- 1. Linux'ta Firewalld nasıl kurulur ve yönetilir
- 2. Firewalld CentOS ve Ubuntu'da bölgeler nasıl yönetilir
- 3. Firewalld Linux CentOS ve Ubuntu'da bağlantı noktaları nasıl engellenir veya açılır
- 4. Firewalld CentOS ve Ubuntu'da hizmetler nasıl engellenir veya açılır
- 5. Firewalld Linux aracılığıyla IP maskeleme nasıl etkinleştirilir ve devre dışı bırakılır
- 6. Firewalld Linux'ta IMCP mesajı nasıl etkinleştirilir ve devre dışı bırakılır
- 7. Firewalld Linux CentOS ve Ubuntu'da panik modu nasıl etkinleştirilir veya etkinleştirilmez
- 8. Linux CentOS ve Ubuntu'da Firewalld nasıl engellenir
Güvenlik, bir işletim sistemi ile çalışırken yalnızca kuruluşlarda değil, kişisel düzeyde de her zaman bulunması gereken eylemlerden biridir ve yani bir sistemi kullanırken güvenliği ve gizliliği artırmak için çeşitli araçlar olmasına rağmen, işletim sistemi sistemin kendisi güvenlik duvarı gibi ekstra bir işlev içerir.
Güvenlik duvarının temel işlevi, tüm ağ bağlantısı sürecini korumak için gelen ve giden kuralları oluşturmak ve yönetmektir. Böylece şüpheli veya güvenilmez paketlerin bilgisayarımıza girmesi ve kötü amaçlı yazılımların eklenmesi, bilgilerin ele geçirilmesi gibi her türlü zarara yol açması engellenir.
En güvenli sistemlerden biri olan Linux sistemleriyle çalışırken, bu koruma sürecini çok daha eksiksiz hale getirmemize yardımcı olan açık kaynaklı yardımcı programlarımız var ve bu yardımcı programlardan biri de Firewalld. Solvetic, Firewalld'ın ne olduğunu ve onu şu anda CentOS ve Ubuntu gibi en çok kullanılan dağıtımlardan ikisinde nasıl kurabileceğimizi ve kullanabileceğimizi açıklayacaktır.
NotYapılandırma işlemi her iki sistem için de aynıdır
Güvenlik Duvarı Nedir?Firewalld (güvenlik duvarı arka plan programı), amacı, kullanılacak ağ bağlantılarının veya arayüzlerin güven düzeyinin tanımlandığı ağ bölgelerini destekleyen, dinamik olarak yönetilen bir güvenlik duvarı sunmak olan bir yardımcı programdır, Firewalld, IPv4 adresleriyle uyumludur, IPv6 güvenlik duvarı ayarları, Ethernet köprüleri ve IP adres havuzları.
Firewalld, güvenlik duvarı kurallarını doğrudan eklemek için bize hizmetler veya uygulamalar için bir arayüz sunar, böylece kontrol görevlerini kolaylaştırır. Firewalld kullanmanın ana avantajlarından biri, yapılacak tüm değişikliklerin, birçok yardımcı programda olduğu gibi hizmeti veya Daemon'u yeniden başlatmaya gerek kalmadan yürütme ortamında gerçek zamanlı olarak yapılabilmesidir.
Firewalld, güvenlik duvarı konfigürasyonunun servislerini, uygulamalarını ve yönetimini yönetmek için uygun bir D-Bus arayüzünü entegre eder.Bu arayüz, firewall-cmd, firewall-config ve firewall-applet gibi konfigürasyon araçları ile entegre edilebilir.
Güvenlik Duvarı ÖzellikleriFirewalld kullanırken bulduğumuz özelliklerden bazıları şunlardır:
- IPv4, IPv6, köprüleme ve ipset desteği.
- IPv4 ve IPv6 NAT desteği.
- Güvenlik duvarı veya güvenlik duvarı bölgeleri.
- Tam D-Bus API'si.
- Basit servis, port, protokol, kaynak port, maskeleme, port yönlendirme, icmp filtresi, zengin kural, arayüz ve kullanılan bölgelerde kaynak adres kontrolü.
- Yönetim için doğrudan arayüz.
- Güvenlik duvarını değiştirebilen beyaz bir uygulama listesi oluşturan engelleme işlevi.
