У Linux есть брандмауэр
Linux Firewall
Запрос на порту 80 с локальной машины, таким образом, будет генерировать журнал в DMESG, который выглядит так (одна линия разделена на 3, чтобы соответствовать этому документу):
Безопасность – брандмауэр
Ядро Linux включает Netfilter Подсистема, которая используется для манипулирования или определения судьбы сетевого трафика, направленного на или через ваш сервер. Все современные решения брандмауэра Linux используют эту систему для фильтрации пакетов.
Система фильтрации пакетов ядра была бы мало для администраторов без интерфейса пользователя для управления им. Это цель iptables: когда пакет достигнет вашего сервера, он будет передан подсистеме NetFilter для принятия, манипулирования или отклонения на основе правил, предоставленных ему от пользователя через iptables. Таким образом, iptables – это все, что вам нужно для управления брандмауэром, если вы знакомы с ним, но многие фронтали доступны, чтобы упростить задачу.
UFW – несложный брандмауэр
Инструмент конфигурации брандмауэра по умолчанию для Ubuntu – UFW. Разработано для облегчения конфигурации брандмауэра Iptables, UFW предоставляет удобный способ создания брандмауэра на основе хоста IPv4 или IPv6.
UFW по умолчанию изначально отключен. На странице UFW Man:
«UFW не предназначен для обеспечения полной функциональности брандмауэра через его командный интерфейс, но вместо этого предоставляет простой способ добавления или удаления простых правил. .”
Ниже приведены некоторые примеры того, как использовать UFW:
- Во -первых, UFW должен быть включен. Из приглашения на терминал введите:
Sudo UFW включает
Sudo UFW разрешить 22
Sudo UFW вставка 1 разрешить 80
Sudo UFW отрицает 22
Sudo UFW DEDETE DINY 22
Sudo UFW разрешить Proto TCP с 192.168.0.2 к любому порту 22
sudo ufw-Dry-run разрешить http
*Фильтр: UFW-USER-Input-[0: 0]: UFW-USER-OTPUT-[0: 0]: UFW-USER-FORWARD-[0: 0]: UFW-USER-LIMIT-[0: 0]: UFW-USER-LIMIT-ACECTE-[0: 0]#[0: ## ## ###[.0.0.0/0 любое 0.0.0.0/0 -A UFW -USER -INPUT -P TCP -ДОРТ 80 -J ACCET ### END RUMENT ### -A UFW -USER -INPUT -J return -a ufw -user -upput -m return - -limit 3/miname - -log - -prefix "ufwim" это -J отклонить -a UFW -user -limit -accept -j принять правила коммита
Sudo UFW отключить
Sudo UFW статус
Статус Sudo UFW
Статус Sudo UFW пронумерован
Примечание
Если порт, который вы хотите открыть или закрыть, определяется в /etc /services, вы можете использовать имя порта вместо номера. В приведенных выше примерах замените 22 на SSH.
Это быстрое введение в использование UFW. Пожалуйста, обратитесь к странице UFW Man для получения дополнительной информации.
Интеграция приложения UFW
Приложения, которые открывают порты, могут включать в себя профиль UFW, в котором подробно описываются порты, необходимые для правильной работы приложения. Профили хранятся в/etc/ufw/приложениях.D и может быть отредактирован, если порты по умолчанию были изменены.
Список приложений Sudo UFW
sudo ufw разрешить самбу
UFW разрешить с 192.168.0.0/24 к любому приложению Samba
Заменить Samba и 192.168.0.0/24 с использованием профиля приложения и диапазоном IP для вашей сети.
Примечание Нет необходимости указывать протокол для приложения, потому что эта информация подробно описана в профиле. Также обратите внимание, что имя приложения заменяет номер порта.
Sudo UFW приложение Информация Samba
Не все приложения, которые требуют открытия сетевого порта с профилями UFW, но если вы профилировали приложение и хотите, чтобы файл был включен в пакет, подайте ошибку против пакета в Launchpad.
