Подешавање заштитног зида помоћу firewalld-а на Rocky Linux 9

Подешавање заштитног зида помоћу firewalld-а на Rocky Linux 9

Увод

Заштитни зид представља критичну компоненту сваког сигурног система, а његова примарна функција је даштитава систем од улазних и излазних претњи. У овом упутству ћемо детаљно размотрити како подесити и управљати заштитним зидом firewalld* на дистрибуцији *Rocky Linux 9.

Шта је firewalld?

firewalld је динамички заштитни зид који поједностављује управљање заштитним зидом помоћу богатства унапред дефинисаних зона које одговарају различитим мрежним окружењима, као што су јавне зоне, приватне зоне, зоне поверења и све остале зоне.

Инсталирање firewalld-а

Пошто је firewalld већ инсталиран као део минималне инсталације Rocky Linux 9, не морате га ручно инсталирати. Међутим, ако га требате инсталирати или поново инсталирати, можете то учинити следећом командом:


sudo dnf install firewalld

Подешавање зона

Први корак у подешавању firewalld-а је дефинисање зона које представљају мрежна окружења у којима ће ваш систем учествовати. Подразумевано су дефинисане следеће зоне:

* dmz: За системе који се налазе у демилитаризованој зони
* block: За хостове на које желите да блокирате сав приступ
* external: За системе који су изложени јавном интернету
* home: За личне и кућне мреже
* internal: За приватне мреже које су заштићене од јавног интернета
* public: За системе на којима су инсталирани сервиси који слушају на јавној мрежи
* trusted: За мреже које су иза вашег заштитног зида и којима верујете
* work: За пословне и канцеларијске мреже

Да бисте погледали тренутне зоне дефинисане у вашој конфигурацији firewalld-а, користите следећу команду:


sudo firewall-cmd --get-zones

Подешавање сервиса и портова

  Како ефикасно заштитити податке

Једном када дефинишете зоне, можете их повезати са сервисима и портовима које дозвољавате или одбијате. На пример, да бисте дозволили HTTP* саобраћај на **80** порту у *public зони, можете користити следећу команду:


sudo firewall-cmd --add-service=http --zone=public

Слично томе, да бисте у потпуности дозволили сав приступ у trusted зони, користите следећу команду:


sudo firewall-cmd --zone=trusted --add-rule=allow-all

Онемогућавање или укључивање интерфејса

firewalld вам омогућава да онемогућавате или укључујете мрежне интерфејсе на основу њихових имена. Да бисте онемогућили интерфејс под називом eth0, користите следећу команду:


sudo firewall-cmd --zone=public --remove-interface=eth0

Слично томе, ако желите да укључите интерфејс, користите следећу команду:


sudo firewall-cmd --zone=public --add-interface=eth0

Подешавање правилника за преусмеравање

Правилници за преусмеравање користе се за преусмеравање мрежног саобраћаја са једне на другу дестинацију. Да бисте конфигурисали правило за преусмеравање, користите следећу синтаксу:


sudo firewall-cmd --add-forward-port=port:destination-port:destination-ip

На пример, следећа команда преусмерава саобраћај на порту 8080* на **192.168.1.10** на порт *80:


sudo firewall-cmd --add-forward-port=port=8080:proto=tcp:toport=80:toaddr=192.168.1.10

Подешавање правила за маскараду

Правила за маскараду користе се за скривање локалне мрежне адресе заштитним зидом, чинећи је да изгледа као да саобраћај долази директно од излазног интерфејса. Да бисте поставили правило за маскараду, користите следећу команду:


sudo firewall-cmd --add-masquerade

Праћење стања заштитног зида

firewalld нуди низ команди за праћење стања вашег заштитног зида. Да бисте видели тренутно стање, користите следећу команду:


sudo firewall-cmd --state

Да бисте приказали детаљнији извештај о статусу, укључујући све активне зоне, сервисе и портове, користите следећу команду:


sudo firewall-cmd --list-all

Решавање проблема

Ако наиђете на било какве проблеме приликом подешавања firewalld-а, можете користити следеће команде за решавање проблема:

  Поређење два гиганта у софтверу за корисничку подршку

* Приказ грешака: sudo firewall-cmd --get-errors
* Приказ правила поступка: sudo firewall-cmd --debug
* Приказ правила заштитног зида: sudo firewall-cmd --list-rules

Закључак

firewalld је моћна и флексибилна апликација за заштиту која пружа богате функције за безбедно управљање мрежним саобраћајем. Изучавањем концепта зона, сервиса и правила, можете подесити firewalld да одговара специфичним потребама сигурности вашег Rocky Linux 9 система. Не заборавите да редовно пратите и прилагођавате конфигурацију firewalld-а како бисте осигурали сталну заштиту вашег система.

Често постављана питања (FAQ)

1. Шта је NAT (транслација мрежних адреса)? NAT мапира приватне мрежне адресе на јавне мрежне адресе, омогућавајући системима на приватној мрежи да комуницирају са системима на јавној мрежи.
2. Како монтирати диск на Rocky Linux 9? Disk се монтира помоћу команде mount. Синтакса је mount [опције] уређај директоријум за монтирање.
3. Које команде се користе за управљање редоследом покретања услуга на Rocky Linux 9? Команде systemctl се користе за управљање редоследом покретања услуга. systemctl enable омогућава услугу, systemctl disable онемогућава услугу, а systemctl status приказује статус услуге.
4. Које су разлике између apt и yum? apt је менаџер пакета за дистрибуције засноване на Debian-у, док је yum менаџер пакета за дистрибуције засноване на Red Hat-у, као што је Rocky Linux.
5. Како прегледати и претраживати датотеке дневника на Rocky Linux 9? Команда journalctl се користи за преглед и претраживање датотека дневника. Опција -f користи се за праћење дневника у реалном времену.
6. Како конфигурисати мрежу на Rocky Linux 9? Мрежа се конфигурише уређивањем датотеке конфигурације /etc/sysconfig/network-scripts/ifcfg-eth0. Ова датотека садржи подешавања као што су ИП адреса, маска подмреже и капија.
7. **Како се проверава и инста