लिनक्स एडमिन - फ़ायरवॉल सेटअप

फ़ायरवॉल CentOS पर iptables के लिए डिफ़ॉल्ट फ्रंट-एंड कंट्रोलर है। Firewalld सामने के अंत कच्चे iptables से अधिक दो मुख्य फायदे हैं -

  • ज़ोन एब्स्ट्रैक्टिंग चेन और नियमों को आसान-से-कॉन्फ़िगर और कार्यान्वित करने के लिए उपयोग करता है।

  • नियम गतिशील हैं, जिसका अर्थ है कि सेटिंग्स और / या संशोधित किए जाने पर स्टेटफुल कनेक्शन निर्बाध हैं।

याद रखें, फ़ायरवॉल आईपैड के लिए आवरण है - प्रतिस्थापन नहीं। जबकि कस्टम iptables कमांड का उपयोग फ़ायरवॉल के साथ किया जा सकता है, फ़ायरवॉल के उपयोग की अनुशंसा की जाती है ताकि फ़ायरवॉल की कार्यक्षमता न टूटे।

सबसे पहले, आइए सुनिश्चित करें कि फ़ायरवॉल दोनों शुरू और सक्षम है।

[root@CentOS rdc]# systemctl status firewalld 
● firewalld.service - firewalld - dynamic firewall daemon 
Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled; vendor preset: enabled) 
Active: active (running) since Thu 2017-01-26 21:42:05 MST; 3h 46min ago 
 Docs: man:firewalld(1) 
Main PID: 712 (firewalld) 
  Memory: 34.7M 
 CGroup: /system.slice/firewalld.service 
       └─712 /usr/bin/python -Es /usr/sbin/firewalld --nofork --nopid

हम देख सकते हैं, फ़ायरवॉल दोनों सक्रिय है (बूट पर शुरू करने के लिए) और वर्तमान में चल रहा है। यदि निष्क्रिय या शुरू नहीं हुआ तो हम उपयोग कर सकते हैं -

systemctl start firewalld && systemctl enable firewalld

अब जब हमारे पास हमारी फायरवालड सेवा कॉन्फ़िगर है, तो चलिए यह सुनिश्चित करते हैं कि यह चालू है।

[root@CentOS]# firewall-cmd --state 
running 
[root@CentOS]#

हम देख सकते हैं, फ़ायरवॉल सेवा पूरी तरह कार्यात्मक है।

फ़ायरवॉल ज़ोन की अवधारणा पर काम करता है । नेटवर्क मैनेजर के माध्यम से नेटवर्क इंटरफेस के लिए एक जोन लागू किया जाता है। हम इसे कॉन्फ़िगर करने वाली नेटवर्किंग में चर्चा करेंगे । लेकिन अभी के लिए, डिफ़ॉल्ट रूप से, डिफ़ॉल्ट क्षेत्र बदलने से "डिफ़ॉल्ट क्षेत्र" की डिफ़ॉल्ट स्थिति में बचा हुआ कोई भी नेटवर्क एडेप्टर बदल जाएगा।

आइए फ़ायरवॉल के साथ आने वाले प्रत्येक ज़ोन पर एक नज़र डालें ।

अनु क्रमांक। ज़ोन और विवरण
1

drop

कम विश्वास स्तर। सभी आने वाले कनेक्शन और पैकेट बंद हो गए और केवल आउटगोइंग कनेक्शन राज्यस्तरीयता के माध्यम से संभव हैं

2

block

आने वाले कनेक्शनों को एक icmp संदेश के साथ उत्तर दिया जाता है जिससे सर्जक को पता चलता है कि अनुरोध प्रतिबंधित है

3

public

सभी नेटवर्क प्रतिबंधित हैं। हालांकि, चयनित आवक कनेक्शनों को स्पष्ट रूप से अनुमति दी जा सकती है

4

external

NAT के लिए फ़ायरवॉल को कॉन्फ़िगर करता है। आंतरिक नेटवर्क निजी रहता है लेकिन पहुंच योग्य नहीं है

5

dmz

केवल कुछ आवक कनेक्शनों की अनुमति है। DMZ अलगाव में सिस्टम के लिए उपयोग किया जाता है

6

work

डिफ़ॉल्ट रूप से, सिस्टम को संभालने वाले कार्य वातावरण में नेटवर्क पर अधिक कंप्यूटरों पर भरोसा करना

7

hone

डिफ़ॉल्ट रूप से, अधिक सेवाएँ अनफ़िल्टर्ड हैं। एक सिस्टम मानकर एक घर नेटवर्क पर है जहां एनएफएस, एसएएमबीए और एसएसडीपी जैसी सेवाओं का उपयोग किया जाएगा

8

trusted

नेटवर्क की सभी मशीनों पर भरोसा किया जाता है। अधिकांश आवक कनेक्शनों को अनफ़िट कर दिया जाता है।This is not meant for interfaces exposed to the Internet

