लिनक्स एडमिन - फ़ायरवॉल सेटअप
फ़ायरवॉल CentOS पर iptables के लिए डिफ़ॉल्ट फ्रंट-एंड कंट्रोलर है। Firewalld सामने के अंत कच्चे iptables से अधिक दो मुख्य फायदे हैं -
ज़ोन एब्स्ट्रैक्टिंग चेन और नियमों को आसान-से-कॉन्फ़िगर और कार्यान्वित करने के लिए उपयोग करता है।
नियम गतिशील हैं, जिसका अर्थ है कि सेटिंग्स और / या संशोधित किए जाने पर स्टेटफुल कनेक्शन निर्बाध हैं।
याद रखें, फ़ायरवॉल आईपैड के लिए आवरण है - प्रतिस्थापन नहीं। जबकि कस्टम iptables कमांड का उपयोग फ़ायरवॉल के साथ किया जा सकता है, फ़ायरवॉल के उपयोग की अनुशंसा की जाती है ताकि फ़ायरवॉल की कार्यक्षमता न टूटे।
सबसे पहले, आइए सुनिश्चित करें कि फ़ायरवॉल दोनों शुरू और सक्षम है।
[root@CentOS rdc]# systemctl status firewalld
● firewalld.service - firewalld - dynamic firewall daemon
Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled; vendor preset: enabled)
Active: active (running) since Thu 2017-01-26 21:42:05 MST; 3h 46min ago
Docs: man:firewalld(1)
Main PID: 712 (firewalld)
Memory: 34.7M
CGroup: /system.slice/firewalld.service
└─712 /usr/bin/python -Es /usr/sbin/firewalld --nofork --nopid
हम देख सकते हैं, फ़ायरवॉल दोनों सक्रिय है (बूट पर शुरू करने के लिए) और वर्तमान में चल रहा है। यदि निष्क्रिय या शुरू नहीं हुआ तो हम उपयोग कर सकते हैं -
systemctl start firewalld && systemctl enable firewalld
अब जब हमारे पास हमारी फायरवालड सेवा कॉन्फ़िगर है, तो चलिए यह सुनिश्चित करते हैं कि यह चालू है।
[root@CentOS]# firewall-cmd --state
running
[root@CentOS]#
हम देख सकते हैं, फ़ायरवॉल सेवा पूरी तरह कार्यात्मक है।
फ़ायरवॉल ज़ोन की अवधारणा पर काम करता है । नेटवर्क मैनेजर के माध्यम से नेटवर्क इंटरफेस के लिए एक जोन लागू किया जाता है। हम इसे कॉन्फ़िगर करने वाली नेटवर्किंग में चर्चा करेंगे । लेकिन अभी के लिए, डिफ़ॉल्ट रूप से, डिफ़ॉल्ट क्षेत्र बदलने से "डिफ़ॉल्ट क्षेत्र" की डिफ़ॉल्ट स्थिति में बचा हुआ कोई भी नेटवर्क एडेप्टर बदल जाएगा।
आइए फ़ायरवॉल के साथ आने वाले प्रत्येक ज़ोन पर एक नज़र डालें ।
अनु क्रमांक। | ज़ोन और विवरण |
---|---|
1 | drop कम विश्वास स्तर। सभी आने वाले कनेक्शन और पैकेट बंद हो गए और केवल आउटगोइंग कनेक्शन राज्यस्तरीयता के माध्यम से संभव हैं |
2 | block आने वाले कनेक्शनों को एक icmp संदेश के साथ उत्तर दिया जाता है जिससे सर्जक को पता चलता है कि अनुरोध प्रतिबंधित है |
3 | public सभी नेटवर्क प्रतिबंधित हैं। हालांकि, चयनित आवक कनेक्शनों को स्पष्ट रूप से अनुमति दी जा सकती है |
4 | external NAT के लिए फ़ायरवॉल को कॉन्फ़िगर करता है। आंतरिक नेटवर्क निजी रहता है लेकिन पहुंच योग्य नहीं है |
5 | dmz केवल कुछ आवक कनेक्शनों की अनुमति है। DMZ अलगाव में सिस्टम के लिए उपयोग किया जाता है |
6 | work डिफ़ॉल्ट रूप से, सिस्टम को संभालने वाले कार्य वातावरण में नेटवर्क पर अधिक कंप्यूटरों पर भरोसा करना |
7 | hone डिफ़ॉल्ट रूप से, अधिक सेवाएँ अनफ़िल्टर्ड हैं। एक सिस्टम मानकर एक घर नेटवर्क पर है जहां एनएफएस, एसएएमबीए और एसएसडीपी जैसी सेवाओं का उपयोग किया जाएगा |
8 | trusted नेटवर्क की सभी मशीनों पर भरोसा किया जाता है। अधिकांश आवक कनेक्शनों को अनफ़िट कर दिया जाता है।This is not meant for interfaces exposed to the Internet |
उपयोग करने के लिए सबसे आम क्षेत्र हैं: सार्वजनिक, ड्रॉप, काम और घर।
कुछ परिदृश्य जहां प्रत्येक सामान्य क्षेत्र का उपयोग किया जाएगा वे हैं -
public- यह एक प्रशासक द्वारा उपयोग किया जाने वाला सबसे आम क्षेत्र है। यह आपको कस्टम सेटिंग्स लागू करने और LAN पर संचालन के लिए RFC विनिर्देशों का पालन करने देगा।