- Linux çekirdek modüllerinin otomatik yüklenmesi.
- Kukla ile entegrasyon.
- Bölgelerde zamanlanmış güvenlik duvarı kuralları.
- Reddedilen paketlerin basit kaydı.
- gtk3 kullanan grafik yapılandırma aracı.
- Qt4 kullanan uygulama.
dağıtımlarFirewalld'un uygulanabileceği temel dağıtımlar şunlardır:
- RHEL 7, CentOS 7
- Fedora 18 ve üstü
UygulamalarGüvenlik duvarı yönetim aracı olarak firewalld'yi destekleyen uygulamalar ve kitaplıklar şunları içerir:
- Ağ yöneticisi
- libvirt
- liman işçisi
- fail2ban
Firewalld'un nasıl kurulacağı ve kullanılacağı hakkında ayrıntılara girmeden önce, onun hakkında biraz daha bilgi sahibi olmamız önemlidir, Firewalld üç katmandan oluşur:
- iptables, ip6tables, ebtables, ipset ve modül yükleyici gibi yapılandırma ve hizmetleri yönetmekten sorumlu olan ana katman (çekirdek katman).
- D-Bus arayüzü: güvenlik duvarı ayarlarını değiştirmenin ve oluşturmanın ana yolu.
- Netfilter (güvenlik duvarı için kullanılan yerel çekirdek modülü) ile etkileşime izin veren arka uçlar ve bazıları iptables, ip6tables, ebtables, ipset, nft, linnftables vb. olarak sayılır.
Güvenlik duvarı D-Bus arayüzü, güvenlik duvarı ayarlarını oluşturmanın ve düzenlemenin en hayati yoludur. Bu arayüz, firewall-cmd, firewall-config ve firewall-applet gibi firewalld'de yerleşik tüm çevrimiçi araçlar tarafından kullanılır, firewall-offline-cmd hattı doğrudan firewalld ile konuşmaz, ancak firewalld'nin yapılandırma dosyalarını düzenler ve oluşturur. IO sürücüleri ile doğrudan firewalld çekirdeği aracılığıyla.
firewalld için genel yapılandırma dosyası /etc/firewalld/firewalld.conf konumunda bulunur ve güvenlik duvarı işlevleri XML biçiminde yapılandırılır.
Firewalld, kullanılacak ağ bağlantısının, arabirimin veya kaynak adres bağlantısının sahip olacağı güven düzeyini tanımlayan bölgelerden yararlanır ve aynı bölge birçok ağ bağlantısı, arabirim ve kaynak için kullanılabilir.
Firewalld'da kullanılabilen bölgeler şunlardır:
DüşürmekBu, en düşük güven düzeyine sahip bölgedir, çünkü gelen tüm paketler otomatik olarak reddedilir ve yalnızca giden paketlerin etkinleştirilmesine izin verir.
EngellemekBu bölgeyi kullanırken, güven düzeyi Drop'a benzer ancak yalnızca gelen paketlerin IPv4 için icmp-host-yasaklanmış ve IPv6 mesajları için icmp6-adm-yasaklanmış kullanılarak reddedilmesi bakımından farklılık gösterir.
HalkBu bölge ile güven düzeyi, güvenilmeyen genel ağlara atıfta bulunur, bu nedenle yalnızca güvenilir bağlantıları kabul eder.
HariciGüvenlik Duvarını ağ geçidi olarak kullandığımızda tanımlanan seviyedir ve maskelemesi yönlendiriciler tarafından etkinleştirilir.
DMZBu, bir DMZ (Demilitarized) bölgesinde bulunan ekipman için güven seviyesinin geçerli olduğu bir bölgedir, bu, dahili ağla sınırlı kamu erişimi olduğu anlamına gelir. Yalnızca kabul edilen bağlantıları kabul eder.
ÇalışmakAdından da anlaşılacağı gibi, bu seviye, ağ bilgisayarlarının ona erişmesine izin veren çalışma alanlarında kullanılır.
evBu seviyeyi kullanarak bir ev ortamından bahsediyoruz ve ağdaki çoğu bilgisayar kabul ediliyor.
DahiliBu düzey, yerel ağdaki tüm bilgisayarların kabul edilmesi için dahili ağlar için geçerlidir.
güvenilirEn yüksek seviye olduğunu ve gelen tüm bağlantılara güvendiğini ima eden Güven anlamına gelir.