Ubuntu-Bug nameofpackage
IP маскируется
Цель IP-маскировки состоит в том, чтобы позволить машинам с частными, не маркировщими IP-адресами в вашей сети для доступа к Интернету через машину, занимаясь маскировкой. Трафик из вашей частной сети, предназначенной для Интернета, должен манипулировать для ответов, которые будут направлены обратно на машину, которая сделала запрос. Чтобы сделать это, ядро должно изменить исходный IP -адрес каждого пакета, чтобы ответы были направлены обратно на него, а не на личный IP -адрес, который сделал запрос, который невозможно в Интернете. Linux использует отслеживание подключения (Conntrack), чтобы отслеживать, какие подключения принадлежат к каким машинам и перенаправляют каждый возвратный пакет соответственно. Трафик, покидающий свою личную сеть, таким образом «маскируется» как возникший из вашей машины gateway ubuntu. Этот процесс упоминается в документации Microsoft как обмен подключением к Интернету.
UFW маскируется
IP Masquerading может быть достигнуто с помощью пользовательских правил UFW. Это возможно, потому что текущий бэк-энд для UFW является iptables-restore с файлами правил, расположенных в/etc/ufw/*.правила. Эти файлы являются отличным местом для добавления устаревших правил iptables, используемых без UFW, и правила, которые больше связаны с сетевым шлюзом или мостом, связанными с.
Правила разделены на два разных файла, правила, которые должны быть выполнены до правил командной строки UFW, и правила, которые выполняются
Linux Firewall
Запрос на порту 80 с локальной машины, таким образом, будет генерировать журнал в DMESG, который выглядит так (одна линия разделена на 3, чтобы соответствовать этому документу):
Безопасность – брандмауэр
Ядро Linux включает Netfilter Подсистема, которая используется для манипулирования или определения судьбы сетевого трафика, направленного на или через ваш сервер. Все современные решения брандмауэра Linux используют эту систему для фильтрации пакетов.
Ядро’S -система фильтрации пакетов не будет полезна для администраторов без интерфейса пользовательского пространства для управления им. Это цель iptables: когда пакет достигнет вашего сервера, он будет передан подсистеме NetFilter для принятия, манипулирования или отклонения на основе правил, предоставленных ему от пользователя через iptables. Таким образом, iptables – это все, что вам нужно для управления брандмауэром, если вы’Познакомитесь с ним, но многие фронтали доступны для упрощения задачи.
UFW – несложный брандмауэр
Инструмент конфигурации брандмауэра по умолчанию для Ubuntu – UFW. Разработано для облегчения конфигурации брандмауэра Iptables, UFW предоставляет удобный способ создания брандмауэра на основе хоста IPv4 или IPv6.
UFW по умолчанию изначально отключен. На странице UFW Man:
“UFW не предназначен для обеспечения полной функциональности брандмауэра через его командный интерфейс, но вместо этого предоставляет простой способ добавления или удаления простых правил. В настоящее время в основном используется для брандмауэров на базе хоста.”
Ниже приведены некоторые примеры того, как использовать UFW:
Во -первых, UFW должен быть включен. Из приглашения на терминал введите:
Sudo UFW включает
Sudo UFW разрешить 22
Sudo UFW вставка 1 разрешить 80
Sudo UFW отрицает 22
Sudo UFW DEDETE DINY 22
Sudo UFW разрешить Proto TCP с 192.168.0.2 к любому порту 22
sudo ufw-Dry-run разрешить http
*Фильтр: UFW-USER-Input-[0: 0]: UFW-USER-OTPUT-[0: 0]: UFW-USER-FORWARD-[0: 0]: UFW-USER-LIMIT-[0: 0]: UFW-USER-LIMIT-ACECTE-[0: 0]#[0: ## ## ###[.0.0.0/0 любое 0.0.0.0/0 -A UFW -USER -INPUT -P TCP -ДОРТ 80 -J ACCET ### END RUMENT ### -A UFW -USER -INPUT -J return -a ufw -user -upput -m return - -limit 3/miname - -log - -prefix "ufwim" это -J отклонить -a UFW -user -limit -accept -j принять правила коммита
Sudo UFW отключить
Sudo UFW статус
Статус Sudo UFW
Статус Sudo UFW пронумерован
Примечание
Если порт, который вы хотите открыть или закрыть, определяется в /etc /services, вы можете использовать имя порта вместо номера. В приведенных выше примерах замените 22 с SSH.
