ກົດລະບຽບຂອງ FirewallD ທີ່ມີປະໂຫຍດໃນການຕັ້ງຄ່າແລະຈັດການ Firewall ໃນ Linux

Firewalld ສະ ໜອງ ວິທີການ ກຳ ນົດກົດລະບຽບຂອງ Firewall ແບບເຄື່ອນໄຫວໃນ Linux ເຊິ່ງສາມາດ ນຳ ໃຊ້ໄດ້ທັນທີ, ໂດຍບໍ່ ຈຳ ເປັນຕ້ອງມີ firewall ເລີ່ມ ໃໝ່ ແລະມັນສະ ໜັບ ສະ ໜູນ ແນວຄວາມຄິດ D-BUS ແລະເຂດທີ່ເຮັດໃຫ້ການຕັ້ງຄ່າງ່າຍ.

Firewalld ໄດ້ທົດແທນກົນໄກການຜະລິດໄຟຟ້າເກົ່າຂອງ Fedora (Fedora 18 ເປັນຕົ້ນໄປ), RHEL/CentOS 7 ແລະການແຈກຈ່າຍຫຼ້າສຸດອື່ນໆແມ່ນອີງໃສ່ກົນໄກ ໃໝ່ ນີ້. ໜຶ່ງ ໃນແຮງຈູງໃຈທີ່ໃຫຍ່ທີ່ສຸດຂອງການແນະ ນຳ ລະບົບ Firewall ໃໝ່ ແມ່ນວ່າ Firewall ເກົ່າຕ້ອງການການເລີ່ມຕົ້ນ ໃໝ່ ຫຼັງຈາກເຮັດການປ່ຽນແປງແຕ່ລະຄັ້ງ, ສະນັ້ນຈຶ່ງ ທຳ ລາຍການເຊື່ອມຕໍ່ທີ່ໃຊ້ງານທັງ ໝົດ. ດັ່ງທີ່ໄດ້ກ່າວມາຂ້າງເທິງ, ໄຟ ໄໝ້ ລ້າສຸດແມ່ນສະ ໜັບ ສະ ໜູນ ເຂດແບບເຄື່ອນໄຫວເຊິ່ງເປັນປະໂຫຍດໃນການ ກຳ ນົດເຂດແລະກົດລະບຽບທີ່ແຕກຕ່າງກັນ ສຳ ລັບຫ້ອງການຫຼືເຄືອຂ່າຍເຮືອນຂອງທ່ານຜ່ານສາຍ ຄຳ ສັ່ງຫຼືໃຊ້ວິທີ GUI.

ໃນເບື້ອງຕົ້ນ, ແນວຄວາມຄິດກ່ຽວກັບໄຟ ໄໝ້ ເບິ່ງຄືວ່າຍາກຫຼາຍໃນການ ກຳ ນົດ, ແຕ່ວ່າການບໍລິການແລະເຂດເຮັດໃຫ້ມັນງ່າຍຂື້ນໂດຍການຮັກສາໄວ້ທັງສອງຢ່າງດັ່ງທີ່ຂຽນໄວ້ໃນບົດຄວາມນີ້.

ໃນບົດຂຽນກ່ອນ ໜ້າ ນີ້ຂອງພວກເຮົາ, ບ່ອນທີ່ພວກເຮົາໄດ້ເຫັນວິທີການຫລິ້ນກັບ firewalld ແລະເຂດຂອງມັນ, ຕອນນີ້ຢູ່ນີ້, ໃນບົດຂຽນນີ້, ພວກເຮົາຈະເຫັນກົດລະບຽບ firewalld ທີ່ມີປະໂຫຍດບາງຢ່າງໃນການຕັ້ງຄ່າລະບົບ Linux ໃນປະຈຸບັນຂອງທ່ານໂດຍໃຊ້ວິທີການສາຍ ຄຳ ສັ່ງ.

<

  • ການຕັ້ງຄ່າ Firewalld ໃນ RHEL/CentOS 7

    • ຕົວຢ່າງທັງ ໝົດ ທີ່ກ່າວໃນບົດຄວາມນີ້ແມ່ນໄດ້ຖືກທົດລອງໃນການແຈກຢາຍ CentOS 7, ແລະຍັງເຮັດວຽກກ່ຽວກັບການແຈກຈ່າຍ RHEL ແລະ Fedora.