उपयोग करने के लिए सबसे आम क्षेत्र हैं: सार्वजनिक, ड्रॉप, काम और घर।

कुछ परिदृश्य जहां प्रत्येक सामान्य क्षेत्र का उपयोग किया जाएगा वे हैं -

  • public- यह एक प्रशासक द्वारा उपयोग किया जाने वाला सबसे आम क्षेत्र है। यह आपको कस्टम सेटिंग्स लागू करने और LAN पर संचालन के लिए RFC विनिर्देशों का पालन करने देगा।

  • drop- ड्रॉप का उपयोग करने का एक अच्छा उदाहरण सार्वजनिक वाईफाई पर, या इंटरनेट से सीधे जुड़े इंटरफेस पर, एक सुरक्षा सम्मेलन में है। ड्रॉप मान लिया गया कि सभी अवांछित अनुरोध ICMP जांच सहित दुर्भावनापूर्ण हैं। इसलिए राज्य से बाहर किसी भी अनुरोध का जवाब नहीं मिलेगा। ड्रॉप के नकारात्मक पक्ष यह है कि यह कुछ स्थितियों में अनुप्रयोगों की कार्यक्षमता को तोड़ सकता है, जिन्हें कठोर RFC अनुपालन की आवश्यकता होती है।

  • work- आप एक अर्ध-सुरक्षित कॉर्पोरेट लैन पर हैं। जहां सभी यातायात को मामूली सुरक्षित माना जा सकता है। इसका मतलब है कि यह वाईफाई नहीं है और हमारे पास संभवतः आईडीएस, आईपीएस और भौतिक सुरक्षा या 802.1x है। हमें लैन का उपयोग करने वाले लोगों से भी परिचित होना चाहिए।

  • home- आप होम लैन पर हैं। आप लैन पर प्रत्येक प्रणाली और उपयोगकर्ता के लिए व्यक्तिगत रूप से जवाबदेह हैं। आप लैन पर हर मशीन को जानते हैं और किसी ने भी समझौता नहीं किया है। अक्सर विश्वसनीय व्यक्तियों के बीच मीडिया साझा करने के लिए नई सेवाएं लाई जाती हैं और आपको सुरक्षा के लिए अतिरिक्त समय लेने की आवश्यकता नहीं होती है।

ज़ोन और नेटवर्क इंटरफेस एक से कई स्तर पर काम करते हैं। एक नेटवर्क इंटरफ़ेस में एक बार में एक ही ज़ोन लगाया जा सकता है। जबकि, एक ज़ोन को एक साथ कई इंटरफेस पर लागू किया जा सकता है।

आइए देखें कि कौन से क्षेत्र उपलब्ध हैं और वर्तमान में लागू क्षेत्र क्या हैं।

[root@CentOS]# firewall-cmd --get-zones 
 work drop internal external trusted home dmz public block

[root@CentOS]# firewall-cmd --get-default-zone 
public
[root@CentOS]#

फ़ायरवॉल में कुछ अनुकूलित नियम जोड़ने के लिए तैयार हैं?

पहले, आइए देखें कि हमारा बॉक्स कैसा दिखता है, बाहर से एक पोर्ट्सकेनर को।

bash-3.2# nmap -sS -p 1-1024 -T 5  10.211.55.1
 
Starting Nmap 7.30 ( https://nmap.org ) at 2017-01-27 23:36 MST 
Nmap scan report for centos.shared (10.211.55.1) 
Host is up (0.00046s latency). 
Not shown: 1023 filtered ports 
PORT   STATE SERVICE 
22/tcp open  ssh


Nmap done: 1 IP address (1 host up) scanned in 3.71 seconds 
bash-3.2#

चलो आने वाले अनुरोधों को 80 पोर्ट करने की अनुमति दें।

पहले, यह देखने के लिए जांचें कि डिफ़ॉल्ट के रूप में किस क्षेत्र को लागू किया गया है।

[root@CentOs]# firewall-cmd --get-default-zone 
public
[root@CentOS]#

उसके बाद, नियम को डिफ़ॉल्ट डिफ़ॉल्ट क्षेत्र में पोर्ट 80 की अनुमति दें।

[root@CentOS]# firewall-cmd --zone=public --add-port = 80/tcp 
success
[root@CentOS]#

अब, पोर्ट 80 कनेक्शन की अनुमति देने के बाद हमारे बॉक्स की जांच करें।

bash-3.2# nmap -sS -p 1-1024 -T 5  10.211.55.1

Starting Nmap 7.30 ( https://nmap.org ) at 2017-01-27 23:42 MST 
Nmap scan report for centos.shared (10.211.55.1) 
Host is up (0.00053s latency). 
Not shown: 1022 filtered ports 
PORT   STATE  SERVICE 
22/tcp open   ssh 
80/tcp closed http

Nmap done: 1 IP address (1 host up) scanned in 3.67 seconds 
bash-3.2#

अब यह 80 को अनचाहे यातायात की अनुमति देता है।

आइए डिफ़ॉल्ट क्षेत्र को ड्रॉप करने के लिए रखें और देखें कि पोर्ट स्कैन क्या होता है।