Это быстрое введение в использование UFW. Пожалуйста, обратитесь к странице UFW Man для получения дополнительной информации.
Интеграция приложения UFW
Приложения, которые открывают порты, могут включать профиль UFW, в котором подробно описываются порты, необходимые для правильной работы приложения. Профили хранятся в/etc/ufw/приложениях.D, и может быть отредактирован, если порты по умолчанию были изменены.
Чтобы просмотреть, какие приложения установили профиль, введите следующее в терминале:
Список приложений Sudo UFW
sudo ufw разрешить самбу
UFW разрешить с 192.168..0/24 к любому приложению Samba
Заменять Самба и 192.168.0.0/24 С помощью профиля приложения, который вы используете, и диапазоном IP для вашей сети.
Примечание Нет необходимости указывать протокол . Также обратите внимание, что приложение имя заменяет порт число.
Sudo UFW приложение Информация Samba
Не все приложения, которые требуют открытия сетевого порта с профилями UFW, но если вы профилировали приложение и хотите, чтобы файл был включен в пакет, подайте ошибку против пакета в Launchpad.
Ubuntu-Bug nameofpackage
IP маскируется
Цель IP-маскировки состоит в том, чтобы позволить машинам с частными, не маркировщими IP-адресами в вашей сети для доступа к Интернету через машину, занимаясь маскировкой. Трафик из вашей частной сети, предназначенной для Интернета, должен манипулировать для ответов, которые будут направлены обратно на машину, которая сделала запрос. Для этого ядро должно изменить источник IP -адрес каждого пакета, чтобы ответы были направлены обратно на него, а не на личный IP -адрес, который сделал запрос, который невозможно в Интернете. Linux использует Отслеживание соединений (Conntrack) Чтобы отслеживать, какие соединения принадлежат к каким машинам и перенаправляют каждый возвратный пакет. Трафик, покидающий частную сеть, таким образом “маскировано” как возник. Этот процесс упоминается в документации Microsoft как обмен подключением к Интернету.
UFW маскируется
IP Masquerading может быть достигнуто с помощью пользовательских правил UFW. Это возможно, потому что текущий бэк-энд для UFW является iptables-restore с файлами правил, расположенных в/etc/ufw/*.правила . Эти файлы являются отличным местом для добавления устаревших правил iptables, используемых без UFW, и правила, которые больше связаны с сетевым шлюзом или мостом, связанными с.
Правила разделены на два разных файла, правила, которые должны быть выполнены до правил командной строки UFW, и правила, которые выполняются после правил командной строки UFW.
Во -первых, перенаправление пакетов должно быть включено в UFW. Два файла конфигурации должны быть скорректированы, в/etc/default/ufw изменить Default_forward_policy к “ПРИНИМАТЬ”:
Default_forward_policy = "Принять"
Затем редактировать/и т. Д./UFW/SYSCTL.конфу и неудобство:
net/ipv4/ip_forward = 1
Точно так же, для переадресации IPv6:
net/ipv6/conf/default/forturning = 1
# правила таблицы NAT *Nat: Postrouting Accept [0: 0] # Перемесенный трафик от ETH1 до ETH0. -Postrouting -s 192.168.0.0/24 -o ETH0 -J MASQUERADE # Не удаляйте линию «Commit» или эти правила таблицы NAT не будут обработаны
Комментарии не являются строго необходимыми, но считается хорошей практикой документировать вашу конфигурацию. Кроме того, при изменении любого из правила Файлы в /etc /ufw, убедитесь, что эти строки являются последней строкой для каждой модифицированной таблицы:
# Не удаляйте линию «Commit», иначе эти правила не будут обработаны
Для каждого Стол соответствующий СОВЕРШИТЬ Заявление требуется. В этих примерах только НАТ и фильтр Таблицы показаны, но вы также можете добавить правила для сырой и Мангл столы.
Примечание В приведенном выше примере заменить ETH0, Eth1, и 192.168.0.0/24 с соответствующими интерфейсами и диапазоном IP для вашей сети.
sudo ufw отключить && sudo ufw inable
IP Masquerading теперь должен быть включен. Вы также можете добавить любые дополнительные правила вперед в/etc/ufw/перед.правила . Рекомендуется добавить эти дополнительные правила в Ufw-Bere-Forward цепь.