    ກ່ອນທີ່ຈະປະຕິບັດກົດລະບຽບ firewalld, ໃຫ້ແນ່ໃຈວ່າທໍາອິດກວດເບິ່ງວ່າບໍລິການ firewalld ເປີດໃຊ້ງານຫຼືບໍ່.

    # systemctl status firewalld

    ຮູບພາບຂ້າງເທິງນີ້ສະແດງໃຫ້ເຫັນວ່າ firewalld ແມ່ນມີການເຄື່ອນໄຫວແລະແລ່ນຢູ່. ດຽວນີ້ເຖິງເວລາແລ້ວທີ່ຈະກວດເບິ່ງທຸກໆເຂດທີ່ໃຊ້ວຽກແລະບໍລິການທີ່ໃຊ້ງານຢູ່.

    # firewall-cmd --get-active-zones
# firewall-cmd --get-services

    ຖ້າຫາກວ່າ incase, ທ່ານບໍ່ຄຸ້ນເຄີຍກັບເສັ້ນຄໍາສັ່ງ, ທ່ານຍັງສາມາດຈັດການ firewalld ຈາກ GUI, ສໍາລັບການນີ້ທ່ານຕ້ອງມີຊຸດ GUI ຕິດຕັ້ງຢູ່ໃນລະບົບ, ຖ້າບໍ່ຕິດຕັ້ງມັນໂດຍໃຊ້ຄໍາສັ່ງຕໍ່ໄປນີ້.

    # yum install firewalld firewall-config

    ດັ່ງທີ່ກ່າວມາຂ້າງເທິງ, ບົດຂຽນນີ້ແມ່ນຂຽນຂື້ນເປັນພິເສດ ສຳ ລັບຜູ້ທີ່ມັກສາຍ ຄຳ ສັ່ງແລະຕົວຢ່າງທັງ ໝົດ, ເຊິ່ງພວກເຮົາ ກຳ ລັງຈະ ນຳ ໃຊ້ແມ່ນອີງໃສ່ເສັ້ນ ຄຳ ສັ່ງເທົ່ານັ້ນ, ບໍ່ມີ GUI way..sorry … ..

    ກ່ອນທີ່ຈະກ້າວຕໍ່ໄປ, ທຳ ອິດໃຫ້ແນ່ໃຈວ່າທ່ານຈະ ກຳ ນົດເຂດສາທາລະນະໃດແດ່ທີ່ທ່ານ ກຳ ລັງຈະຕັ້ງຄ່າ Linux firewall ແລະລາຍຊື່ທຸກການບໍລິການທີ່ຢູ່, ທ່າເຮືອ, ກົດລະບຽບທີ່ອຸດົມສົມບູນ ສຳ ລັບເຂດສາທາລະນະໂດຍໃຊ້ ຄຳ ສັ່ງຕໍ່ໄປນີ້.

    # firewall-cmd --zone=public --list-all

    ໃນຮູບຂ້າງເທິງນີ້, ຍັງບໍ່ທັນມີການເພີ່ມກົດລະບຽບໃດໆທີ່ກະຕຸ້ນ, ເບິ່ງວິທີການເພີ່ມ, ກຳ ຈັດແລະປັບປຸງກົດລະບຽບໃນສ່ວນທີ່ຍັງເຫຼືອຂອງບົດຄວາມນີ້….

    1. ການເພີ່ມແລະ ກຳ ຈັດພອດໃນ Firewalld

    ເພື່ອເປີດທ່າເຮືອ ສຳ ລັບເຂດສາທາລະນະ, ໃຫ້ໃຊ້ ຄຳ ສັ່ງຕໍ່ໄປນີ້. ຕົວຢ່າງ, ຄຳ ສັ່ງຕໍ່ໄປນີ້ຈະເປີດທີ່ Port 80 ສຳ ລັບເຂດສາທາລະນະ.

    # firewall-cmd --permanent --zone=public --add-port=80/tcp

    ເຊັ່ນດຽວກັນນີ້, ເພື່ອເອົາພອດທີ່ເພີ່ມເຂົ້າມາ, ພຽງແຕ່ໃຊ້ຕົວເລືອກ 'overemove' ດ້ວຍ ຄຳ ສັ່ງ firewalld ດັ່ງຮູບຂ້າງລຸ່ມນີ້.

