بسم الله الحمن الرحيم
السلام عليكم ورحمة الله
جدار حماية FirewallD
الموقع الرسمى
http://www.firewalld.org/
جدار الحماية FirewallD الكامل متاح افتراضيا على خوادم فيدور وغيرها من التوزيعات المبنية على فيدورا. سوف نتعرف على بتغطية كيفية إعداد جدار firewall-cmd نظهر لك أساسيات إدارة جدار الحماية باستخدام أداة إدارة الجدار firewall-cmd
المفاهيم الأساسية في firewalld
قبل أن نبدأ الحديث عن كيفية استخدام الأداة المساعدة firewalld في الواقع لإدارة تهيئة الجدار الناري، يجب أن نتعرف على بعض المفاهيم الأساسية التي تقدمها الأداة.
ويدير firewalld مجموعات خفي من القواعد باستخدام كيانات تسمى "مناطق". المناطق هي في الأساس مجموعات من القواعد تملي ما يجب أن يسمح حركة المرور اعتمادا على مستوى الثقة لديك في الشبكات المتصلة جهاز الكمبيوتر الخاص بك. يتم تعيين واجهات الشبكة منطقة لتملي السلوك الذي يجب أن يسمح به جدار الحماية.
بالنسبة إلى أجهزة الكمبيوتر التي قد تتحرك بين الشبكات بشكل متكرر (مثل أجهزة الكمبيوتر المحمولة)، يوفر هذا النوع من المرونة طريقة جيدة لتغيير القواعد اعتمادا على بيئتك. قد يكون لديك قواعد صارمة في مكان يحظر معظم حركة المرور عند التشغيل على شبكة واي فاي العامة، مع السماح قيود أكثر استرخاء عند الاتصال بشبكة منزلك. بالنسبة إلى ملقم، هذه المناطق ليست مهمة على الفور لأن بيئة الشبكة نادرا.
بغض النظر عن كيفية ديمايك بيئة الشبكة الخاصة بك قد يكون، فإنه لا يزال من المفيد أن تكون على دراية الفكرة العامة وراء كل من المناطق المحددة مسبقا ل firewalld . من أجل أقل ثقة إلى الأكثر ثقة ، المناطق المحددة مسبقا داخل firewalld هي:
drop : أدنى مستوى من الثقة. يتم إسقاط جميع الاتصالات الواردة دون رد ولا يمكن إلا الاتصالات الصادرة.
block : على غرار ما سبق، ولكن بدلا من مجرد إسقاط الاتصالات، يتم رفض طلبات واردة مع icmp-host-prohibited أو icmp6-adm-prohibited الرسالة.
public : تمثل الشبكات العامة وغير الموثوقة. أنت لا تثق في أجهزة كمبيوتر أخرى ولكن قد تسمح اتصالات واردة مختارة على أساس كل حالة على حدة.
external: شبكات خارجية في حالة استخدام جدار الحماية كبوابة. تم تكوينه ل نات تتسلل بحيث الشبكة الداخلية الخاصة بك لا تزال خاصة ولكن يمكن الوصول إليها.
internal : الجانب الآخر من المنطقة الخارجية، يستخدم للجزء الداخلي من البوابة. أجهزة الكمبيوتر هي جديرة بالثقة إلى حد ما وبعض الخدمات الإضافية المتاحة.
dmz : تستخدم لأجهزة الكمبيوتر الموجودة في دمز (أجهزة الكمبيوتر المعزولة التي لن يكون الوصول إلى بقية الشبكة الخاصة بك). يسمح فقط ببعض الاتصالات الواردة.
work: تستخدم لآلات العمل. ثقة معظم أجهزة الكمبيوتر في الشبكة. قد يسمح بعدد قليل من الخدمات الأخرى.
home : بيئة المنزل. ويعني ذلك عموما أنك تثق في معظم أجهزة الكمبيوتر الأخرى وأن بعض الخدمات الأخرى ستكون مقبولة.
trusted : الثقة جميع الآلات في الشبكة. الأكثر انفتاحا من الخيارات المتاحة، وينبغي أن تستخدم ماما.