Bölgeleri yapılandırmak veya eklemek için aşağıdaki mevcut güvenlik duvarı yapılandırma arayüzlerinden birini kullanabiliriz:
- Grafiksel yapılandırma aracı firewall-config.
- Güvenlik duvarı-cmd komut satırı aracı.
- D-BUS programlı arayüzü.
- Özel ve kullanıcı tarafından oluşturulan yapılandırma dosyaları için /etc/firewalld/zones veya varsayılan ve geri dönüş yapılandırmaları için /usr/lib/firewalld/zones gibi yapılandırma dizinlerinden herhangi birinde bir bölge dosyası oluşturun, kopyalayın veya düzenleyin.
1. Linux'ta Firewalld nasıl kurulur ve yönetilir
Aşama 1
CentOS 7 kullanılması durumunda, firewalld paketi önceden yüklenmiştir ve aşağıdaki komutla doğrulanabilir:
rpm -qa güvenlik duvarıUbuntu durumunda, aşağıdaki komutla kurmalıyız:
sudo apt güvenlik duvarı yükleyin
BÜYÜT
Firewalld'ın indirilmesini ve kurulmasını onaylamak için S harfini giriyoruz.
Adım 2
Firewalld, systemctl komutuyla aşağıdaki gibi yönetilebilen normal bir systemd hizmetidir:
sudo systemctl firewalld'yi başlat (hizmeti başlatmanıza izin verir) sudo systemctl firewalld'yi etkinleştirir (sistem başlatma sırasında hizmeti etkinleştirir) sudo systemctl status firewalld (hizmetin durumunu görmenizi sağlar)
BÜYÜT
Aşama 3
firewalld servisini başlattıktan sonra daemon'un Linux'ta çalışıp çalışmadığını doğrulayabiliriz, bunun için firewall-cmd aracını kullanmalıyız, aşağıdakileri çalıştırıyoruz:
sudo güvenlik duvarı-cmd -durumu
BÜYÜT
2. Firewalld CentOS ve Ubuntu'da bölgeler nasıl yönetilir
Aşama 1
Mevcut tüm güvenlik duvarı servislerinin ve bölgelerinin bir listesini almak için aşağıdaki komutları çalıştırmalıyız:
Bölgeleri görmek için:
sudo güvenlik duvarı-cmd --get bölgeleri
BÜYÜT
Adım 2
Yürüteceğimiz hizmetleri görmek için:
sudo güvenlik duvarı-cmd --get-hizmetleri
BÜYÜT
Aşama 3
Varsayılan bölge, başka bir bölgeye bağlı olmayan her bir güvenlik duvarı özelliği için uygulanan bölgedir, aşağıdakileri yürüterek ağ bağlantıları ve arabirimler için varsayılan bölge kümesini elde etmek mümkündür:
sudo firewall-cmd --get-default-zone
BÜYÜT
4. Adım
Başka bir varsayılan bölge oluşturmak istiyorsak aşağıdaki komutu kullanmalıyız, --permanent seçeneğini eklersek konfigürasyon kalıcı olarak kurulur, aşağıdaki seçeneklerden herhangi birini uygulayabiliriz:
sudo firewall-cmd --set-default-zone = hariciveya
sudo firewall-cmd --set-default-zone = harici -kalıcı4. Adım
Ardından değişiklikleri yürüterek uygularız:
sudo güvenlik duvarı-cmd -yeniden yükle
BÜYÜT
Adım 5
Örneğin amaç bir bölgeye bir arayüz eklemekse, aşağıdakileri uygulayabiliriz:
sudo firewall-cmd --zone = ana sayfa --add-interface = enp0s3Bu durumda ana bölgeye enp0s3 (LAN) arayüzünü ekledik.
