Allgemeine Befehle für die CentOS 7/8 Firewall FirewallD (01.19.22)

Auf dem Linux-Betriebssystem wie CentOS 7 und CentOS Linux ist FirewallD ein standardmäßiges Firewall-Verwaltungstool. Es fungiert als Front-End des Netfilter-Frameworks des Linux-Kernels über den Befehl iptables und bietet Firewall-Funktionalität als Alternative zum Tabellendienst. Der Name FirewallD folgt der Unix-Konvention des Benennungssystem-Daemons, indem der in Python geschriebene Buchstabe „d“ angehängt wird.

Seit CentOS 7/8 wird das Startskript für den iptables-Dienst ignoriert. Und muss Firewalld anstelle des iptables-Dienstes verwendet werden. In ähnlicher Weise wird in RHEL 7/8 standardmäßig Firewalld verwendet, um das Netfilter-Subsystem zu verwalten, aber der zugrunde liegende Befehl lautet immer noch iptables.

Firewalld ist ein Front-End-Controller für iptables, der ein persistentes Netzwerk implementiert Verkehrsregeln. Es bietet eine Befehlszeile und eine grafische Oberfläche.

Vergleich von Firewalld und iptables:

1. Firewalld kann eine einzelne Regel dynamisch ändern oder den Regelsatz verwalten, sodass Aktualisierungen der Regeln möglich sind, ohne bestehende Sitzungen und Verbindungen zu unterbrechen. In iptables hingegen muss es nach dem Ändern der Regeln vollständig aktualisiert werden, damit es wirksam wird.

2. Firewall verwendet Regionen und Dienste anstelle von verketteten Regeln.

3. Firewalld-Standard wird abgelehnt, Sie müssen ihn später auf Freigabe setzen. Und iptables ist standardmäßig erlaubt, und Sie müssen es ablehnen, um es einzuschränken.

4. Firewalld selbst hat nicht die Funktion einer Firewall, sondern muss wie iptables durch den Netfilter des Kernels implementiert werden. Das heißt, Firewalld ist dasselbe wie iptables, ihre Rolle besteht darin, die Regeln zu verwalten, und die eigentliche Verwendung der Regeln ist der Netfilter des Kernels. Nur die Ergebnisse von Firewalld und iptables und die Art der Verwendung sindanders!

Firewalld ist ein Wrapper für iptables, der die Verwaltung von iptables-Regeln erleichtert. Es ist kein Ersatz für iptables, obwohl der Befehl iptables weiterhin für Firewalld verwendet werden kann, wird empfohlen, nur den Befehl Firewalld für Firewalld zu verwenden.

So installieren Sie FirewallD unter Linux

Wenn Ihr CentOS hat keine Firewall, dann können Sie es mit den folgenden Befehlen installieren und dann aktivieren + dasselbe starten.

sudo yum install firewalld sudo systemctl enable firewalld sudo firewall-cmd --state

Einige grundlegende FirewallD-Befehle:

Alle Befehle benötigen Root- oder Sudo-Rechte user.

systemctl start firewalld        # to start the FirewallD service on the system
systemctl restart firewalld      # For restarting the service
systemctl enable firewalld       #to enable it at boot level, thus it automatically start when a system booted up.
systemctl stop firewalld         # Stop the service
systemctl disable firewalld      #disable the firewall
firewall-cmd --state             #View the running status
firewall-cmd --zone=public --list-ports    #View open port

Befehle zum Öffnen des täglichen Ports der Website auf CentOS Linux

Hier sind Befehle, mit denen man einige gängige Ports auf dem CentOS Linux-Server öffnen kann

firewall-cmd --zone=public --add-port=22/tcp --permanent
firewall-cmd --zone=public --add-port=80/tcp --permanent
firewall-cmd --zone=public --add-port=443/tcp --permanent
firewall-cmd --zone=public --add-port=3306/tcp --permanent

Auf die gleiche Weise können wir jeden Port öffnen, nur was Sie tun müssen, ersetzen Sie die Portnummer im obigen Befehl durch diejenige, die Sie öffnen möchten.

Öffnen Sie UDP port

Genau wie bei TCP-Ports können wir den UDP-Port mit dem folgenden Befehl für den öffentlichen Zugriff öffnen:

firewall-cmd –zone=public –add-port=443/udp –permanent

Befehlsbedeutung:

--add-port=80/tcp #Add port, this is used to specify which port/communication protocol has to open --permanent        #Permanently effective, no failure after restarting this parameter --zone            #Used to specific networking environments public, private or local

Lass uns ein bisschen reden etwas weiter über der Netzwerkumgebung:

Durch die Aufteilung des Netzwerks in verschiedene Bereiche wird eine Zugangskontrollstrategie zwischen verschiedenen Bereichen entwickelt, um den Datenfluss zwischen verschiedenen Programmbereichen zu kontrollieren.

Zum Beispiel ist das Internet ein nicht vertrauenswürdiger Bereich, während das interne Netzwerk ein hochgradig vertrauenswürdiger Bereich ist.

Das Netzwerksicherheitsmodell kann während der Installation, dem ersten Start und der Netzwerkverbindung für das erste Mal. Das Modell beschreibt das Vertrauensniveau des gesamtenNetzwerkumgebung, mit der der Host verbunden ist, und definiert, wie neue Verbindungen gehandhabt werden.

