Подешавање заштитног зида помоћу firewalld-а на Rocky Linux 9
Увод
Заштитни зид представља критичну компоненту сваког сигурног система, а његова примарна функција је даштитава систем од улазних и излазних претњи. У овом упутству ћемо детаљно размотрити како подесити и управљати заштитним зидом firewalld* на дистрибуцији *Rocky Linux 9.
Шта је firewalld?
firewalld је динамички заштитни зид који поједностављује управљање заштитним зидом помоћу богатства унапред дефинисаних зона које одговарају различитим мрежним окружењима, као што су јавне зоне, приватне зоне, зоне поверења и све остале зоне.
Инсталирање firewalld-а
Пошто је firewalld већ инсталиран као део минималне инсталације Rocky Linux 9, не морате га ручно инсталирати. Међутим, ако га требате инсталирати или поново инсталирати, можете то учинити следећом командом:
sudo dnf install firewalld
Подешавање зона
Први корак у подешавању firewalld-а је дефинисање зона које представљају мрежна окружења у којима ће ваш систем учествовати. Подразумевано су дефинисане следеће зоне:
* dmz: За системе који се налазе у демилитаризованој зони
* block: За хостове на које желите да блокирате сав приступ
* external: За системе који су изложени јавном интернету
* home: За личне и кућне мреже
* internal: За приватне мреже које су заштићене од јавног интернета
* public: За системе на којима су инсталирани сервиси који слушају на јавној мрежи
* trusted: За мреже које су иза вашег заштитног зида и којима верујете
* work: За пословне и канцеларијске мреже
Да бисте погледали тренутне зоне дефинисане у вашој конфигурацији firewalld-а, користите следећу команду:
sudo firewall-cmd --get-zones
Подешавање сервиса и портова
Једном када дефинишете зоне, можете их повезати са сервисима и портовима које дозвољавате или одбијате. На пример, да бисте дозволили HTTP* саобраћај на **80** порту у *public зони, можете користити следећу команду:
sudo firewall-cmd --add-service=http --zone=public
Слично томе, да бисте у потпуности дозволили сав приступ у trusted зони, користите следећу команду:
sudo firewall-cmd --zone=trusted --add-rule=allow-all
Онемогућавање или укључивање интерфејса
firewalld вам омогућава да онемогућавате или укључујете мрежне интерфејсе на основу њихових имена. Да бисте онемогућили интерфејс под називом eth0, користите следећу команду:
sudo firewall-cmd --zone=public --remove-interface=eth0
Слично томе, ако желите да укључите интерфејс, користите следећу команду:
sudo firewall-cmd --zone=public --add-interface=eth0
Подешавање правилника за преусмеравање
Правилници за преусмеравање користе се за преусмеравање мрежног саобраћаја са једне на другу дестинацију. Да бисте конфигурисали правило за преусмеравање, користите следећу синтаксу:
sudo firewall-cmd --add-forward-port=port:destination-port:destination-ip
На пример, следећа команда преусмерава саобраћај на порту 8080* на **192.168.1.10** на порт *80:
sudo firewall-cmd --add-forward-port=port=8080:proto=tcp:toport=80:toaddr=192.168.1.10
Подешавање правила за маскараду
Правила за маскараду користе се за скривање локалне мрежне адресе заштитним зидом, чинећи је да изгледа као да саобраћај долази директно од излазног интерфејса. Да бисте поставили правило за маскараду, користите следећу команду:
sudo firewall-cmd --add-masquerade
Праћење стања заштитног зида
firewalld нуди низ команди за праћење стања вашег заштитног зида. Да бисте видели тренутно стање, користите следећу команду:
sudo firewall-cmd --state
Да бисте приказали детаљнији извештај о статусу, укључујући све активне зоне, сервисе и портове, користите следећу команду:
sudo firewall-cmd --list-all
Решавање проблема
Ако наиђете на било какве проблеме приликом подешавања firewalld-а, можете користити следеће команде за решавање проблема:
* Приказ грешака: sudo firewall-cmd --get-errors
* Приказ правила поступка: sudo firewall-cmd --debug
* Приказ правила заштитног зида: sudo firewall-cmd --list-rules
Закључак
firewalld је моћна и флексибилна апликација за заштиту која пружа богате функције за безбедно управљање мрежним саобраћајем. Изучавањем концепта зона, сервиса и правила, можете подесити firewalld да одговара специфичним потребама сигурности вашег Rocky Linux 9 система. Не заборавите да редовно пратите и прилагођавате конфигурацију firewalld-а како бисте осигурали сталну заштиту вашег система.
Често постављана питања (FAQ)
1. Шта је NAT (транслација мрежних адреса)? NAT мапира приватне мрежне адресе на јавне мрежне адресе, омогућавајући системима на приватној мрежи да комуницирају са системима на јавној мрежи.
2. Како монтирати диск на Rocky Linux 9? Disk се монтира помоћу команде mount
. Синтакса је mount [опције] уређај директоријум за монтирање
.
3. Које команде се користе за управљање редоследом покретања услуга на Rocky Linux 9? Команде systemctl
се користе за управљање редоследом покретања услуга. systemctl enable
омогућава услугу, systemctl disable
онемогућава услугу, а systemctl status
приказује статус услуге.
4. Које су разлике између apt
и yum
? apt
је менаџер пакета за дистрибуције засноване на Debian-у, док је yum
менаџер пакета за дистрибуције засноване на Red Hat-у, као што је Rocky Linux.
5. Како прегледати и претраживати датотеке дневника на Rocky Linux 9? Команда journalctl
се користи за преглед и претраживање датотека дневника. Опција -f
користи се за праћење дневника у реалном времену.
6. Како конфигурисати мрежу на Rocky Linux 9? Мрежа се конфигурише уређивањем датотеке конфигурације /etc/sysconfig/network-scripts/ifcfg-eth0
. Ова датотека садржи подешавања као што су ИП адреса, маска подмреже и капија.
7. **Како се проверава и инста