Richten Sie FirewallD unter CentOS 7 ein

Wir zeigen Ihnen, wie Sie FirewallD unter CentOS 7 einrichten . FirewallD ist ein Firewall-Verwaltungstool, das standardmäßig auf CentOS 7-Servern verfügbar ist. Im Grunde ist es ein Wrapper um iptables und wird mit dem grafischen Konfigurationstool firewall-config und dem Befehlszeilentool firewall-cmd geliefert. Beim iptables-Dienst erfordert jede Änderung das Leeren der alten Regeln und das Auslesen der neuen Regeln aus der Datei „/etc/sysconfig/iptables“, während bei firewalld nur Unterschiede angewendet werden. Die Einrichtung und Konfiguration von FirewallD auf CentOS 7 sollte weniger als 10 Minuten dauern und ist ein ziemlich einfacher Vorgang.

1. FirewallD-Zonen

FirewallD verwendet Dienste und Zonen anstelle von iptables-Regeln und -Ketten. Standardmäßig sind die folgenden Zonen verfügbar:

• fallen – Alle eingehenden Netzwerkpakete ohne Antwort verwerfen, nur ausgehende Netzwerkverbindungen sind verfügbar.
• blockieren – Alle eingehenden Netzwerkpakete mit einer icmp-host-prohibited-Nachricht ablehnen, nur ausgehende Netzwerkverbindungen sind verfügbar.
• öffentlich – Nur ausgewählte eingehende Verbindungen werden akzeptiert, für die Verwendung in öffentlichen Bereichen
• extern Bei externen Netzwerken mit aktiviertem Masquerading werden nur ausgewählte eingehende Verbindungen akzeptiert.
• dmz – Demilitarisierte DMZ-Zone, öffentlich zugänglich mit eingeschränktem Zugriff auf das interne Netzwerk, nur ausgewählte eingehende Verbindungen werden akzeptiert.
• arbeiten – Für Computer in Ihrem Heimbereich werden nur ausgewählte eingehende Verbindungen akzeptiert.
• Zuhause – Für Computer in Ihrem Heimbereich werden nur ausgewählte eingehende Verbindungen akzeptiert.
• intern -Für Computer in Ihrem internen Netzwerk werden nur ausgewählte eingehende Verbindungen akzeptiert.
• vertrauenswürdig – Alle Netzwerkverbindungen werden akzeptiert.

Führen Sie Folgendes aus, um alle verfügbaren Zonen aufzulisten:

# firewall-cmd --get-zones
work drop internal external trusted home dmz public block

So listen Sie die Standardzone auf:

# firewall-cmd --get-default-zone
public

So ändern Sie die Standardzone:

# firewall-cmd --set-default-zone=dmz
# firewall-cmd --get-default-zone
dmz

2. FirewallD-Dienste

FirewallD-Dienste sind XML-Konfigurationsdateien mit Informationen zu einem Diensteintrag für Firewalld. UM alle verfügbaren Dienste aufzulisten, führen Sie Folgendes aus:

# firewall-cmd --get-services
amanda-client amanda-k5-client bacula bacula-client ceph ceph-mon dhcp dhcpv6 dhcpv6-client dns docker-registry dropbox-lansync freeipa-ldap freeipa-ldaps freeipa-replication ftp high-availability http https imap imaps ipp ipp-client ipsec iscsi-target kadmin kerberos kpasswd ldap ldaps libvirt libvirt-tls mdns mosh mountd ms-wbt mysql nfs ntp openvpn pmcd pmproxy pmwebapi pmwebapis pop3 pop3s postgresql privoxy proxy-dhcp ptp pulseaudio puppetmaster radius rpc-bind rsyncd samba samba-client sane smtp smtps snmp snmptrap squid ssh synergy syslog syslog-tls telnet tftp tftp-client tinc tor-socks transmission-client vdsm vnc-server wbem-https xmpp-bosh xmpp-client xmpp-local xmpp-server

xml-Konfigurationsdateien werden in /usr/lib/firewalld/services/ gespeichert und /etc/firewalld/services/ Verzeichnisse.

3. Konfigurieren Sie Ihre Firewall mit FirewallD

Als Beispiel sehen Sie hier, wie Sie Ihre RoseHosting VPS-Firewall mit FirewallD konfigurieren können, wenn Sie einen Webserver, SSH auf Port 7022 und einen Mailserver betreiben.

Zuerst setzen wir die Standardzone auf dmz.

# firewall-cmd --set-default-zone=dmz
# firewall-cmd --get-default-zone
dmz

Um permanente Dienstregeln für HTTP und HTTPS zur dmz-Zone hinzuzufügen, führen Sie Folgendes aus:

# firewall-cmd --zone=dmz --add-service=http --permanent
# firewall-cmd --zone=dmz --add-service=https --permanent

Öffnen Sie Port 25 (SMTP) und Port 465 (SMTPS):

firewall-cmd --zone=dmz --add-service=smtp --permanent
firewall-cmd --zone=dmz --add-service=smtps --permanent

Offene, IMAP-, IMAPS-, POP3- und POP3S-Ports:

firewall-cmd --zone=dmz --add-service=imap --permanent
firewall-cmd --zone=dmz --add-service=imaps --permanent
firewall-cmd --zone=dmz --add-service=pop3 --permanent
firewall-cmd --zone=dmz --add-service=pop3s --permanent

4. Öffnen Sie Port 7022

Da der SSH-Port auf 7022 geändert wurde, werden wir den SSH-Dienst (Port 22) entfernen und Port 7022 öffnen

firewall-cmd --remove-service=ssh --permanent 
firewall-cmd --add-port=7022/tcp --permanent 

5. Laden Sie die Firewall neu

Um die Änderungen zu implementieren, müssen wir die Firewall neu laden mit:

firewall-cmd --reload

6. Firewall-Regeln auflisten

Schließlich können Sie die Regeln auflisten mit:

# firewall-cmd --list-all
 dmz
 target: default
 icmp-block-inversion: no
 interfaces:
 sources:
 services: http https imap imaps pop3 pop3s smtp smtps
 ports: 7022/tcp
 protocols:
 masquerade: no
 forward-ports:
 sourceports:
 icmp-blocks:
 rich rules:

Natürlich müssen Sie FirewallD nicht unter CentOS 7 einrichten , wenn Sie einen unserer CentOS VPS-Hosting-Services nutzen, können Sie in diesem Fall einfach unsere erfahrenen Linux-Administratoren bitten, dies für Sie einzurichten. Sie sind rund um die Uhr erreichbar und kümmern sich umgehend um Ihr Anliegen.

PS . Wenn Ihnen dieser Beitrag gefallen hat, installieren Sie FirewallD auf CentOS 7 , teilen Sie es bitte mit Ihren Freunden in den sozialen Netzwerken über die Schaltflächen zum Teilen oder hinterlassen Sie einfach unten eine Antwort. Danke.