Initialisierungsbereich:

blockieren: Alle eingehenden Netzwerkpakete werden blockiert werden;

Arbeit: Glauben Sie, dass andere Computer im Netzwerk Ihrem Computer keinen Schaden zufügen werden;

Zuhause: Sagen Sie, dass andere Computer im Netzwerk wird Ihrem Computer keinen Schaden zufügen;

Öffentlicher Bereich (öffentlich): Vertrauen Sie keinem Computer im Netzwerk, sondern akzeptieren Sie nur eingehende Netzwerkverbindungen.

Isolierter Bereich (DMZ): Auch als entmilitarisiertes Gebiet bekannt, dient eine Schicht des Netzwerks zwischen dem internen und dem externen Netzwerk als Puffer. Wählen Sie für isolierte Bereiche nur eingehende Netzwerkverbindungen aus.

Vertrauenswürdige Zone (trusted): Alle Netzwerkverbindungen sind akzeptabel.

drop: Alle eingehenden Netzwerkverbindungen werden abgelehnt.

intern: Vertrauen Sie anderen Computern im Netzwerk, ohne Ihren Computer zu beschädigen. Wählen Sie nur eingehende Netzwerkverbindungen aus.

extern: Vertrauen Sie anderen Computern im Netzwerk nicht und würden Sie Ihren Computer beschädigen. Wählen Sie nur eingehende Netzwerkverbindungen aus.

Der Standardbereich von Firewall ist öffentlich.

Firewall-Konfigurationsmethode


Es gibt drei Hauptkonfigurationsmethoden für Firewalld: Firewall-Config (Grafiktool), Firewall-cmd (Befehlszeilentool) und direkte Bearbeitung von XML-Dateien.

Um ein grafisches Tool zur Verwaltung der Firewall zu installieren, verwenden Sie hier den Befehl:

yum  install  firewalld  firewall-config

Firewall wird mit XML konfiguriert. Sofern Sie keine sehr spezielle Konfiguration haben, müssen Sie sich nicht damit auseinandersetzen. Sie sollten Firewalld-cmd verwenden.

Konfigurationfile:

/usr/lib/firewalld #Speichern Sie die Standardkonfiguration, um Änderungen zu vermeiden.

/etc/firewalld # Speichern Sie die Systemkonfigurationsdatei, Sie überschreiben die Standardkonfiguration.

/usr/lib/firewalld/zone/ -Firewalld stellt standardmäßig neun Zonenkonfigurationsdateien bereit: block.xml, dmz. xml, drop.xml, external.xml, home.xml, internal.xml, public.xml, trusted.xml, work.xml

Wenige andere Befehle, um diese Linux-Firewall zu umgehen.

firewall-cmd –help  #Alle verfügbaren Firewall-Befehle anzeigen

firewall-cmd –version

Firewall-cmd –state

firewall-cmd –get-active-zones # Den von der Netzwerkschnittstelle verwendeten Bereich anzeigen.

firewall- cmd –zone=public –list-all #Alle Konfigurationen im angegebenen Bereich anzeigen.

firewall-cmd –list-all-zones #Alle Zonenkonfigurationen auflisten

Firewall-c md –get-default-zone #Standardbereich anzeigen

firewall-cmd –set-default-zone=internal #Standardzone festlegen

firewall-cmd –get-zone-of-interface=eth0 #Anzeigen des Bereichs, zu dem die angegebene Schnittstelle gehört.

firewall-cmd –zone=public –add-interface=eth0 #Schnittstellen zur Zone hinzufügen, die Standardschnittstellen sind alle öffentlich, dauerhaft gültig plus –permanent , dann neu laden

#Need to dauerhaft gültig sein, hinzufügen –permanent

firewall-cmd –panic-on|off                  #reject |alle Pakete öffnen

firewall-cmd –query-panic                #Anzeigen, obablehnen

firewall-cmd –reload                                    #Firewall-Regeln aktualisieren, ohne die Verbindung zu trennen

firewall-cmd –complete-reload       ähnlich dem Neustart der Updateregeln

firewall-cmd –zone=dmz –list-ports                #Alle offenen Ports anzeigen

firewall-cmd –zone=dmz – add-port=8080/tcp               #Port zur Zone hinzufügen

Firewall-cmd –get-services #Standard verfügbare Dienste anzeigen

Firewall-cmd –zone=zone –(add|remove)-service=http –permanent #HTTP-Dienst dauerhaft aktivieren oder deaktivieren

Firewall-cmd –zone=public –add-port =123456/tcp –permanent #TCP-Datenverkehr für Port 123456

Firewall-cmd –zone=public –add-forward-port=port=80:proto=tcp:toport=123456 . hinzufügen #Forgoing Traffic von Port 80 zu Port 123456

Verwendung mit dem Dienst

Firewalld verfügt über Standarddienste, die verwendet werden können, um Datenverkehr von a . zuzulassen eine bestimmte Webanwendung oder einen Netzwerkdienst. Alle Standarddienstdateien befinden sich unter /usr/lib/firewalld/services und die vom Benutzer erstellten Dienstdateien für die Firewall sind unter /etc/firewalld/services  verfügbar.


Von Gastautor: Amreno Namish

Weitere Artikel:


YTube Video: Allgemeine Befehle für die CentOS 7/8 Firewall FirewallD

01, 2022