affiliate programma Knowledgebase
Ferkeapje Data sintra Misbrûkbelied
header - burger
KontrôlepanielcontrolPanel
Tsjinner foar feedbackBestjoerSSLISPmanagerVPS WindowsVPS LinuxVPS foar VPN
Knowledgebase Ienfâldige ynstruksjes om te wurkjen mei de Profitserver-tsjinst
Foarnaamste Knowledgebase Firewall konfigurearje op Linux

Firewall konfigurearje op Linux

Firewall op Linux spilet in fitale rol by it befeiligjen fan in kompjûtersysteem. It fungearret as in barriêre, kontrolearret en filtert netwurkferkear om it systeem te beskermjen tsjin unautorisearre tagong, oanfallen en oare bedrigingen. Sûnder in goed ynstelde Firewall kin de tsjinner kwetsber wêze foar ferskate soarten cyberoanfallen, dy't liede ta serieuze gefolgen foar gegevensfeiligens en fertroulikens.

Yn dit artikel sille wy nei twa haadynstruminten sjen foar it konfigurearjen fan de Linux Firewall: firewalld en iptables. Wy sille in ferlykjende analyse útfiere fan har funksjes, funksjonaliteit en foardielen. Derneist sille wy detaillearre ynstruksjes leverje foar it ynstellen en brûken fan elk fan dizze ark, en ek beprate bêste praktiken foar it befeiligjen fan jo systeem mei in Firewall op it Linux-platfoarm. Alle aksjes wurde oantoand op in virtuele server mei root tagong.

Ynhâld ynhâld
Minimearje

Firewalld konfigurearje op Linux

Firewalld (Firewall Daemon) is in programma foar it behearen fan de firewall yn Linux bestjoeringssystemen. It biedt in brûkersynterface foar it konfigurearjen fan firewallregels, it tastean of blokkearjen fan ferbiningen fan netwurkapplikaasjes. It is standert ynstalleare yn de measte serverdistribúsjes. As Firewalld net foarôf ynstalleare is, kin it ûnôfhinklik wurde ynstalleare fan 'e offisjele repositories fan 'e distribúsje.

Foar Red Hat-systemen (lykas RHEL, CentOS, Fedora) wurdt de ynstallaasje útfierd mei it kommando:

yum install firewalld

Foar Debian/Ubuntu:

apt-get install firewalld

Nei ynstallaasje kin it direkt wurde begon en aktivearre mei it kommando:

systemctl start firewalld

Folgjende moatte jo de tsjinst tafoegje oan it opstarten:

systemctl enable firewalld
Firewalld tafoegje yn Linux autoload

Op dit punt riede wy oan om ufw út te skeakeljen, om't it simultane gebrûk fan dit ark mei firewalld of iptables net wurdt oanrikkemandearre. Kontrolearje de status:

systemctl status ufw
Kontrolearje ufw linux

Om it te stopjen, fier it kommando yn:

systemctl stop ufw

Foar folsleine deaktivearring:

ufw disable

Nei dizze aksjes kinne jo trochgean mei it konfigurearjen fan firewalld.

Earst is it nedich om fertrouwenssônes te definiearjen. Firewalld brûkt it konsept fan sônes om it nivo fan fertrouwen foar netwurkynterfaces te bepalen. Eltse ynterface wurdt tawiisd ien sône, en firewall regels wurde tapast basearre op de sône. De list fan alle beskikbere sônes wurdt iepene mei it kommando:

firewall-cmd --get-zones

Typysk wurde 4 haadsônes brûkt:

  1. Iepenbier: Dizze sône is foar netwurken dy't jo as ûnfeilich beskôgje;
  2. private: jildt foar thúsnetwurken of oare fertroude netwurkferbiningen;
  3. ynterne: Wurdt brûkt foar ynterne netwurken, lykas dy binnen in organisaasje of bedriuwsnetwurk;
  4. DMZ: Dizze sône is wêr't tsjinners normaal pleatst wurde dy't tagonklik wêze moatte fan it ynternet.

Dit is lykwols mar ien foarbyld. Jo kinne jo eigen sône tafoegje mei it kommando:

firewall-cmd --permanent --new-zone=nameyourzone

Nei it tafoegjen is in opnij laden nedich:

firewall-cmd --reload

Om in sône te wiskjen, wurdt in ferlykbere metoade brûkt

firewall-cmd --permanent --delete-zone=nameyourzone

Nei it definiearjen fan sônes is it nedich om ferkear ta te stean foar de nedige tsjinsten en havens. Om in bepaalde tsjinst ta te stean, brûk it kommando:

firewall-cmd --zone=public --add-service=name

Wêr namme is de namme fan 'e tsjinst. Bygelyks om ferkear foar Apache ta te stean:

firewall-cmd --zone=public --add-service=http

Om tastiene havens te definiearjen, brûk it kommando:

