Uvod
Zaštitni zid predstavlja ključnu komponentu svakog sigurnog sistema, a njegov osnovni cilj je da štiti sistem od potencijalnih opasnosti koje mogu doći iz spoljašnjeg ili unutrašnjeg okruženja. U ovom uputstvu ćemo detaljno istražiti kako podesiti i upravljati zaštitnim zidom firewalld na operativnom sistemu Rocky Linux 9.
Šta je firewalld?
firewalld je dinamičan zaštitni zid koji omogućava pojednostavljeno upravljanje zaštitom mreže koristeći brojne unapred definisane zone. Ove zone su prilagođene različitim mrežnim okruženjima, kao što su javne, privatne, pouzdane i mnoge druge.
Instaliranje firewalld-a
firewalld je obično već uključen kao deo standardne instalacije Rocky Linux 9 sistema, tako da ga nije potrebno dodatno instalirati. Međutim, ukoliko je potrebno ponovo ga instalirati, to se može učiniti pomoću sledeće komande:
sudo dnf install firewalld
Podešavanje zona
Prvi korak u konfigurisanju firewalld-a je definisanje zona koje odgovaraju različitim mrežnim okruženjima u kojima će vaš sistem biti aktivan. Podrazumevano, definisane su sledeće zone:
- dmz: Za sisteme koji se nalaze u demilitarizovanoj zoni.
- block: Za računare kojima želite da onemogućite svaki pristup.
- external: Za sisteme koji su direktno izloženi javnom internetu.
- home: Za lične i kućne mreže.
- internal: Za privatne mreže koje su izolovane od javnog interneta.
- public: Za sisteme na kojima se nalaze servisi koji su dostupni preko javne mreže.
- trusted: Za mreže kojima verujete i koje se nalaze iza vašeg zaštitnog zida.
- work: Za poslovne i kancelarijske mreže.
Da biste videli trenutno definisane zone u vašoj firewalld konfiguraciji, koristite ovu komandu:
sudo firewall-cmd --get-zones
Podešavanje servisa i portova
Nakon što su zone definisane, možete ih povezati sa servisima i portovima koje želite da dozvolite ili zabranite. Na primer, da biste dozvolili HTTP saobraćaj preko porta 80 u public zoni, koristite sledeću komandu:
sudo firewall-cmd --add-service=http --zone=public
Slično tome, za dozvolu potpunog pristupa u trusted zoni, koristite sledeću komandu:
sudo firewall-cmd --zone=trusted --add-rule=allow-all
Onemogućavanje ili omogućavanje interfejsa
firewalld vam omogućava da isključite ili uključite mrežne interfejse prema njihovim nazivima. Za onemogućavanje interfejsa pod imenom eth0, koristite:
sudo firewall-cmd --zone=public --remove-interface=eth0
Za ponovno omogućavanje istog interfejsa koristite ovu komandu:
sudo firewall-cmd --zone=public --add-interface=eth0
Podešavanje pravila za prosleđivanje
Pravila za prosleđivanje se koriste za preusmeravanje mrežnog saobraćaja sa jedne na drugu destinaciju. Da biste podesili pravilo za prosleđivanje, koristite ovu sintaksu:
sudo firewall-cmd --add-forward-port=port:destination-port:destination-ip
Na primer, sledeća komanda preusmerava saobraćaj sa porta 8080 na 192.168.1.10 na port 80:
sudo firewall-cmd --add-forward-port=port=8080:proto=tcp:toport=80:toaddr=192.168.1.10
Podešavanje pravila za maskaradu
Pravila za maskaradu se koriste da sakriju lokalne mrežne adrese iza zaštitnog zida, tako da izgleda kao da saobraćaj potiče direktno sa izlaznog interfejsa. Za postavljanje pravila za maskaradu, koristite ovu komandu:
sudo firewall-cmd --add-masquerade
Praćenje stanja zaštitnog zida
firewalld nudi više komandi za praćenje statusa vašeg zaštitnog zida. Da biste videli trenutno stanje, koristite:
sudo firewall-cmd --state
Za detaljniji pregled statusa, uključujući sve aktivne zone, servise i portove, koristite ovu komandu:
sudo firewall-cmd --list-all
Rešavanje problema
Ukoliko dođe do problema prilikom podešavanja firewalld-a, sledeće komande mogu pomoći u rešavanju:
- Prikaz grešaka:
sudo firewall-cmd --get-errors
- Prikaz pravila procesa:
sudo firewall-cmd --debug
- Prikaz pravila zaštitnog zida:
sudo firewall-cmd --list-rules
Zaključak
firewalld je moćan i fleksibilan alat za zaštitu sistema koji pruža bogatstvo funkcija za sigurno upravljanje mrežnim saobraćajem. Razumevanjem koncepta zona, servisa i pravila, možete podesiti firewalld prema specifičnim sigurnosnim potrebama vašeg Rocky Linux 9 sistema. Ne zaboravite redovno pratiti i prilagođavati konfiguraciju firewalld-a kako biste obezbedili kontinuiranu zaštitu sistema.
Često postavljana pitanja (FAQ)
-
Šta je NAT (Network Address Translation)? NAT mapira privatne mrežne adrese na javne mrežne adrese, omogućavajući sistemima u privatnoj mreži da komuniciraju sa sistemima u javnoj mreži.
-
Kako montirati disk na Rocky Linux 9? Disk se montira pomoću komande
mount
. Sintaksa jemount [opcije] uređaj direktorijum za montiranje
. -
Koje komande se koriste za upravljanje redosledom pokretanja servisa na Rocky Linux 9? Komande
systemctl
se koriste za upravljanje redosledom pokretanja servisa.systemctl enable
omogućava servis,systemctl disable
onemogućava servis, asystemctl status
prikazuje status servisa. -
Koje su razlike između
apt
iyum
?apt
je menadžer paketa za distribucije zasnovane na Debian-u, dok jeyum
menadžer paketa za distribucije zasnovane na Red Hat-u, kao što je Rocky Linux. -
Kako pregledati i pretraživati datoteke dnevnika na Rocky Linux 9? Komanda
journalctl
se koristi za pregled i pretraživanje datoteka dnevnika. Opcija-f
koristi se za praćenje dnevnika u realnom vremenu. -
Kako konfigurisati mrežu na Rocky Linux 9? Mreža se konfiguriše uređivanjem konfiguracione datoteke
/etc/sysconfig/network-scripts/ifcfg-eth0
. Ova datoteka sadrži podešavanja kao što su IP adresa, maska podmreže i kapija.