 3
. 4
. 5
. 6
7
. 8
. 9
10
. 11
12
13
Прямые Правила
брандмауэр-CMD -direct -add властвуй ipv4 фильтр IN_public_allow 0 -p TCP -dport 80 -j ACCEPT добавить правила
брандмауэра CMD -direct -remove властвуй ipv4 фильтр IN_public_allow 10 -p TCP -dport 80 -j ACCEPT удалять правила
Firewall- CMD -direct -get-все-правила перечислены правила
---------------------