    # firewall-cmd --zone=public --remove-port=80/tcp

    ຫຼັງຈາກເພີ່ມຫລື ກຳ ຈັດທ່າເຮືອສະເພາະ, ໃຫ້ແນ່ໃຈວ່າໄດ້ຢືນຢັນວ່າທ່າເຮືອ ກຳ ລັງເພີ່ມຫລືຍ້າຍອອກໂດຍການໃຊ້ຕົວເລືອກ '-list-ports'.

    # firewall-cmd --zone=public --list-ports

    2. ການເພີ່ມແລະ ກຳ ຈັດການບໍລິການໃນ Firewalld

    ໂດຍຄ່າເລີ່ມຕົ້ນຂອງ firewalld ມາພ້ອມກັບການບໍລິການທີ່ໄດ້ ກຳ ນົດໄວ້ກ່ອນ, ຖ້າທ່ານຕ້ອງການເພີ່ມລາຍຊື່ຂອງການບໍລິການສະເພາະ, ທ່ານ ຈຳ ເປັນຕ້ອງສ້າງແຟ້ມ xml ໃໝ່ ທີ່ມີການບໍລິການທັງ ໝົດ ທີ່ລວມຢູ່ໃນແຟ້ມຫຼືອື່ນໆທ່ານກໍ່ສາມາດ ກຳ ນົດຫຼືເອົາແຕ່ລະບໍລິການດ້ວຍຕົນເອງໂດຍການເຮັດຕໍ່ໄປນີ້ ຄຳ ສັ່ງ.

    ຕົວຢ່າງ, ຄຳ ສັ່ງຕໍ່ໄປນີ້ຈະຊ່ວຍທ່ານໃນການເພີ່ມຫລື ກຳ ຈັດການບໍລິການສະເພາະ, ຄືກັບທີ່ພວກເຮົາໄດ້ເຮັດ ສຳ ລັບ FTP ຢູ່ທີ່ນີ້ໃນຕົວຢ່າງນີ້.

    # firewall-cmd --zone=public --add-service=ftp
# firewall-cmd --zone=public --remove-service=ftp
# firewall-cmd --zone=public --list-services

    3. ປິດຊຸດເຂົ້າ - ຂາອອກ (ແບບ Panic Mode)

    ຖ້າທ່ານຕ້ອງການສະກັດກັ້ນການເຊື່ອມຕໍ່ຂາເຂົ້າຫຼືຂາອອກ, ທ່ານ ຈຳ ເປັນຕ້ອງໃຊ້ ໂໝດ“ ທີ່ ໜ້າ ຢ້ານກົວ” ເພື່ອຂັດຂວາງການຮ້ອງຂໍດັ່ງກ່າວ. ຕົວຢ່າງ, ກົດລະບຽບຕໍ່ໄປນີ້ຈະລຸດລົງການເຊື່ອມຕໍ່ທີ່ຖືກສ້າງຕັ້ງຂື້ນໃນລະບົບ.

    # firewall-cmd --panic-on

    ຫຼັງຈາກເປີດໃຊ້ໂຫມດ panic, ພະຍາຍາມ ping ໂດເມນໃດໆ (ເວົ້າ google.com) ແລະກວດເບິ່ງວ່າຮູບແບບ panic ແມ່ນເປີດໃຊ້ຕົວເລືອກ '-query-panic' ທີ່ຢູ່ຂ້າງລຸ່ມນີ້.

    # ping google.com -c 1
# firewall-cmd --query-panic

    ທ່ານເຫັນໃນຮູບຂ້າງເທິງນີ້ບໍ, ຄຳ ຖາມທີ່ ໜ້າ ວິຕົກກັງວົນບອກວ່າ "google.com ເຈົ້າພາບທີ່ບໍ່ຮູ້ຈັກ". ດຽວນີ້ພະຍາຍາມປິດໃຊ້ ໂໝດ panic ແລະຫຼັງຈາກນັ້ນອີກເທື່ອ ໜຶ່ງ ping ແລະກວດເບິ່ງ.

    # firewall-cmd --query-panic
# firewall-cmd --panic-off
# ping google.com -c 1

    ດຽວນີ້ເວລານີ້ຈະມີການຮ້ອງຂໍ ping ຈາກ google.com ..