BÜYÜT
6. Adım
Unutulmamalıdır ki bir arabirim sadece tek bir bölgeye eklenebilir, bunun yerine başka bir bölgeye taşınabilir, bunun için --change-interface anahtarını kullanacağız veya -remove-interface anahtarıyla önceki bölgeden çıkaracağız. ve ardından yeni bölgeye ekleyin, örneğin:
sudo firewall-cmd --zone = public --add-interface = enp0s3 sudo firewall-cmd --zone = public --change-interface = enp0s3Firewalld ile aynı anda birçok bölge kullanmak mümkündür, eğer arayüzler, hizmetler, portlar, protokoller gibi fonksiyonların etkinleştirildiği tüm aktif bölgelerin bir listesini almak istiyorsak, aşağıdakileri uygularız:
sudo firewall-cmd --get-active-zones
BÜYÜT
7. Adım
Neyin etkinleştirildiği veya ortadan kaldırıldığı gibi bölgeler hakkında daha fazla bilgi edinmek için şu komutlardan birini kullanabiliriz:
sudo firewall-cmd --zone = home --list-allVEYA
sudo firewall-cmd --info-zone public
BÜYÜT
8. Adım
Firewalld ile kullanmak için başka bir kullanışlı seçenek --get-target, bu kalıcı bir bölgenin hedefini gösterir, hedefler varsayılan olabilir, KABUL, DROP, REJECT, birkaç bölgenin hedefini kontrol etmek için aşağıdaki komutlardan birini kullanabiliriz :
sudo firewall-cmd --kalıcı --zone = genel --get-target sudo firewall-cmd --kalıcı --zone = blok --get-target sudo firewall-cmd --permanent --zone = dmz --get- hedef sudo firewall-cmd --kalıcı --zone = harici --get-target sudo firewall-cmd --permanent --zone = drop --get-target
3. Firewalld Linux CentOS ve Ubuntu'da bağlantı noktaları nasıl engellenir veya açılır
Güvenlik duvarı üzerinden bir bağlantı noktası açmak için, --add-port seçeneğiyle bölgeye eklemeniz yeterlidir, bölge açıkça belirtilmemişse varsayılan bölgede etkinleştirilecektir.
Aşama 1
Örneğin, HTTP ve HTTPS protokolleri aracılığıyla gelen web trafiğine izin veren 80 ve 443 numaralı bağlantı noktalarını eklemek için aşağıdakileri uygulayacağız:
sudo güvenlik duvarı-cmd --zone = genel --kalıcı --add-port = 80 / tcp --add-port = 443 / tcp
BÜYÜT
Adım 2
Şimdi güvenlik duvarını yeniden yükleyeceğiz ve genel alanda etkinleştirilen işlevleri doğrulayacağız:
sudo firewall-cmd -- yeniden yükle sudo firewall-cmd --info-zone public
BÜYÜT
Aşama 3
Firewalld'de bir portu engellemek istiyorsak, --remove-port seçeneğini kullanmalıyız, bu örnekte şöyle:
sudo güvenlik duvarı-cmd --zone = genel --kalıcı --remove-port = 80 / tcp --remove-port = 443 / tcp
4. Firewalld CentOS ve Ubuntu'da hizmetler nasıl engellenir veya açılır
Firewalld'da bir hizmeti etkinleştirme işlemi için --add-service seçeneğini kullanarak etkinleştirmeliyiz, bölgeyi atlarsak varsayılan bölgenin kullanılacağını unutmayın.
Aşama 1
Örneğin, genel bir bölgede http hizmetini etkinleştirmek için şunu yürütürüz:
sudo firewall-cmd --zone = public --permanent --add-service = http sudo firewall-cmd -reload
BÜYÜT
Adım 2
-remove-service parametresi ile servisi atanmış bölgeden kaldırabiliriz:
sudo firewall-cmd --zone = public --permanent --remove-service = http sudo firewall-cmd -reload
BÜYÜT
5. Firewalld Linux aracılığıyla IP maskeleme nasıl etkinleştirilir ve devre dışı bırakılır
IP maskeleme veya IPMASQ / MASQ), özel IP adreslerine sahip bir ağdaki ana bilgisayarların, IPMASQ ağ geçidini kullanarak Linux sunucusuna atanan genel IP adresi aracılığıyla İnternet ile iletişim kurmasına izin veren bir NAT mekanizmasıdır.
Bu maskeleme ile görünmez ana bilgisayarlardan gelen trafik, doğrudan Linux sunucusundan geliyormuş gibi İnternet'teki diğer bilgisayarlarda görünecektir.
