Almalinux

Comment configurer le ballon de feu dans les distributions basées sur RHEL

Comment configurer le ballon de feu dans les distributions basées sur RHEL

Filtre net Comme nous le savons tous, c'est un pare-feu à Linux. Pare-feu est un démon dynamique pour gérer les pare-feu avec la prise en charge des zones de réseau. Dans la version précédente, Rhel & Centos Nous utilisons les iptables comme démon pour le cadre de filtrage des paquets.

Dans les nouvelles versions de distributions basées sur RHEL telles que Feutre, Rocky Linux, Centos Stream, Almalinux, et ouverte - le iptables L'interface est remplacée par pare-feu.

[Vous pourriez également aimer: 10 pare-feu de sécurité open source utile pour les systèmes Linux]

Il est recommandé de commencer à utiliser Pare-feu au lieu de iptables Comme cela peut interrompre à l'avenir. Cependant, iptables sont toujours pris en charge et peuvent être installés avec la commande yum. Nous ne pouvons pas garder Pare-feu et iptables les deux dans le même système qui peuvent conduire à un conflit.

Dans iptables, Nous avions l'habitude de configurer comme SAISIR, SORTIR & Chaînes vers l'avant Mais ici dans Pare-feu, Le concept utilise Zones. Par défaut, il existe différentes zones disponibles dans pare-feu, qui sera discuté dans cet article.

Le zone de base qui sont comme zone publique et zone privée. Pour faire fonctionner les choses avec ces zones, nous devons ajouter l'interface avec la prise en charge de la zone spécifiée, puis nous pouvons ajouter les services à pare-feu.

Par défaut, il existe de nombreux services disponibles, l'une des meilleures fonctionnalités de pare-feu est, il est livré avec des services prédéfinis et nous pouvons prendre ces services à titre d'exemple pour ajouter nos services en les copiant simplement.

Pare-feu Fonctionne très bien avec Ipv4, Ipv6, et Bridges Ethernet aussi. Nous pouvons avoir une configuration d'exécution et permanente distincte dans le pare-feu.

Commençons sur la façon de travailler avec des zones et de créer nos propres services et une utilisation beaucoup plus excitante de pare-feu en linux.

Notre environnement de test

Système opérateur : Red Hat Enterprise Linux version 9.0 (charrue) Adresse IP : 192.168.0.159 Nom hôte : tecmint-rhel9
Système de test RHEL 9

Étape 1: Installation de tout le monde dans les systèmes basés sur RHEL

1. Pare-feu le package est installé par défaut dans Rhel, Feutre, Rocky Linux, Centos Stream, Almalinux, et ouverte. Sinon, vous pouvez l'installer en utilisant la commande yum suivante.

# yum install Firewalld -y
Installez Firewalld sur Linux

2. Après le pare-feu un package a été installé, il est temps de vérifier si le iptables Le service est en cours d'exécution ou non, si vous devez vous arrêter et masquer (ne pas utiliser) le iptables Service avec les commandes ci-dessous.

# SystemCTl Status iptables # systemctl stop iptables # systemctl masque iptables
Désactiver les iptables dans Linux

Étape 2: Comprendre les composants de tout le monde (zones et règles)

3. Avant de se diriger vers pare-feu Configuration, je voudrais discuter de chaque zones. Par défaut, certaines zones sont disponibles. Nous devons attribuer l'interface à la zone. Une zone définit la zone qui a été fiable ou refusée à l'interface pour obtenir une connexion. Une zone peut contenir des services et des ports.

Ici, nous allons décrire chaque zones disponibles dans Pare-feu.

  • Zone de largage: Tous les paquets entrants sont supprimés si nous utilisons une zone de dépôt. C'est la même chose que nous utilisons pour ajouter iptables -j drop. Si nous utilisons la règle de dépôt, signifie qu'il n'y a pas de réponse, seules les connexions de réseau sortantes seront disponibles.
  • Zone de blocage: Block Zone niera que les connexions réseau entrantes sont rejetées avec un ICMP-Host-Prohibited. Seules les connexions établies dans le serveur seront autorisées.
  • Zone publique: Pour accepter les connexions sélectionnées, nous pouvons définir des règles dans la zone publique. Cela permettra uniquement au port spécifique d'ouvrir dans notre serveur, d'autres connexions seront supprimées.
  • Zone externe: Cette zone agira comme des options de routeur avec la mascarading est activée, d'autres connexions seront supprimées et n'accepteront pas, et seules les connexions spécifiées seront autorisées.
  • Zone DMZ: Si nous devons permettre l'accès à certains services au public, vous pouvez le définir dans la zone DMZ. Cela a aussi la fonctionnalité de connexions entrantes sélectionnées.
  • Zone de travail: Dans cette zone, nous ne pouvons définir que les réseaux internes I.e. Le trafic de réseaux privés est autorisé.
  • Zone d'origine: Cette zone est spécialement utilisée dans les zones d'origine, nous pouvons utiliser cette zone pour faire confiance aux autres ordinateurs sur les réseaux pour ne pas nuire à votre ordinateur comme dans chaque zone. Cela autorise également uniquement les connexions entrantes sélectionnées.
  • Zone interne: Celui-ci est similaire à la zone de travail avec des connexions autorisées sélectionnées.
  • Zone de confiance: Si nous définissons la zone de confiance, tout le trafic est accepté.