Iptables Masquerading
Iptables также можно использовать для включения маскировки.
Подобно UFW, первым шагом является включение переадресации пакетов IPv4 путем редактирования /etc /sysctl.конфу и неудобство Следующая строка:
сеть.IPv4.ip_forward = 1
Если вы хотите включить переадресацию IPv6 также не покинули:
сеть.IPv6.конфликт.по умолчанию.пересылка = 1
sudo sysctl -p
sudo iptables -t nat -a postrouting -s 192.168.0.0/16 -o PPP0 -J Маскарад
- -T Nat – правило состоит в том, чтобы перейти в таблицу NAT
- -Пестроирование-правило должно быть добавлено (-a) к цепочке Postrouting
- -S 192.168.0.0/16 – Правило применяется к трафику, исходящему из указанного адресного пространства
- -o PPP0 – Правило применяется к трафику, планируемому маршрутизации через указанное сетевое устройство
- -J Маскарад – трафик, соответствующий этому правилу “Прыгать” (-j) для маскарадной цели, которую нужно манипулировать, как описано выше
Sudo iptables -A Forward -s 192.168..0/16 -o ppp0 -j принять sudo iptables -a forward -d 192.168.0.0/16 -m State \ -state установлено, связано -i ppp0 -j Принятие
iptables -t nat -a postrouting -s 192.168.0.0/16 -o PPP0 -J Маскарад
Журналы
Журналы брандмауэра необходимы для распознавания атак, устранения неполадок в правилах брандмауэра и замечении необычной деятельности в вашей сети. Вы должны включить правила журнала в ваш брандмауэр, чтобы они были сгенерированы, хотя правила регистрации должны быть представлены до любого применимого правила завершения (правило с целью, которое решает судьбу пакета, такого как принятие, отбросить или отклонить).
Если вы используете UFW, вы можете включить журнал, введя следующее в терминале:
Sudo UFW
Чтобы выключить вторжение в UFW, просто замените на с выключенный в вышеупомянутой команде.
Если использовать iptables вместо UFW, введите:
sudo iptables -a input -m atemply -new -p new -p tcp - -dport 80 \ -j log -log -prefix "new_http_conn:"
Запрос на порту 80 с локальной машины, таким образом, будет генерировать журнал в DMESG, который выглядит так (одна линия разделена на 3, чтобы соответствовать этому документу):
[4304885.870000] new_http_conn: in = lo out = mac = 00: 00: 00: 00: 00: 00: 00: 00: 00: 00: 00: 00: 08: 00 src = 127.0.0.1 DST = 127.0.0.1 len = 60 tos = 0x00 prec = 0x00 ttl = 64 df proto = tcp spt = 53981 dpt = 80 окно = 32767 res = 0x00 syn urgp = 0
Приведенный выше журнал также будет отображаться в/var/log/messages,/var/log/syslog и/var/log/kern.бревно . Такое поведение может быть изменено путем редактирования /и т. Д. /СИСЛОГ.Conf соответственно или путем установки и настройки ULOGD и использования цели ULOG вместо журнала. Daemon Daemon – это сервер пользовательского пространства, который слушает инструкции для ведения журнала с ядра специально для брандмауэров и может войти в любой файл, который вам нравится, или даже в базу данных PostgreSQL или MySQL. Осмысление журналов брандмауэра может быть упрощено с помощью инструмента анализа журнала, такого как Logwatch, Fwanalog, Fwlogwatch или Lire.
Другие инструменты
Есть много инструментов, которые помогут вам построить полный брандмауэр без интимных знаний о iptables. Инструмент командной строки с файлами конфигурации простой текст:
- Shorewall – это очень мощное решение, которое поможет вам настроить расширенный брандмауэр для любой сети.
Рекомендации
- Страница брандмауэра Ubuntu Wiki содержит информацию о разработке UFW.
- Кроме того, страница Manual UFW содержит некоторую очень полезную информацию: Man UFW .