firewall-cmd --zone=public --add-port=number/protocol

Bygelyks, de standert 22-poarte foar SSH soe der sa útsjen:

firewall-cmd --zone=public --add-port=22/tcp

Op dit stadium binne de wichtichste regels al makke. Bepale dêrnei hoe't ferkear ferwurke wurdt ôfhinklik fan 'e boarne, bestimming, haven en oare kritearia. Om in regel ta te foegjen (mei de iepenbier sône as foarbyld):

firewall-cmd --zone=public rule

Bygelyks om ynkommende ferkear fan elke boarne nei poarte 80 (HTTP) te tastean:

firewall-cmd --zone=public --add-port=80/tcp --permanent

Om in regel te ferwiderjen:

firewall-cmd --permanent --remove-rule=rule_specification

Wêr regel is it type regel (bgl. haven, tsjinst, ryk-regel, ensfh.), en regel_spesifikaasje is de spesifikaasje fan 'e regel sels.

Nei it meitsjen fan wizigingen yn 'e Firewalld-konfiguraasje, is it nedich om se te bewarjen en ta te passen. Om wizigingen te bewarjen, brûk it kommando:

firewall-cmd --runtime-to-permanent

Om wizigingen oan te passen:

firewall-cmd --reload

Nei it foltôgjen fan de opset kinne jo de selektearre parameters ferifiearje troch de list mei alle regels te iepenjen:

firewall-cmd --list-all
firewalld Linux regels

As der problemen ûntsteane, kontrolearje dan de Firewalld-logs mei it kommando:

journalctl -u firewalld

Opmerking: wy hawwe allinich it algemiene algoritme behannele foar it ynstellen fan de ferbining. It ark hat wiidweidige funksjonaliteit. Foar folsleine ynformaasje oer alle beskikbere opsjes, kinne jo gebrûk meitsje fan de offisjele dokumintaasje of iepen help:

firewall-cmd --help

Konfigurearje iptables op Linux

Oars as Firewalld, is iptables in âlder, mar noch in soad brûkt ark yn Linux foar it behearen fan de firewall. It leveret in mear direkte en fleksibele oanpak foar regels foar pakketfiltering op it Linux-kernelnivo. Iptables fereasket lykwols mear avansearre kennis en ûnderfining yn ferliking mei Firewalld, wêrtroch it minder tagonklik is foar begjinners. Kontrolearje de foarôf ynstalleare ferzje fan it ark mei it kommando:

iptables -V

As it ark net ynstalleare is, sil it ynstalleare wurde moatte. It kommando foar ynstallaasje op Ubuntu, Debian:

apt install iptables

Foar Red Hat-systemen (bgl. CentOS, Fedora):

yum install iptables

It kommando foar aktivearring nei ynstallaasje:

systemctl start iptables

Om ta te foegjen oan opstart, útfiere:

systemctl enable iptables

Foardat jo de iptables-konfiguraasje begjinne, is it wichtich om te begripen hoe't it wurket. Dit wurdt holpen troch de syntaksis fan it programma. It sjocht der sa út:

iptables -t table action chain additional_parameters

Litte wy djipper yn elk item dûke.

Iptables hat fjouwer haadtabellen: filter, nat, mangle, en raw. Elk is ûntworpen foar it ferwurkjen fan bepaalde soarten pakketten en hat syn eigen keatlingen fan regels:

  1. filter: Dit is de meast brûkte tabel, mei pakketfilterregels. It wurdt brûkt om besluten te nimmen oer it talitten of wegerjen fan pakketten.
  2. nat: Dizze tabel wurdt brûkt foar it wizigjen fan netwurkadressen en havens yn pakketten. It wurdt faak brûkt foar it ynstellen fan masquerading (NAT).
  3. mingje: Yn dizze tabel kinne jo pakketkoppen wizigje. It wurdt brûkt foar spesjalisearre pakketoperaasjes, lykas markearring.
  4. rau: Dizze tabel wurdt brûkt foar it konfigurearjen fan regels dy't jilde foardat se geane troch de ferbining tracking systeem. It wurdt typysk brûkt foar it ynstellen fan regels dy't net moatte wurde wizige troch it folchsysteem, lykas it fallen fan pakketten fan bepaalde adressen.

Elke tafel befettet in set fan keatlingen. Keatlingen binne in sekwinsje fan regels dy't sequentially kontrolearre wurde. D'r binne trije foarôf definieare keatlingen:

  1. INPUT (ynkommen). De regels yn dizze keten bepale wat te dwaan mei ynkommende pakketten.
  2. OUTPUT (útgeande). Dizze ketting jildt foar alle pakketten dy't jo kompjûter stjoert nei oare apparaten of kompjûters op it netwurk.
  3. FORWARD (trochstjoere). De regels yn dizze keten spesifisearje wat te dwaan mei trochstjoerde pakketten.