Maintenant, vous avez une meilleure idée des zones, découvrons maintenant les zones disponibles et les zones par défaut, et énumérez toutes les zones en utilisant les commandes suivantes.

Liste des zones de pare-feu

# pare-feu-CMD --get-zones
Liste des zones de tout le monde disponibles

Liste de la zone par défaut de la liste de feux de feu

# Firewall-CMD --get-default-zone
Liste de la zone par défaut de la liste de feux de feu

Liste toutes les zones de tout le feu de feu

# pare-feu-cmd - list-all-zones
Liste des zones de pare-feu

Note: La sortie de la commande ci-dessus ne rentrera pas dans une seule page car cela énumérera toutes les zones comme Block, DMZ, Drop, Externe, Home, Internal, Public, Trust et Work. Si les zones ont des règles riches, des services ou des ports activés seront également répertoriés avec ces informations de zone respectives.

Étape 3: Définition de la zone de pare-feu par défaut

4. Si vous souhaitez définir la zone par défaut en tant qu'interne, externe, dépose, travail ou toute autre zone, vous pouvez utiliser la commande ci-dessous pour définir la zone par défaut. Ici, nous utilisons le «interne”Zone par défaut.

# pare-feu-cmd --set-default-zone = interne

5. Après avoir réglé la zone, vérifiez la zone par défaut à l'aide de la commande ci-dessous.

# Firewall-CMD --get-default-zone
Définir la zone de pare-feu par défaut

6. Ici, notre interface est ENP0S3, Si nous devons vérifier la zone dans laquelle l'interface est limitée, nous pouvons utiliser la commande ci-dessous.

# Firewall-CMD --get-zone-of-interface = ENP0S3
Vérifier l'interface réseau zone Firewalld Zone

7. Une autre caractéristique intéressante de Firewalld est 'ICMPTYPE'est l'un des types ICMP pris en charge par le pare-feu. Pour obtenir la liste des types ICMP pris en charge, nous pouvons utiliser la commande ci-dessous.

# parent-cmd --get-icmpTypes
Liste des types ICMP de Firewalld

Étape 4: Création de propres services dans Firewalld

8. Les services sont un ensemble de règles avec des ports et des options qui sont utilisées par Pare-feu. Les services activés seront chargés automatiquement lorsque le Pare-feu Le service est opérationnel.

Par défaut, de nombreux services sont disponibles, pour obtenir la liste de tous les services disponibles, utilisez la commande suivante.

# pare-feu-CMD --get-Services
Liste des services Firewalld

9. Pour obtenir la liste de tous les services disponibles par défaut, accédez au répertoire suivant, vous obtiendrez ici la liste des services.

# CD / USR / LIB / Firewalld / Services /
Liste des services de Firewalld par défaut

dix. Pour créer votre propre service, vous devez le définir à l'emplacement suivant. Par exemple, ici je souhaite ajouter un service pour Rtmp port 1935, Faites d'abord une copie de l'un des services.

# CD / etc / Firewalld / Services / # CP / USR / LIB / Firewalld / Services / SSH.xml / etc / Firewalld / Services /

Et puis, accédez à l'emplacement où notre fichier de service a été copié, renommez ensuite le fichier 'ssh.xml' pour 'rtmp.xml'Comme indiqué dans l'image ci-dessous.

# CD / etc / Firewalld / Services / # MV SSH.XML RTMP.xml # ls -l rtmp.xml
Créer des services dans Firewalld

11. Ouvrez et modifiez le fichier comme Titre, Description, Protocole, et Port numéro, que nous devons utiliser pour le Rtmp Service comme indiqué dans l'image ci-dessous.

Configurer le service Firewalld

12. Pour faire activer ces modifications, redémarrez le service de pare-feu ou rechargez les paramètres.

# pare-feu-CMD - Reload

13. Pour confirmer, si un service est ajouté ou non, exécutez la commande ci-dessous pour obtenir une liste de services disponibles.

# pare-feu-CMD --get-Services
Confirmer le service ajouté dans le pare-feu

Étape 5: attribuer des services aux zones de tout le feu de feu

14. Ici, nous allons voir comment gérer le pare-feu à l'aide de la commande de pare-feu. Pour connaître l'état actuel du pare-feu et toutes les zones actives, saisissez la commande suivante.

