Подешавање заштитног зида помоћу firewalld-а на Rocky Linux 9

Uvod

Zaštitni zid predstavlja ključnu komponentu svakog sigurnog sistema, a njegov osnovni cilj je da štiti sistem od potencijalnih opasnosti koje mogu doći iz spoljašnjeg ili unutrašnjeg okruženja. U ovom uputstvu ćemo detaljno istražiti kako podesiti i upravljati zaštitnim zidom firewalld na operativnom sistemu Rocky Linux 9.

Šta je firewalld?

firewalld je dinamičan zaštitni zid koji omogućava pojednostavljeno upravljanje zaštitom mreže koristeći brojne unapred definisane zone. Ove zone su prilagođene različitim mrežnim okruženjima, kao što su javne, privatne, pouzdane i mnoge druge.

Instaliranje firewalld-a

firewalld je obično već uključen kao deo standardne instalacije Rocky Linux 9 sistema, tako da ga nije potrebno dodatno instalirati. Međutim, ukoliko je potrebno ponovo ga instalirati, to se može učiniti pomoću sledeće komande:

sudo dnf install firewalld

Podešavanje zona

Prvi korak u konfigurisanju firewalld-a je definisanje zona koje odgovaraju različitim mrežnim okruženjima u kojima će vaš sistem biti aktivan. Podrazumevano, definisane su sledeće zone:

  • dmz: Za sisteme koji se nalaze u demilitarizovanoj zoni.
  • block: Za računare kojima želite da onemogućite svaki pristup.
  • external: Za sisteme koji su direktno izloženi javnom internetu.
  • home: Za lične i kućne mreže.
  • internal: Za privatne mreže koje su izolovane od javnog interneta.
  • public: Za sisteme na kojima se nalaze servisi koji su dostupni preko javne mreže.
  • trusted: Za mreže kojima verujete i koje se nalaze iza vašeg zaštitnog zida.
  • work: Za poslovne i kancelarijske mreže.

Da biste videli trenutno definisane zone u vašoj firewalld konfiguraciji, koristite ovu komandu:

sudo firewall-cmd --get-zones

Podešavanje servisa i portova

Nakon što su zone definisane, možete ih povezati sa servisima i portovima koje želite da dozvolite ili zabranite. Na primer, da biste dozvolili HTTP saobraćaj preko porta 80 u public zoni, koristite sledeću komandu:

sudo firewall-cmd --add-service=http --zone=public

Slično tome, za dozvolu potpunog pristupa u trusted zoni, koristite sledeću komandu:

sudo firewall-cmd --zone=trusted --add-rule=allow-all

Onemogućavanje ili omogućavanje interfejsa

firewalld vam omogućava da isključite ili uključite mrežne interfejse prema njihovim nazivima. Za onemogućavanje interfejsa pod imenom eth0, koristite:

sudo firewall-cmd --zone=public --remove-interface=eth0

Za ponovno omogućavanje istog interfejsa koristite ovu komandu:

sudo firewall-cmd --zone=public --add-interface=eth0

Podešavanje pravila za prosleđivanje

Pravila za prosleđivanje se koriste za preusmeravanje mrežnog saobraćaja sa jedne na drugu destinaciju. Da biste podesili pravilo za prosleđivanje, koristite ovu sintaksu:

sudo firewall-cmd --add-forward-port=port:destination-port:destination-ip

Na primer, sledeća komanda preusmerava saobraćaj sa porta 8080 na 192.168.1.10 na port 80:

sudo firewall-cmd --add-forward-port=port=8080:proto=tcp:toport=80:toaddr=192.168.1.10

Podešavanje pravila za maskaradu

Pravila za maskaradu se koriste da sakriju lokalne mrežne adrese iza zaštitnog zida, tako da izgleda kao da saobraćaj potiče direktno sa izlaznog interfejsa. Za postavljanje pravila za maskaradu, koristite ovu komandu:

sudo firewall-cmd --add-masquerade

Praćenje stanja zaštitnog zida

firewalld nudi više komandi za praćenje statusa vašeg zaštitnog zida. Da biste videli trenutno stanje, koristite:

sudo firewall-cmd --state

Za detaljniji pregled statusa, uključujući sve aktivne zone, servise i portove, koristite ovu komandu:

sudo firewall-cmd --list-all

Rešavanje problema

Ukoliko dođe do problema prilikom podešavanja firewalld-a, sledeće komande mogu pomoći u rešavanju:

  • Prikaz grešaka: sudo firewall-cmd --get-errors
  • Prikaz pravila procesa: sudo firewall-cmd --debug
  • Prikaz pravila zaštitnog zida: sudo firewall-cmd --list-rules

Zaključak

firewalld je moćan i fleksibilan alat za zaštitu sistema koji pruža bogatstvo funkcija za sigurno upravljanje mrežnim saobraćajem. Razumevanjem koncepta zona, servisa i pravila, možete podesiti firewalld prema specifičnim sigurnosnim potrebama vašeg Rocky Linux 9 sistema. Ne zaboravite redovno pratiti i prilagođavati konfiguraciju firewalld-a kako biste obezbedili kontinuiranu zaštitu sistema.

Često postavljana pitanja (FAQ)

  1. Šta je NAT (Network Address Translation)? NAT mapira privatne mrežne adrese na javne mrežne adrese, omogućavajući sistemima u privatnoj mreži da komuniciraju sa sistemima u javnoj mreži.

  2. Kako montirati disk na Rocky Linux 9? Disk se montira pomoću komande mount. Sintaksa je mount [opcije] uređaj direktorijum za montiranje.

  3. Koje komande se koriste za upravljanje redosledom pokretanja servisa na Rocky Linux 9? Komande systemctl se koriste za upravljanje redosledom pokretanja servisa. systemctl enable omogućava servis, systemctl disable onemogućava servis, a systemctl status prikazuje status servisa.

  4. Koje su razlike između apt i yum? apt je menadžer paketa za distribucije zasnovane na Debian-u, dok je yum menadžer paketa za distribucije zasnovane na Red Hat-u, kao što je Rocky Linux.

  5. Kako pregledati i pretraživati datoteke dnevnika na Rocky Linux 9? Komanda journalctl se koristi za pregled i pretraživanje datoteka dnevnika. Opcija -f koristi se za praćenje dnevnika u realnom vremenu.

  6. Kako konfigurisati mrežu na Rocky Linux 9? Mreža se konfiguriše uređivanjem konfiguracione datoteke /etc/sysconfig/network-scripts/ifcfg-eth0. Ova datoteka sadrži podešavanja kao što su IP adresa, maska podmreže i kapija.