drop- ड्रॉप का उपयोग करने का एक अच्छा उदाहरण सार्वजनिक वाईफाई पर, या इंटरनेट से सीधे जुड़े इंटरफेस पर, एक सुरक्षा सम्मेलन में है। ड्रॉप मान लिया गया कि सभी अवांछित अनुरोध ICMP जांच सहित दुर्भावनापूर्ण हैं। इसलिए राज्य से बाहर किसी भी अनुरोध का जवाब नहीं मिलेगा। ड्रॉप के नकारात्मक पक्ष यह है कि यह कुछ स्थितियों में अनुप्रयोगों की कार्यक्षमता को तोड़ सकता है, जिन्हें कठोर RFC अनुपालन की आवश्यकता होती है।
work- आप एक अर्ध-सुरक्षित कॉर्पोरेट लैन पर हैं। जहां सभी यातायात को मामूली सुरक्षित माना जा सकता है। इसका मतलब है कि यह वाईफाई नहीं है और हमारे पास संभवतः आईडीएस, आईपीएस और भौतिक सुरक्षा या 802.1x है। हमें लैन का उपयोग करने वाले लोगों से भी परिचित होना चाहिए।
home- आप होम लैन पर हैं। आप लैन पर प्रत्येक प्रणाली और उपयोगकर्ता के लिए व्यक्तिगत रूप से जवाबदेह हैं। आप लैन पर हर मशीन को जानते हैं और किसी ने भी समझौता नहीं किया है। अक्सर विश्वसनीय व्यक्तियों के बीच मीडिया साझा करने के लिए नई सेवाएं लाई जाती हैं और आपको सुरक्षा के लिए अतिरिक्त समय लेने की आवश्यकता नहीं होती है।
ज़ोन और नेटवर्क इंटरफेस एक से कई स्तर पर काम करते हैं। एक नेटवर्क इंटरफ़ेस में एक बार में एक ही ज़ोन लगाया जा सकता है। जबकि, एक ज़ोन को एक साथ कई इंटरफेस पर लागू किया जा सकता है।
आइए देखें कि कौन से क्षेत्र उपलब्ध हैं और वर्तमान में लागू क्षेत्र क्या हैं।
[root@CentOS]# firewall-cmd --get-zones
work drop internal external trusted home dmz public block
[root@CentOS]# firewall-cmd --get-default-zone
public
[root@CentOS]#
फ़ायरवॉल में कुछ अनुकूलित नियम जोड़ने के लिए तैयार हैं?
पहले, आइए देखें कि हमारा बॉक्स कैसा दिखता है, बाहर से एक पोर्ट्सकेनर को।
bash-3.2# nmap -sS -p 1-1024 -T 5 10.211.55.1
Starting Nmap 7.30 ( https://nmap.org ) at 2017-01-27 23:36 MST
Nmap scan report for centos.shared (10.211.55.1)
Host is up (0.00046s latency).
Not shown: 1023 filtered ports
PORT STATE SERVICE
22/tcp open ssh
Nmap done: 1 IP address (1 host up) scanned in 3.71 seconds
bash-3.2#
चलो आने वाले अनुरोधों को 80 पोर्ट करने की अनुमति दें।
पहले, यह देखने के लिए जांचें कि डिफ़ॉल्ट के रूप में किस क्षेत्र को लागू किया गया है।
[root@CentOs]# firewall-cmd --get-default-zone
public
[root@CentOS]#
उसके बाद, नियम को डिफ़ॉल्ट डिफ़ॉल्ट क्षेत्र में पोर्ट 80 की अनुमति दें।
[root@CentOS]# firewall-cmd --zone=public --add-port = 80/tcp
success
[root@CentOS]#
अब, पोर्ट 80 कनेक्शन की अनुमति देने के बाद हमारे बॉक्स की जांच करें।
bash-3.2# nmap -sS -p 1-1024 -T 5 10.211.55.1
Starting Nmap 7.30 ( https://nmap.org ) at 2017-01-27 23:42 MST
Nmap scan report for centos.shared (10.211.55.1)
Host is up (0.00053s latency).
Not shown: 1022 filtered ports
PORT STATE SERVICE
22/tcp open ssh
80/tcp closed http
Nmap done: 1 IP address (1 host up) scanned in 3.67 seconds
bash-3.2#
अब यह 80 को अनचाहे यातायात की अनुमति देता है।
आइए डिफ़ॉल्ट क्षेत्र को ड्रॉप करने के लिए रखें और देखें कि पोर्ट स्कैन क्या होता है।
[root@CentOS]# firewall-cmd --set-default-zone=drop
success
[root@CentOS]# firewall-cmd --get-default-zone
drop
[root@CentOs]#
अब एक अधिक सुरक्षित क्षेत्र में नेटवर्क इंटरफ़ेस के साथ होस्ट को स्कैन करते हैं।
bash-3.2# nmap -sS -p 1-1024 -T 5 10.211.55.1
Starting Nmap 7.30 ( https://nmap.org ) at 2017-01-27 23:50 MST
Nmap scan report for centos.shared (10.211.55.1)
Host is up (0.00094s latency).
