- 1. Како инсталирати и управљати Фиреваллд -ом на Линук -у
- 2. Како управљати зонама у Фиреваллд ЦентОС -у и Убунту -у
- 3. Како блокирати или отворити портове у Фиреваллд Линук ЦентОС -у и Убунту -у
- 4. Како блокирати или отворити услуге у Фиреваллд ЦентОС -у и Убунту -у
- 5. Како омогућити и онемогућити маскирање ИП адреса кроз Фиреваллд Линук
- 6. Како омогућити и онемогућити ИМЦП поруку у Фиреваллд Линук -у
- 7. Како омогућити или не омогућити режим панике у Фиреваллд Линук ЦентОС -у и Убунту -у
- 8. Како блокирати Фиреваллд на Линук ЦентОС -у и Убунту -у
Заштита је једна од радњи која мора увек бити присутна не само у организацијама већ и на личном нивоу када радимо са оперативним системом, а то је, иако постоје различити алати за повећање безбедности и приватности током коришћења система, сам систем укључује додатну функцију као што је заштитни зид.
Основна функција заштитног зида је стварање и управљање улазним и одлазним правилима ради заштите читавог процеса мрежне везе. Тако се спречава да сумњиви или непоуздани пакети уђу у наш рачунар и изазову било коју врсту штете, попут убацивања злонамерног софтвера или отмице информација.
Када радимо са Линук системима, једним од најсигурнијих, имамо помоћне програме отвореног кода који нам помажу да овај процес заштите учинимо много потпунијим, а један од ових услужних програма је Фиреваллд. Солветиц ће објаснити шта је Фиреваллд и како га можемо инсталирати и користити у две тренутно најчешће коришћене дистрибуције, као што су ЦентОС и Убунту.
БелешкаПроцес конфигурације је идентичан за оба система
Шта је ФиреваллдФиреваллд (демон заштитног зида) је услужни програм чија је сврха испоручити динамички управљани заштитни зид који има подршку за мрежне зоне у којима је дефинисан ниво поверења мрежних веза или интерфејса који ће се користити, Фиреваллд је компатибилан са ИПв4 адресама, Поставке заштитног зида ИПв6, Етхернет мостови и спремишта ИП адреса.
Фиреваллд нам нуди интерфејс за услуге или апликације како бисмо директно додали правила заштитног зида, олакшавајући тако контролне задатке. Једна од главних предности коришћења Фиреваллд -а је та што се све промене које треба извршити могу извршити у реалном времену у окружењу извођења без поновног покретања услуге или Даемона, као што се то дешава са многим помоћним програмима.
Фиреваллд интегрише Д-Бус интерфејс који је погодан за управљање услугама, апликацијама и администрацијом конфигурације заштитног зида. Овај интерфејс се може интегрисати са конфигурацијским алатима као што су фиревалл-цмд, фиревалл-цонфиг и фиревалл-апплет.
Фиреваллд карактеристикеНеке од функција које проналазимо када користимо Фиреваллд су:
- Подршка за ИПв4, ИПв6, премошћивање и ипсет.
- Подршка за ИПв4 и ИПв6 НАТ.
- Фиревалл или фиревалл зоне.
- Потпуни Д-Бус АПИ.
- Једноставна услуга, порт, протокол, изворни порт, маскирање, прослеђивање портова, ицмп филтер, богато правило, контрола интерфејса и адресе извора у коришћеним зонама.
- Директно сучеље за управљање.
- Функција блокирања која ствара белу листу апликација које могу да измене заштитни зид.
- Аутоматско учитавање Линук кернел модула.
- Интеграција са Лутком.
- Правила временског заштитног зида у зонама.
- Једноставна регистрација одбијених пакета.
- Алат за графичку конфигурацију користећи гтк3.
- Аплет који користи Кт4.
ДистрибуцијеОсновне дистрибуције у које Фиреваллд може бити имплементиран су:
- РХЕЛ 7, ЦентОС 7
- Федора 18 и новији
АпликацијеАпликације и библиотеке које подржавају фиреваллд као алатку за управљање заштитним зидом укључују:
- НетворкМанагер
- либвирт
- доцкер
- фаил2бан
Важно је да пре него што пређемо у детаље о томе како инсталирати и користити Фиреваллд знамо нешто више о томе, Фиреваллд се састоји од три слоја који су:
- Главни слој (основни слој) који је одговоран за управљање конфигурацијом и услугама као што су иптаблес, ип6таблес, ебтаблес, ипсет и модул за учитавање.
- Д-Бус интерфејс: које је главно средство за промену и креирање поставки заштитног зида.