Maskelemenin etkin olup olmadığını kontrol etmek için şunu yürütürüz:
sudo firewall-cmd --zone = public --query-masqueradeSonra şöyle bir bölge ekleyebiliriz:
sudo firewall-cmd --zone = public --add-masqueradeBu tür bir işlevden bir bölgeyi çıkarmak için aşağıdakileri uygulamamız gerekir:
sudo firewall-cmd --zone = public --remove-masquerade
6. Firewalld Linux'ta IMCP mesajı nasıl etkinleştirilir ve devre dışı bırakılır
ICMP protokolü (İnternet Kontrol Mesaj Protokolü), ağdaki iletişim süreci boyunca veya hata koşullarında bilgi talepleri veya bu taleplere yanıt üretmek için geliştirilmiş bir protokoldür.
Aşama 1
Firewalld'da ICMP mesajlarını etkinleştirmek veya devre dışı bırakmak mümkündür, ancak tüm uyumlu ICMP türlerini doğrulamanız önerilir, bunun için şunu uygularız:
sudo güvenlik duvarı-cmd --get-icmptypes
BÜYÜT
Adım 2
Bir ICMP'yi aşağıdaki gibi ekleyebilir veya engelleyebiliriz:
sudo firewall-cmd --zone = home --add-icmp-block = echo-cevap sudo firewall-cmd --zone = home --remove-icmp-block = echo-cevap
BÜYÜT
Aşama 3
--list-icmp-blocks anahtarını kullanarak bir bölgeye eklenen tüm ICMP türlerini görebiliriz:
sudo firewall-cmd --zone = home --list-icmp-blocks
7. Firewalld Linux CentOS ve Ubuntu'da panik modu nasıl etkinleştirilir veya etkinleştirilmez
Panik modu, Firewalld'a entegre edilmiş, gelen ve giden tüm paketlerin elimine edildiği, aktif bağlantıların aktif hale getirildiği anda sona ereceği özel bir moddur, bu modu sisteme bir tehdit olan acil durumlarda devreye alabiliriz ve bu sayede önleyeceğiz. herhangi bir bağlantı.
Aşama 1
Panik modunu kontrol etmek için --query-panic seçeneğini kullanacağız ve bunu sudo firewall-cmd --panic-on seçeneği ile etkinleştirebiliriz:
BÜYÜT
Adım 2
Bu modun nasıl çalıştığını anlamak için, devre dışı bırakıldığında bir web sitesine ping atabiliriz ve gönderilen tüm istekleri alırız, ancak etkinleştirildiğinde geçici bir bağlantı hatası belirten bir mesaj görürüz:
BÜYÜT
Aşama 3
Bu modu devre dışı bırakmak için şunu yürütürüz:
sudo güvenlik duvarı-cmd --panik-off
8. Linux CentOS ve Ubuntu'da Firewalld nasıl engellenir
Aşama 1
Firewalld'da, yerel uygulamalar veya hizmetler, kök ayrıcalıklarıyla çalışıyorlarsa güvenlik duvarı yapılandırmasını değiştirebilirler, hangi uygulamaların güvenlik duvarında değişiklik talep edebileceğini, engelleme beyaz listesine ekleyerek kontrol edebiliriz. Bu işlev varsayılan olarak devre dışıdır ve --lockdown-on veya -lockdown-off anahtarıyla etkinleştirebilir veya devre dışı bırakabiliriz:
sudo güvenlik duvarı-cmd --lockdown-onVEYA
sudo güvenlik duvarı-cmd --lockdown-offAdım 2
Daha güvenli bir yöntem, bu işlevi doğrudan ana yapılandırma dosyasının sürümünde etkinleştirmek veya devre dışı bırakmaktır, çünkü bazen güvenlik duvarı-cmd engelleme beyaz listesinde bulunmaz, bunun için yapılandırma dosyasına erişiriz:
sudo nano /etc/firewalld/firewalld.conf
BÜYÜT
Burada Lockdown = no satırını buluyoruz ve durumunu Lockdown = yes olarak ayarlıyoruz, değişiklikleri Ctrl + O tuşlarını kullanarak kaydedin ve Ctrl + X tuşlarını kullanarak editörden çıkın.
Firewalld, Linux dağıtımlarımıza çeşitli kurallar ve bölgeler eklemek ve böylece sisteme daha iyi genel güvenlik seçenekleri eklemek için eksiksiz bir çözümdür.