[root@CentOS]# firewall-cmd --set-default-zone=drop 
success

[root@CentOS]# firewall-cmd --get-default-zone 
drop

[root@CentOs]#

अब एक अधिक सुरक्षित क्षेत्र में नेटवर्क इंटरफ़ेस के साथ होस्ट को स्कैन करते हैं।

bash-3.2# nmap -sS -p 1-1024 -T 5  10.211.55.1 
Starting Nmap 7.30 ( https://nmap.org ) at 2017-01-27 23:50 MST 
Nmap scan report for centos.shared (10.211.55.1) 
Host is up (0.00094s latency). 
All 1024 scanned ports on centos.shared (10.211.55.1) are filtered

Nmap done: 1 IP address (1 host up) scanned in 12.61 seconds 
bash-3.2#

अब, सब कुछ बाहर से फ़िल्टर किया गया है।

जैसा कि नीचे दिखाया गया है, होस्ट ड्रॉप होने पर ICMP पिंग अनुरोधों का जवाब नहीं देगा ।

bash-3.2# ping 10.211.55.1 
PING 10.211.55.1 (10.211.55.1): 56 data bytes 
Request timeout for icmp_seq 0 
Request timeout for icmp_seq 1 
Request timeout for icmp_seq 2

आइए डिफ़ॉल्ट क्षेत्र को फिर से सार्वजनिक करने के लिए सेट करें।

[root@CentOs]# firewall-cmd --set-default-zone=public 
success

[root@CentOS]# firewall-cmd --get-default-zone 
public

[root@CentOS]#

अब सार्वजनिक रूप से हमारे फ़िल्टरिंग नियम की जाँच करें ।

[root@CentOS]# firewall-cmd --zone=public --list-all 
public (active) 
target: default 
icmp-block-inversion: no 
interfaces: enp0s5 
sources:  
services: dhcpv6-client ssh 
ports: 80/tcp 
protocols:  
masquerade: no 
forward-ports:  
sourceports:  
icmp-blocks:  
rich rules:

[root@CentOS rdc]#

जैसा कि कॉन्फ़िगर किया गया है, हमारा पोर्ट 80 फ़िल्टर नियम केवल चल रहे कॉन्फ़िगरेशन के संदर्भ में है। इसका मतलब यह है कि एक बार सिस्टम रिबूट होने के बाद या फ़ायरवॉल सेवा को फिर से शुरू किया जाता है, तो हमारा नियम खारिज कर दिया जाएगा।

हम जल्द ही एक http डेमॉन को कॉन्फ़िगर करेंगे , तो चलिए अपने बदलावों को लगातार बनाए रखें -

[root@CentOS]# firewall-cmd --zone=public --add-port=80/tcp --permanent 
success

[root@CentOS]# systemctl restart firewalld

[root@CentOS]#

अब सार्वजनिक क्षेत्र में हमारा पोर्ट 80 नियम रिबूट और सेवा पुनरारंभ के लिए लगातार है।

निम्नलिखित फ़ायरवॉल-cmd के साथ लागू किए जाने वाले सामान्य फ़ायरवॉल कमांड हैं ।

आदेश कार्य
फ़ायरवॉल- cmd --get-zones सभी क्षेत्रों को सूचीबद्ध करता है जिन्हें एक इंटरफ़ेस पर लागू किया जा सकता है
फ़ायरवॉल- cmd -status फ़ायरवॉल सेवा की धाराओं की स्थिति देता है
फ़ायरवॉल- cmd --get-default-zone वर्तमान डिफ़ॉल्ट क्षेत्र हो जाता है
फ़ायरवॉल- cmd --सेट-डिफ़ॉल्ट-ज़ोन = <ज़ोन> डिफ़ॉल्ट ज़ोन को वर्तमान संदर्भ में सेट करता है
फ़ायरवॉल- cmd --get-active-zone एक इंटरफेस के रूप में लागू संदर्भ में वर्तमान क्षेत्रों हो जाता है
फ़ायरवॉल- cmd --zone = <क्षेत्र> - सूची-सभी आपूर्ति किए गए ज़ोन के कॉन्फ़िगरेशन को सूचीबद्ध करता है
फ़ायरवॉल- cmd --zone = <क्षेत्र> --adport = <पोर्ट / परिवहन प्रोटोकॉल> ज़ोन फ़िल्टर के लिए पोर्ट नियम लागू करता है
--permanent लगातार ज़ोन में परिवर्तन करता है। ध्वज का उपयोग संशोधन आज्ञाओं के साथ इनलाइन किया जाता है

ये फ़ायरवॉल के व्यवस्थापन और विन्यास की मूल अवधारणाएँ हैं ।

CentOS में होस्ट-आधारित फ़ायरवॉल सेवाओं को कॉन्फ़िगर करना अधिक परिष्कृत नेटवर्किंग परिदृश्यों में एक जटिल कार्य हो सकता है। CentOS में फ़ायरवॉल और iptables का उन्नत उपयोग और कॉन्फ़िगरेशन संपूर्ण ट्यूटोरियल ले सकता है। हालांकि, हमने मूल बातें प्रस्तुत की हैं जो दैनिक कार्यों के बहुमत को पूरा करने के लिए पर्याप्त होनी चाहिए।