- См. Packet-Filtering-Howto для получения дополнительной информации об использовании iptables.
- Nat-Howto содержит более подробную информацию о маскараде.
- Iptables Howto в Ubuntu Wiki – отличный ресурс.
Linux Firewall
Часто неверно истолковано, что брандмауэр не нужен для Linux. Конечно, система Linux тщательно создана, чтобы обеспечить ее максимальную безопасность. Например, он имеет несколько уровней авторизации, предотвращая установку вредоносных программ и вредоносных кодов. По умолчанию система Linux не имеет открытых портов, означающих, что никакие внешние устройства или программы не могут иметь доступ к вашему устройству без открытия портов, в отличие от Windows. Кроме того, вирусы и недостатки, сделанные для Linux, чрезвычайно редки из -за того, что операционная система Linux является наименее популярной ОС. Это практически делает невыгодным для кибер -атакующих атаковать его.
Несмотря на это, все еще существуют основные лазейки, которые могут выставить вашу систему Linux. Кроме того, поскольку большинство пользователей Linux чувствуют себя уверенно, что им не нужна дополнительная защита, они более уязвимы, если будет запущена атака. Для этого имеет смысл убедиться, что вы получите авторитетный брандмауэр Linux, который даст вам необходимую защиту. Вот четыре причины, по которой вы должны рассмотреть возможность установки брандмауэра для вашего устройства Linux.
Зачем вам брандмауэр для вашей системы Linux?
я. Дополнительный слой защиты
Как уже говорилось, Linux сделан так, что Malwares и другие глюки для безопасности чрезвычайно трудно. По умолчанию, он имеет свой собственный внутренний брандмауэр, хотя и деактивирован. Прежде всего, перед установкой нового брандмауэра Linux вы должны убедиться, что его нативный брандмауэр уже активирован. Поскольку большинство пользователей Linux разбираются в технологиях, они могут легко манипулировать своими системами брандмауэра в соответствии с их потребностями в безопасности. Добавление дополнительного уровня защиты путем установки стороннего брандмауэра означает, что ваше устройство Linux будет иметь несколько уровней безопасности, что делает его еще сложнее для хакеров и Malwares.
II. Профилактика вредоносного ПО
Malwares for Linux чрезвычайно редки. Но когда они атакуют, ущерб – крайние величины. Лучше быть в безопасности, чем потом сожалеть. Хороший брандмауэр Linux тщательно изготовлен, чтобы отбиться от вредоносных программ и вирусов Linux и вирусов в систему. Используя набор правил, он идентифицирует вредоносные коды, передаваемые по вашей личной сети. Теперь, предоставленная, ваша система Linux не имеет открытых портов по умолчанию и имеет несколько уровней авторизации. Тем не менее, небольшая ошибка, такая как открытый порт и предоставление авторизации системы на вредоносный код, оставит вас уязвимым. Брандмауэр предотвращает получение такого вредоносного ПО в устройстве в первую очередь. Таким образом, независимо от открытых портов или авторизации, нет вредоносных программ, которые входят в систему.
iii. Защита от кибер -атак
Киберпреступники’ Основная повестка дня, получая либо важную информацию из системы, либо вымогательство денег от своих жертв. Пользователи Linux, как правило, либо технические люди, либо крупные организации. Для киберпреступников имеет смысл инвестировать значительные средства в свои атаки, так как прибыль будет одинаково большой, если они добьются успеха. Таким образом, это означает, что атаки, проводимые на системах Linux, вызывают экстремальные потери, когда успешно.
Хорошее программное обеспечение для брандмауэра Linux должно быть достаточно сильным, чтобы иметь возможность предотвратить такие атаки. Он тщательно изучает каждый пакет данных, получающих доступ к вашей системе и отталкивает вредоносные данные и предотвращает его передачу. Это особенно так, когда злоумышленник получил доступ к системе и пытается передавать по важным данным.