- Бекендови који омогућавају интеракцију са нетфилтером (изворни модул језгра који се користи за заштитни зид), а неки се рачунају као иптаблес, ип6таблес, ебтаблес, ипсет, нфт, линнфтаблес итд.
Интерфејс фиреваллд Д-Бус је највиталнији начин за креирање и уређивање поставки заштитног зида. Овај интерфејс користе сви мрежни алати уграђени у фиреваллд, као што су фиревалл-цмд, фиревалл-цонфиг и фиревалл-апплет, линија фиревалл-оффлине-цмд не разговара директно са фиреваллд-ом, већ уређује и креира конфигурацијске датотеке фиреваллд-а директно преко фиреваллд језгра са ИО управљачким програмима.
Глобална конфигурациона датотека за фиреваллд налази се на /етц/фиреваллд/фиреваллд.цонф, а функције заштитног зида су конфигурисане у КСМЛ формату.
Фиреваллд користи зоне које дефинишу ниво поверења који ће мрежна веза користити, интерфејс или везу изворне адресе, а иста зона се може користити за многе мрежне везе, интерфејсе и изворе.
Доступне зоне у Фиреваллд -у су:
КапОво је зона са најнижим нивоом поузданости јер се сви долазни пакети аутоматски одбијају и допуштају само омогућавање одлазних пакета.
БлокиратиКада користите ову зону, ниво поверења је сличан Дропу, али се разликује само по томе што се долазни пакети одбијају коришћењем ицмп-хост-забрањено за ИПв4 и ицмп6-адм-забрањено за ИПв6 поруке.
ЈавноСа овом зоном, ниво поверења се односи на непоуздане јавне мреже, па прихвата само поуздане везе.
СпољниТо је ниво који дефинишемо када заштитни зид користимо као гатеваи, а рутери омогућавају његово маскирање.
ДМЗТо је зона у којој се ниво поверења односи на опрему која се налази у зони ДМЗ (демилитаризована), што значи да постоји јавни приступ ограничен на интерну мрежу. Прихвата само прихваћене везе.
ВоркКао што му назив говори, овај ниво се користи у радним подручјима омогућавајући мрежним рачунарима приступ.
кућаКоришћењем овог нивоа говоримо о кућном окружењу и већина рачунара на мрежи је прихваћена
ИнтерниОва врста нивоа примењује се на интерне мреже тако да ће сви рачунари на локалној мрежи бити прихваћени.
ПоузданоЗалаже се за поверење, што значи да је то највиши ниво и верује свим долазним везама.
За конфигурисање или додавање зона можемо користити један од следећих доступних фиреваллд конфигурацијских интерфејса:
- Графички алат за конфигурацију фиревалл-цонфиг.
- Алат командне линије фиревалл-цмд.
- Програмски интерфејс Д-БУС.
- Креирајте, копирајте или уредите датотеку зоне у било којем од конфигурацијских директорија, као што је: / етц / фиреваллд / зоне за прилагођене и кориснички креиране конфигурацијске датотеке или / уср / либ / фиреваллд / зоне за задане и резервне конфигурације.
1. Како инсталирати и управљати Фиреваллд -ом на Линук -у
Корак 1
У случају коришћења ЦентОС 7, фиреваллд пакет је унапред инсталиран и може се проверити следећом командом:
рпм -ка фиреваллдУ случају Убунту -а морамо га инсталирати следећом командом:
судо апт инсталл фиреваллд
ЕНЛАРГЕ
Уносимо слово С да бисмо потврдили преузимање и инсталирање Фиреваллд -а.