# Firewall-CMD - State # Firewall-CMD --get-active-zones
Vérifiez le statut de Firewalld

15. Pour obtenir la zone publique pour l'interface ENP0S3, Il s'agit de l'interface par défaut, qui est définie dans / etc / Firewalld / Firewalld.confli déposer comme DefaultZone = public.

Pour répertorier tous les services disponibles dans cette zone d'interface par défaut.

# pare-feu-CMD --get-service
Liste des services Firewalld

Étape 6: Ajout de services aux zones de ballon de feu

16. Dans les exemples ci-dessus, nous avons vu comment créer nos propres services en créant le rtmp Service, nous verrons ici comment ajouter le rtmp Service à la zone également.

# pare-feu-CMD --Add-Service = RTMP

17. Pour supprimer la zone ajoutée, tapez.

# Firewall-Cmd --zone = public --Remove-Service = RTMP

L'étape ci-dessus était une période temporaire uniquement. Pour le rendre permanent, nous devons exécuter la commande ci-dessous avec l'option -permanent.

# Firewall-CMD --Add-Service = RTMP - Permanent # Firewall-CMD - Reload

18. Définissez des règles pour la plage de source de réseau et ouvrez l'un des ports. Par exemple, si vous souhaitez ouvrir une gamme de réseaux, dites '192.168.0.0/24'Et port'1935'Utilisez les commandes suivantes.

# pare-feu-CMD - Permanent --Add-Source = 192.168.0.0/24 # Firewall-CMD - PERMANENT --ADD-PORT = 1935 / TCP

Assurez-vous de recharger le service Firewalld après avoir ajouté ou supprimé des services ou des ports.

# Firewall-CMD - Reload # Firewall-Cmd - List-All
Ajouter des services à Firewalld

Étape 7: Ajout de règles riches en tout le monde pour la gamme de réseaux

19. Si je veux autoriser les services tels que HTTP, HTTPS, VNC-Server et PostgreSQL, j'utilise les règles suivantes. Tout d'abord, ajoutez la règle et rendez-la permanente et rechargez les règles et vérifiez l'état.

# Firewall-Cmd --Add-Rich-Rule 'Rule Family = "IPv4" Source Address = "192.168.0.0/24 "Service Name =" http "Accepter '# # Firewall-Cmd --Add-Rich-Rule' Rule Family =" IPv4 "Source Address =" 192.168.0.0/24 "Service Name =" http "Accepter '--permanent # Firewall-CMD --Add-Rich-Rule' Rule Family =" IPv4 "Source Address =" 192.168.0.0/24 "Service Name =" https "Accepter '# # Firewall-Cmd --Add-Rich-Rule' Rule Family =" IPv4 "Source Address =" 192.168.0.0/24 "Service Name =" https "accepter '--permanent # Firewall-CMD --Add-Rich-Rule' Rule Family =" IPv4 "Source Address =" 192.168.0.0/24 "Service Name =" VNC-Server "Accepter '# # Firewall-Cmd --Add-Rich-Rule' Rule Family =" IPv4 "Source Address =" 192.168.0.0/24 "Service Name =" VNC-Server "Accepter '--permanent # Firewall-CMD --Add-Rich-Rule' Rule Family =" IPv4 "Source Address =" 192.168.0.0/24 "Service Name =" PostgreSQL "Accepter '# # Firewall-Cmd --Add-Rich-Rule' Rule Family =" IPv4 "Source Address =" 192.168.0.0/24 "Service Name =" PostgreSQL "accepter '--permanent

Maintenant, la gamme de réseaux 192.168.0.0/24 peut utiliser le service ci-dessus de mon serveur. L'option -permanent Peut être utilisé dans toutes les règles, mais nous devons définir la règle et vérifier avec l'accès au client après cela, nous devons le rendre permanent.

20. Après avoir ajouté les règles ci-dessus, n'oubliez pas de recharger les règles du pare-feu et énumérez les règles en utilisant:

# Firewall-CMD - Reload # Firewall-Cmd - List-All
Liste toutes les règles actives de Firewalld

Pour en savoir plus sur Firewalld.

# homme pare-feu

Voilà, nous avons vu comment mettre en place un filtre net en utilisant Pare-feu dans des distributions basées sur Rhel telles que Feutre, Rocky Linux, Centos Stream, Almalinux, et ouverte.

Conclusion

Filtre net est le cadre d'un pare-feu pour chaque distribution Linux. De retour dans chaque Rhel et Centos édition, nous avons utilisé iptables Mais dans les versions plus récentes, ils ont introduit Pare-feu. Il est plus facile de comprendre et d'utiliser le pare-feu. J'espère que vous avez apprécié la rédaction.