IV. Конфиденциальность
Каждый ценит конфиденциальность. У пользователей Linux есть преимущество в наличии безопасной операционной системы, которая наименее подвергается атакованию вредоносных программ и киберпреступников. Но это не значит, что они не могут войти, особенно если вы используете публичную сеть. В то время как такие атаки в значительной степени зависят от открытых портов в вашей системе Linux, когда они это произойдут, вы можете в конечном итоге разоблачить, и некоторые из ваших личных файлов могут попасть в общественное достояние. Хуже того, ваши онлайн -занятия можно отследить, и вы можете заглянуть на. Само собой разумеется, что наличие превосходного брандмауэра Linux должен быть вашим приоритетом номер один, если вы цените свою конфиденциальность. И ты не должен’это рискует на это.
Программное обеспечение брандмауэра Comodo для Linux
Comodo является одной из ведущих компаний по безопасности сети, существующих в течение нескольких десятилетий. Этот обширный опыт, в сочетании с нашей командой опытных ИТ-экспертов, позволил нам придумать одно из ведущих программного обеспечения для брандмауэра Linux, которое предлагает высокие функциональные возможности и удобство использования даже для менее технологичных людей. С лучшими наградами от AV-test 2019 и по доступной ставке 29 долларов США.99, вам гарантированная максимальная защита 24/7 со 100% вердиктом 100% времени.
Нужен ли Linux брандмауэр и как настроить брандмауэр Linux с помощью брандмауэра-CMD
Linux более безопасен, чем другие операционные системы. Но это не единственная причина, по которой вам может не понадобиться антивирус или брандмауэр при использовании Linux.
Linux не неуязвим. На самом деле, это один из самых распространенных мифов о кибербезопасности, который приводит к неприятностям пользователей Linux. Это убеждение позволяет легко охладить вашу охрану, и когда ваша охрана упадет, вы, скорее всего. Но то, что у Linux есть дыры в области безопасности, не означает, что вам нужно антивирус или программное обеспечение брандмауэра. Ваш выбор настроек безопасности будет подробно обсуждаться во время установки вашей системы Linux, но вы уже не помните их. В этой статье мы поговорим о настройке брандмауэра с помощью команды брандмауэра-CMD.
Что такое брандмауэр?
Брандмауэры являются ключевым аспектом сетевой безопасности, поэтому Sysadmin должен понимать, как они функционируют. Если вы понимаете брандмауэры, вы можете обеспечить безопасность своей сети, принимая обоснованные решения о том, какой трафик впустить и выходить. Брандмауэр – это просто фильтр, который определяет, какие сетевые пакеты могут входить на ваш компьютер из Интернета, а какой может оставить ваш компьютер в Интернет. В основном используется для разрешения и/или запрета входящих соединений. Исходящие соединения редко фильтруются. Проще говоря, это своего рода стена между вашим компьютером и внешним миром.
Нужен ли Linux брандмауэр?
Это почти всегда вопрос. 99% пользователей Linux считают, что Linux безопасен по умолчанию. По умолчанию почти все распределения Linux не имеют брандмауэра. Чтобы быть более точным, у них есть постоянный брандмауэр. Поскольку ядро Linux включает в себя встроенный брандмауэр, а теоретически все распределения Linux включают один, но он не настроен или активен. Но не волнуйтесь, даже без активного брандмауэра, ваш Linux все еще в безопасности. . Тем не менее, я призываю, чтобы вы включили брандмауэр. Предпочтительнее быть в безопасности, чем сожалеть. Далее обсудим, как настроить брандмауэр Linux с помощью брандмауэра-CMD.
Что такое iptables?
Iptables-это инструмент брандмауэра командной строки, который позволяет или блокирует трафик, используя цепочки политики. Когда соединение пытается установить себя в вашей системе, iptables ищет список правил для совпадения. Если он не может обнаружить, он возвращается к действию по умолчанию. iptables почти обычно входит в распределение Linux. Iptables имеет тенденцию использовать 3 разных цепочках: вход, вперед и вывод. При этом вы можете создавать различные наборы правил для разных машин в сети, почему бы не облегчить его, используя брандмауэр-CMD!
Что такое брандмауэр-CMD и FireMemAlld?