Корак 2
Фиреваллд је редовна системд услуга којом се може управљати путем наредбе системцтл на следећи начин:
судо системцтл старт фиреваллд (омогућава вам покретање услуге) судо системцтл енабле фиреваллд (омогућава услугу током покретања система) судо системцтл статус фиреваллд (омогућава вам да видите статус услуге)
ЕНЛАРГЕ
Корак 3
Након покретања фиреваллд услуге, можемо да проверимо да ли је демон покренут или не у Линук-у, за то морамо да користимо фиревалл-цмд алат, извршавамо следеће:
судо фиревалл -цмд -стате
ЕНЛАРГЕ
2. Како управљати зонама у Фиреваллд ЦентОС -у и Убунту -у
Корак 1
Да бисмо добили списак свих доступних услуга и зона заштитног зида, морамо покренути следеће команде:
Да бисте видели зоне:
судо фиревалл-цмд --гет-зоне
ЕНЛАРГЕ
Корак 2
Да бисте видели услуге које ћемо извршити:
судо фиревалл-цмд --гет-сервицес
ЕНЛАРГЕ
Корак 3
Подразумевана зона је зона имплементирана за сваку функцију фиревалла која није повезана са другом зоном, могуће је добити подразумевани скуп зона за мрежне везе и интерфејсе извршавањем следећег:
судо фиревалл-цмд --гет-дефаулт-зоне
ЕНЛАРГЕ
Корак 4
Ако желимо да успоставимо другу подразумевану зону, морамо користити следећу команду. Треба напоменути да ако додамо --перманент опцију, конфигурација је трајно успостављена, можемо извршити било коју од следећих опција:
судо фиревалл-цмд --сет-дефаулт-зоне = ектерналили
судо фиревалл-цмд --сет-дефаулт-зоне = ектернал -перманентКорак 4
Затим применимо промене извршавањем:
судо фиревалл -цмд -релоад
ЕНЛАРГЕ
Корак 5
На пример, ако је циљ додати интерфејс у зону, можемо извршити следеће:
судо фиревалл-цмд --зоне = хоме --адд-интерфаце = енп0с3У овом случају смо додали интерфејс енп0с3 (ЛАН) у матичну зону.
ЕНЛАРГЕ
Корак 6
Треба напоменути да се интерфејс може додати само једној зони, уместо да се премести у другу зону, за то ћемо користити --цханге-интерфаце прекидач или уклонити из претходне зоне помоћу -ремове-интерфаце прекидача а затим га додајте у нову зону, на пример:
судо фиревалл-цмд --зоне = публиц --адд-интерфаце = енп0с3 судо фиревалл-цмд --зоне = публиц --цханге-интерфаце = енп0с3Са Фиреваллдом је могуће користити више зона истовремено, ако желимо да добијемо листу свих активних зона са омогућеним функцијама, као што су интерфејси, услуге, портови, протоколи, извршавамо следеће:
судо фиревалл-цмд --гет-ацтиве-зоне
ЕНЛАРГЕ
Корак 7
Да бисмо добили више информација о зонама, као што је оно што је омогућено или уклоњено, можемо користити једну од ових команди:
судо фиревалл-цмд --зоне = хоме --лист-аллИЛИ
судо фиревалл-цмд --инфо-зоне публиц
ЕНЛАРГЕ
Корак 8
Још једна корисна опција за коришћење са Фиреваллд-ом је --гет-таргет, ово приказује циљ сталне зоне, циљеви могу бити подразумевани, АЦЦЕПТ, ДРОП, РЕЈЕЦТ, за проверу циља неколико зона можемо користити једну од следећих команди :
судо фиревалл-цмд --перманент --зоне = публиц --гет-таргет судо фиревалл-цмд --перманент --зоне = блоцк --гет-таргет судо фиревалл-цмд --перманент --зоне = дмз --гет- таргет судо фиревалл-цмд --перманент --зоне = ектернал --гет-таргет судо фиревалл-цмд --перманент --зоне = дроп --гет-таргет
3. Како блокирати или отворити портове у Фиреваллд Линук ЦентОС -у и Убунту -у
Да бисте отворили порт преко фиреваллд-а, само га додајте у зону са опцијом --адд-порт. Ако зона није експлицитно наведена, биће омогућена у подразумеваној зони.
Корак 1
На пример, да бисмо додали портове 80 и 443 који омогућавају долазни веб саобраћај преко ХТТП и ХТТПС протокола, извршићемо следеће:
судо фиревалл-цмд --зоне = публиц --перманент --адд-порт = 80 / тцп --адд-порт = 443 / тцп
ЕНЛАРГЕ
Корак 2
Сада ћемо поново учитати фиреваллд и проверити функције омогућене у јавној зони:
судо фиревалл-цмд --релоад судо фиревалл-цмд --инфо-зоне публиц
ЕНЛАРГЕ
Корак 3
Ако желимо да блокирамо порт у фиреваллд-у, морамо да користимо --ремове-порт опцију, у овом примеру на следећи начин:
судо фиревалл-цмд --зоне = публиц --перманент --ремове-порт = 80 / тцп --ремове-порт = 443 / тцп
4. Како блокирати или отворити услуге у Фиреваллд ЦентОС -у и Убунту -у
За процес омогућавања услуге у Фиреваллд-у морамо је омогућити помоћу опције --адд-сервице, запамтите да ће се, ако изоставимо зону, користити подразумевана зона.