Uteinlik hat elke ketting wat aksje (doel). Yn 'e praktyk wurde 5 haadaksjes brûkt:

  1. OANNIMME: Lit it pakket troch de brânmuorre gean.
  2. FALLE: Fersmite it pakket en smyt it sûnder antwurd.
  3. REJEKT: Fersmite it pakket en stjoer de stjoerder in ICMP flater berjocht.
  4. LOCHBOEK: Log it pakket yn it systeemlog en fier in oare aksje út (bgl. AKSEPT of DROP).
  5. WEROMKOMME: Stopje mei it kontrolearjen fan de regels yn 'e hjoeddeistige keten en gean werom nei de opropketen (as fan tapassing).

Om de opset te begjinnen, iepenje de list mei besteande regels mei it kommando:

iptables -L
Firewall konfigurearje op Linux

As hantlieding foar it konfigurearjen fan Iptables, litte wy sjen nei praktyske foarbylden fan 'e meast brûkte kommando's. Foar gemak sille wy de foarbylden ferdiele yn 3 groepen, ôfhinklik fan 'e spesifike keten.

Ketting YNFIER:

  1. Tastean ynkommende ferkear fia TCP-protokol op poarte 80:
iptables -A INPUT -p tcp --dport 80 -j ACCEPT

2. Tastean ynkommende ferkear fia UDP-protokol op poarte 22:

iptables -A INPUT -p udp --dport 22 -j ACCEPT

3. Blokkearje ynkommende ferkear fan in spesifyk IP-adres:

iptables -A INPUT -s 192.168.1.100 -j DROP

Ketting OUTPUT:

  1. Tastean útgeand ferkear fia TCP-protokol op poarte 443:
iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT

2. Tastean útgeand ferkear fia UDP-protokol op poarte 80:

iptables -A OUTPUT -p udp --dport 80 -j ACCEPT

3. Blokkearje útgeand ferkear nei in spesifike poarte (bygelyks 21):

iptables -A OUTPUT -p tcp --dport 21 -j DROP

Ketting FOARJOCHT:

  1. Blokkearje trochstjoerd ferkear fan in spesifyk berik fan IP-adressen:
iptables -A FORWARD -s 172.16.0.0/24 -j DROP

2. Blokkearje it trochstjoeren fan pakketten fan in spesifike netwurkynterface:

iptables -A FORWARD -i eth1 -j DROP

3. Beheine it oantal simultane ferbinings foar in spesifike haven (yn dit foarbyld, 10 ferbinings per minút op haven 80):

iptables -A INPUT -p tcp --dport 80 -m limit --limit 10/minute -j ACCEPT

Sa't jo sjen kinne, wurdt yn elk apart gefal in ekstra argumint (kommando) brûkt. Om in folsleine list te krijen mei mooglike arguminten en algemiene stipe foar de funksjonaliteit fan it ark, ynfiere:

iptables -h
iptables linux opset kommando list

Om te soargjen dat de ynstellingen korrekt binne, fier it kommando opnij yn om de list mei regels te besjen:

iptables -L
Kontrolearje iptables linux regels

Om in spesifike regel te wiskjen, brûk it kommando:

iptables -D chain rule_number

As jo ​​bygelyks regel nûmer 1 fan 'e INPUT-keatling wiskje wolle, sil it kommando der sa útsjen:

iptables -D INPUT 1

Om alle regels te wiskjen mei ien kommando:

iptables -F

Wichtige notysje: iptables-regels wurde net automatysk bewarre nei it herstarten fan it systeem of tsjinst. Om de regels op te slaan, moatte se tafoege wurde oan in konfiguraasjetriem en restaurearre nei it herstarten. De iptables-bewarje en iptables-restore nutsbedriuwen kinne hjirmei helpe. Om de regels te bewarjen, fier it kommando yn:

iptables-save > /etc/iptables/rules.v4

Dit bewarret de aktuele iptables-regels yn 'e regels.v4-bestân. Om te herstellen nei herstarten, ynfiere:

iptables-restore < /etc/iptables/rules.v4

Dit kommando herstelt de regels út de regels.v4 triem.

Konklúzje

Firewall konfigurearje op Linux mei firewalld of iptables is in wichtich aspekt fan it garandearjen fan serverfeiligens. Beide ark biede betroubere middels foar it behearen fan netwurkferkear en it beskermjen fan it systeem tsjin net foechhawwende tagong en cyberoanfallen. De kar tusken firewalld en iptables hinget ôf fan 'e spesifike behoeften en foarkarren fan' e brûker, sjoen har ferskillende funksjonaliteit en sterkte.

❮ Foarich artikel Linux-brûkers: behear en tagongsrjochten
Folgjend artikel ❯ Server Load Diagnostics

Freegje ús oer VPS

Wy binne altyd ree om jo fragen op elk momint fan 'e dei of nacht te beantwurdzjen.
ProfitServer
@profitserver
Doch mei oan it kanaal