All 1024 scanned ports on centos.shared (10.211.55.1) are filtered
Nmap done: 1 IP address (1 host up) scanned in 12.61 seconds
bash-3.2#
अब, सब कुछ बाहर से फ़िल्टर किया गया है।
जैसा कि नीचे दिखाया गया है, होस्ट ड्रॉप होने पर ICMP पिंग अनुरोधों का जवाब नहीं देगा ।
bash-3.2# ping 10.211.55.1
PING 10.211.55.1 (10.211.55.1): 56 data bytes
Request timeout for icmp_seq 0
Request timeout for icmp_seq 1
Request timeout for icmp_seq 2
आइए डिफ़ॉल्ट क्षेत्र को फिर से सार्वजनिक करने के लिए सेट करें।
[root@CentOs]# firewall-cmd --set-default-zone=public
success
[root@CentOS]# firewall-cmd --get-default-zone
public
[root@CentOS]#
अब सार्वजनिक रूप से हमारे फ़िल्टरिंग नियम की जाँच करें ।
[root@CentOS]# firewall-cmd --zone=public --list-all
public (active)
target: default
icmp-block-inversion: no
interfaces: enp0s5
sources:
services: dhcpv6-client ssh
ports: 80/tcp
protocols:
masquerade: no
forward-ports:
sourceports:
icmp-blocks:
rich rules:
[root@CentOS rdc]#
जैसा कि कॉन्फ़िगर किया गया है, हमारा पोर्ट 80 फ़िल्टर नियम केवल चल रहे कॉन्फ़िगरेशन के संदर्भ में है। इसका मतलब यह है कि एक बार सिस्टम रिबूट होने के बाद या फ़ायरवॉल सेवा को फिर से शुरू किया जाता है, तो हमारा नियम खारिज कर दिया जाएगा।
हम जल्द ही एक http डेमॉन को कॉन्फ़िगर करेंगे , तो चलिए अपने बदलावों को लगातार बनाए रखें -
[root@CentOS]# firewall-cmd --zone=public --add-port=80/tcp --permanent
success
[root@CentOS]# systemctl restart firewalld
[root@CentOS]#
अब सार्वजनिक क्षेत्र में हमारा पोर्ट 80 नियम रिबूट और सेवा पुनरारंभ के लिए लगातार है।
निम्नलिखित फ़ायरवॉल-cmd के साथ लागू किए जाने वाले सामान्य फ़ायरवॉल कमांड हैं ।
आदेश | कार्य |
---|---|
फ़ायरवॉल- cmd --get-zones | सभी क्षेत्रों को सूचीबद्ध करता है जिन्हें एक इंटरफ़ेस पर लागू किया जा सकता है |
फ़ायरवॉल- cmd -status | फ़ायरवॉल सेवा की धाराओं की स्थिति देता है |
फ़ायरवॉल- cmd --get-default-zone | वर्तमान डिफ़ॉल्ट क्षेत्र हो जाता है |
फ़ायरवॉल- cmd --सेट-डिफ़ॉल्ट-ज़ोन = <ज़ोन> | डिफ़ॉल्ट ज़ोन को वर्तमान संदर्भ में सेट करता है |
फ़ायरवॉल- cmd --get-active-zone | एक इंटरफेस के रूप में लागू संदर्भ में वर्तमान क्षेत्रों हो जाता है |
फ़ायरवॉल- cmd --zone = <क्षेत्र> - सूची-सभी | आपूर्ति किए गए ज़ोन के कॉन्फ़िगरेशन को सूचीबद्ध करता है |
फ़ायरवॉल- cmd --zone = <क्षेत्र> --adport = <पोर्ट / परिवहन प्रोटोकॉल> | ज़ोन फ़िल्टर के लिए पोर्ट नियम लागू करता है |
--permanent | लगातार ज़ोन में परिवर्तन करता है। ध्वज का उपयोग संशोधन आज्ञाओं के साथ इनलाइन किया जाता है |
ये फ़ायरवॉल के व्यवस्थापन और विन्यास की मूल अवधारणाएँ हैं ।
CentOS में होस्ट-आधारित फ़ायरवॉल सेवाओं को कॉन्फ़िगर करना अधिक परिष्कृत नेटवर्किंग परिदृश्यों में एक जटिल कार्य हो सकता है। CentOS में फ़ायरवॉल और iptables का उन्नत उपयोग और कॉन्फ़िगरेशन संपूर्ण ट्यूटोरियल ले सकता है। हालांकि, हमने मूल बातें प्रस्तुत की हैं जो दैनिक कार्यों के बहुमत को पूरा करने के लिए पर्याप्त होनी चाहिए।