Корак 1
На пример, да бисмо омогућили хттп услугу у јавној зони, извршавамо:
судо фиревалл-цмд --зоне = публиц --перманент --адд-сервице = хттп судо фиревалл-цмд -релоад
ЕНЛАРГЕ
Корак 2
Параметром -ремове -сервице можемо уклонити услугу из додељене зоне:
судо фиревалл-цмд --зоне = публиц --перманент --ремове-сервице = хттп судо фиревалл-цмд -релоад
ЕНЛАРГЕ
5. Како омогућити и онемогућити маскирање ИП адреса кроз Фиреваллд Линук
ИП маскуерадинг или ИПМАСК / МАСК) је НАТ механизам који омогућава хостовима на мрежи са приватним ИП адресама да комуницирају са Интернетом путем јавне ИП адресе додељене Линук серверу користећи ИПМАСК гатеваи.
Са овим маскирањем, промет са невидљивих хостова ће се појавити на другим рачунарима на Интернету као да је дошао директно са Линукс сервера.
Да бисмо проверили да ли је маскирање активно или не, извршавамо:
судо фиревалл-цмд --зоне = публиц --куери-маскуерадеТада можемо додати зону попут ове:
судо фиревалл-цмд --зоне = публиц --адд-маскуерадеДа бисмо уклонили зону из ове врсте функција, морамо извршити следеће:
судо фиревалл-цмд --зоне = публиц --ремове-маскуераде
6. Како омогућити и онемогућити ИМЦП поруку у Фиреваллд Линук -у
ИЦМП протокол (Интернет Цонтрол Мессаге Протоцол) је протокол који је развијен ради генерисања захтева за информацијама или одговора на те захтеве за информацијама или под условима грешке током читавог процеса комуникације на мрежи.
Корак 1
У Фиреваллд -у је могуће омогућити или онемогућити ИЦМП поруке, али препоручује се валидација свих компатибилних ИЦМП типова, за то извршавамо:
судо фиревалл-цмд --гет-ицмптипес
ЕНЛАРГЕ
Корак 2
ИЦМП можемо додати или блокирати на следећи начин:
судо фиревалл-цмд --зоне = хоме --адд-ицмп-блоцк = ецхо-одговор судо фиревалл-цмд --зоне = хоме --ремове-ицмп-блоцк = ецхо-репли
ЕНЛАРГЕ
Корак 3
Све типове ИЦМП-а можемо додати у зону помоћу прекидача --лист-ицмп -блоцкс:
судо фиревалл-цмд --зоне = хоме --лист-ицмп -блоцкс
7. Како омогућити или не омогућити режим панике у Фиреваллд Линук ЦентОС -у и Убунту -у
Режим панике је посебан режим интегрисан у Фиреваллд -у у којем се елиминишу сви долазни и одлазни пакети, а активне везе ће истећи након што се активира, можемо омогућити овај режим у хитним ситуацијама у којима постоји опасност по систем и на тај начин ћемо избећи било какву везу.
Корак 1
Да бисмо проверили режим панике, користићемо опцију --куери-паниц и можемо је активирати помоћу судо фиревалл-цмд --паниц-он опције:
ЕНЛАРГЕ
Корак 2
Да бисмо разумели како овај режим функционише, када је онемогућен, можемо пингати веб локацију и примит ћемо све послане захтјеве, али када се активира, видјет ћемо поруку која означава привремени квар везе:
ЕНЛАРГЕ
Корак 3
Да бисмо онемогућили овај режим, извршавамо:
судо фиревалл-цмд --паниц-офф
8. Како блокирати Фиреваллд на Линук ЦентОС -у и Убунту -у
Корак 1
У Фиреваллду, локалне апликације или услуге могу да промене конфигурацију заштитног зида ако раде са роот привилегијама, можемо да контролишемо које апликације могу да захтевају промене заштитног зида, додајући их на белу листу за блокирање. Ова функција је подразумевано онемогућена и можемо је омогућити или онемогућити помоћу прекидача --лоцкдовн-он или -лоцкдовн-офф:
судо фиревалл-цмд --лоцкдовн-онИЛИ
судо фиревалл-цмд --лоцкдовн-оффКорак 2
Сигурнији начин је да омогућите или онемогућите ову функцију директно у издању главне конфигурацијске датотеке, јер понекад фиревалл-цмд не постоји на белој листи за блокирање, за то приступамо конфигурационој датотеци:
судо нано /етц/фиреваллд/фиреваллд.цонф
ЕНЛАРГЕ
Тамо лоцирамо ред Лоцкдовн = но и постављамо његов статус на Лоцкдовн = иес, сачувамо промене помоћу тастера Цтрл + О и изађемо из уређивача помоћу Цтрл + Кс.
Фиреваллд је потпуно решење за додавање различитих правила и зона нашим дистрибуцијама Линука и на тај начин додаје боље опште безбедносне опције систему.