Fire Emdelawer-CMD-это интерфейс командной строки для Daemon FireMehalld, который связывается с платформой NetFilter ядра Linux. Этот стек вряд ли будет найден на встроенных модемах, обычно встречающихся на малых и средних предприятиях, но он присутствует или доступен для любого распределения Linux, которое поддерживает SystemD. FireMemalld – это динамически управляемый брандмауэр, который поддерживает зоны сети/брандмауэра, в которых указан уровень доверия для сетевых соединений или интерфейсов. Он поддерживает настройки брандмауэра IPv4 и IPv6, а также мосты Ethernet и наборы IP. Время выполнения и постоянные варианты конфигурации разделены. Он также предоставляет интерфейс, через какой услуги или программы могут легко добавить правила брандмауэра.
Настройка брандмауэра с помощью брандмауэра-CMD
В зависимости от вашего распределения Linux, вы можете иметь уже установленную команду брандмауэра-CMD. Без эксплуатационного брандмауэра, брандмауэр-CMD не имеет ничего, чтобы контролировать, поэтому первым шагом является проверка, что брандмалд работает:
$ sudo SystemCtl включить -сейчас брандмалд
Зоны используются в качестве пресетов в брандмаувере, предлагая вам разумные варианты выбора из. Это спасает вас от необходимости проектировать брандмауэр с нуля. Зоны назначены сетевым интерфейсам. Запустите команду ниже, чтобы проверить свои зоны:
Если бы я хотел создать новую зону, я бы использовал команду:
$ sudo firewall-cmd-new-Zone [Zonename]-Persanmentent
Кроме того, я могу использовать следующие команды, чтобы проверить, какие порты и службы разрешены:
Чтобы проверить, какие зоны активны, запустите команду:
$ sudo firewall-cmd-Get-Active-Zone
Чтобы добавить услугу и разрешить подключения для этой услуги, вы используете аргумент –ADD-Service, как показано ниже:
$ sudo firewall-cmd-add-service http-Permanentent
Приведенная выше команда позволяет службам HTTP работать в зоне по умолчанию. Если вы хотите указать зону, вы можете запустить:
$ sudo firewall-cmd-zone = public-add-service http-permanentent
Приведенная выше команда позволяет HTTP -трафик для зоны “публичный”. Чтобы удалить службу и заблокировать соединение, просто удалите его, как ниже:
$ sudo firewall-cmd-remove-service http-Persanment
$ sudo firewall-cmd-Reload
Каждый раз, когда вы вносите изменения в брандмауэр с помощью брандмауэра-CMD, обязательно перезагружайте все настройки, иначе изменение не вступит в силу. Чтобы проверить дополнительные аргументы, вы можете запустить командный брандмауэр-CMD-HELP.
Почему брандмалд и брандмауэр-cmd?
Вы можете сделать гораздо больше с брандмауэром-CMD, например, определить свои собственные услуги, блокировка ICMP и обозначение источников допустимого входящего трафика. Несмотря на то, что брандмауэр по-прежнему является превосходным и жизнеспособным решением для ежедневных пользователей и корпораций, которые требуют быстрой степени безопасности, хотя и не слишком предложено для обеспечения безопасности на уровне предприятия, он все еще является отличным и жизнеспособным решением как для ежедневных пользователей, так и для корпораций. Если вы новичок в Linux Security, брандмауэр-CMD-это замечательный способ начать работу с Ipchains и iptables. Брандмауэр-CMD позволяет быстро настроить базовый брандмауэр, если вы уже знаете Ipchains. Кроме того, среда выполнения легко модифицируется. Нет необходимости перезагрузить демон или сервис. Службы, программы и пользователей простым для изменений настройки брандмауэра благодаря интерфейсу Firewalld D-Bus. Это полезно для администраторов, поскольку позволяет провести тестирование и оценку времени выполнения из -за разделения времени выполнения и постоянной конфигурации.
Последние мысли
Единственный раз, когда вам понадобится брандмауэр, это если вы запускаете какое -то серверное приложение в вашей системе большую часть времени. В этом случае брандмауэр будет ограничивать входящие подключения к определенным портам, следя за тем, чтобы они могли взаимодействовать только с соответствующим приложением сервера. Опять же, нет никакого вреда в том, что у вас нет брандмауэра на вашей машине Linux. Все, что мы говорим, это то, что вы должны подумать о реализации брандмауэра с помощью брандмауэра-CMD для повышения безопасности!