Wéi beschränken ech den Netzzougang mat FirewallD

Als Linux Benotzer kënnt Dir entscheeden entweder den Netzzougang op e puer Servicer oder IP Adressen z'erméiglechen oder ze beschränken mat der Firewalld Firewall déi gebierteg ass CentOS/RHEL 8 an déi meescht RHEL baséiert Verdeelungen wéi Fedora.

D'Firewalld Firewall benotzt de Firewall-cmd Kommandozeil Utility fir Firewall Regelen ze konfiguréieren.

Ier mir Konfiguratiounen ausféieren, loosst eis fir d'éischt de Firewalld Service aktivéieren mat dem Systemctl Utility wéi gewisen:

$ sudo systemctl enable firewalld

Eemol aktivéiert, kënnt Dir elo Firewalld Service starten andeems Dir ausféiert:

$ sudo systemctl start firewalld

Dir kënnt de Status vun der Firewalld verifizéieren andeems Dir de Kommando ausféiert:

$ sudo systemctl status firewalld

D'Ausgab hei drënner bestätegt datt de Firewalld-Service op a leeft.

Regele konfiguréieren mat Firewalld

Elo datt mir Firewalld lafen, kënne mir direkt e puer Konfiguratiounen maachen. Firewalld erlaabt Iech Ports, Blacklist, wéi och Whitelist IP Adressen ze addéieren an ze blockéieren fir Zougang zum Server ze bidden. Wann Dir mat den Konfiguratiounen gemaach hutt, gitt sécher datt Dir d'Firewall nei lued fir datt déi nei Regelen a Kraaft trieden.

Fir e Port ze addéieren, sot den Hafen 443 fir HTTPS, benotzt d'Syntax hei drënner. Notéiert datt Dir musst spezifizéieren ob den Hafen en TCP oder UDP Port ass no der Portnummer:

$ sudo firewall-cmd --add-port=22/tcp --permanent

Ähnlech, fir en UDP Hafen derbäi ze ginn, spezifizéiert d'UDP Optioun wéi gewisen:

$ sudo firewall-cmd --add-port=53/udp --permanent

De --permanent Fändel suergt dofir datt d'Regele och no engem Neistart bestoe bleiwen.

Fir en TCP Hafen ze blockéieren, wéi den Hafen 22, fuert de Kommando.

$ sudo firewall-cmd --remove-port=22/tcp --permanent

Ähnlech wäert d'Blockéierung vun engem UDP Hafen déiselwecht Syntax verfollegen:

$ sudo firewall-cmd --remove-port=53/udp --permanent

Netzwierkservicer ginn an der Datei /etc/services definéiert. Fir e Service wéi https z'erméiglechen, fuert de Kommando aus:

$ sudo firewall-cmd --add-service=https

Fir e Service ze blockéieren, zum Beispill FTP, fuert aus:

$ sudo firewall-cmd --remove-service=https

Fir eng eenzeg IP Adress iwwer d'Firewall z'erméiglechen, fuert de Kommando aus:

$ sudo firewall-cmd --permanent --add-source=192.168.2.50

Dir kënnt och eng Rei vun IPen oder e ganze Subnet erlaben mat enger CIDR (Classless Inter-Domain Routing) Notatioun. Zum Beispill fir e ganze Subnet am 255.255.255.0 Subnet z'erméiglechen, ausféieren.

$ sudo firewall-cmd --permanent --add-source=192.168.2.0/24

Wann Dir eng wäiss Lëscht IP vun der Firewall wëllt läschen, benotzt de --remove-source Fändel wéi gewisen:

$ sudo firewall-cmd --permanent --remove-source=192.168.2.50

Fir de ganze Subnet, lafen:

$ sudo firewall-cmd --permanent --remove-source=192.168.2.50/24

Bis elo hu mir gesinn wéi Dir Ports a Servicer kënnt addéieren an ewechhuelen, wéi och Whitelisting a Whitelisted IPs ewechhuelen. Fir eng IP Adress ze blockéieren, ginn 'räich Regelen' fir dësen Zweck benotzt.

Zum Beispill fir d'IP 192.168.2.50 ze blockéieren, lafen de Kommando:

$ sudo firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='192.168.2.50' reject"

Fir de ganze Subnet ze blockéieren, lafen:

$ sudo firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='192.168.2.0/24' reject"

Wann Dir Ännerunge vun de Firewall Regelen gemaach hutt, musst Dir de Kommando hei ënnen ausféieren fir d'Ännerungen direkt applizéiert ze ginn:

$ sudo firewall-cmd --reload

Fir all d'Regelen an der Firewall ze kucken, fuert de Kommando aus:

$ sudo firewall-cmd --list-all

Dëst schléisst dëse Guide op wéi Dir den Netzzougang erlaabt oder beschränkt mat FirewallD op CentOS/RHEL 8. Mir hoffen Dir hutt dëse Guide hëllefräich fonnt.