لاستخدام جدار الحماية، يمكننا إنشاء قواعد وتغيير خصائص مناطقنا ومن ثم تعيين واجهات الشبكة الخاصة بنا إلى أي المناطق الأكثر ملاءمة.
في firewalld، القواعد يمكن أن تكون إما دائمة أو فورية. إذا تمت إضافة قاعدة أو تعديلها بشكل افتراضي، يتم تعديل سلوك جدار الحماية قيد التشغيل حاليا. في التمهيد التالي، سيتم إرجاع القواعد القديمة.
يمكن أن تتخذ معظم عمليات firewall-cmd --permanent العلم --permanent للإشارة إلى أنه يجب استهداف جدار الحماية غير المؤقت. سيؤثر هذا على مجموعة القواعد التي يتم إعادة تحميلها عند التمهيد. يعني هذا الفصل أنه يمكنك اختبار قواعد في مثيل جدار حماية نشط ثم إعادة تحميل إذا كانت هناك مشاكل. يمكنك أيضا استخدام العلم --permanent لبناء مجموعة كاملة من القواعد مع مرور الوقت التي سيتم تطبيقها في وقت واحد عندما يتم إصدار الأمر إعادة تحميل.
تثبيت جدار الحماية firewalld
نفتح الطرفية وتسجيل الدخول بي اسم الجذر ونكتب الامر التالي
sudo apt-get install firewalld
الصور
ثم نفتح synaptic ونبحث على firewalld ونقوم بتثبيت الحزم الغير المثبة
الصور
تشغيل جدار الحماية
قبل أن نتمكن من البدء في إنشاء قواعد جدار الحماية لدينا، ونحن بحاجة إلى فعلا تحويل الخفي ويسمى ملف وحدة firewalld.service . يمكن أن نبدأ الخفي لهذه الدورة عن طريق كتابة:
sudo systemctl start firewalld.service
يمكننا التحقق من أن الخدمة قيد التشغيل ويمكن الوصول إليها عن طريق كتابة:
firewall-cmd --state
النتاج
running
يشير هذا إلى أن جدار الحماية الخاص بنا قيد التشغيل مع التهيئة الافتراضية.
عند هذه النقطة، ونحن لن enable الخدمة. يؤدي تمكين الخدمة إلى بدء تشغيل جدار الحماية عند التمهيد. يجب أن ننتظر حتى أنشأنا قواعد جدار الحماية لدينا، وكان فرصة لاختبارها قبل تكوين هذا السلوك. هذا يمكن أن تساعدنا على تجنب أن تكون مغلقة من الجهاز إذا كان هناك شيء يذهب على نحو خاطئ.
التعرف على قواعد جدار الحماية الحالية
قبل أن نبدأ في إجراء تعديلات، يجب أن نتعرف على البيئة الافتراضية والقواعد التي يوفرها الخفي.
استكشاف الإعدادات الافتراضية
يمكننا معرفة المنطقة التي يتم تحديدها حاليا كخيار افتراضي عن طريق كتابة:
firewall-cmd --get-default-zone
النتاج
عامة
ونظرا لأننا لم firewalld أي أوامر firewalld عن المنطقة الافتراضية، ولم يتم تكوين أي من واجهاتنا لربط منطقة أخرى، فإن تلك المنطقة ستكون أيضا المنطقة "النشطة" الوحيدة (المنطقة التي تتحكم في حركة المرور لدينا واجهات). يمكننا التحقق من أنه من خلال كتابة:
firewall-cmd --get-active-zones
النتاج
public
واجهات: eth0 eth1
هنا، يمكننا أن نرى أن لدينا اثنين من واجهات الشبكة التي تسيطر عليها جدار الحماية ( eth0 و eth1 ). ويجري حاليا إدارتها وفقا للقواعد المحددة. العامة.
كيف نعرف ما هي القواعد المرتبطة بالمنطقة العامة رغم ذلك؟ يمكننا طباعة تهيئة المنطقة الافتراضية عن طريق كتابة:
firewall-cmd --list-all
النتاج
public (افتراضي، نشط)
واجهات: eth0 eth1
sources:
services: dhcpv6-client ssh
ports:
masquerade: no
forward-ports:
icmp-blocks:
rich rules:
يمكننا أن نقول من الإخراج أن هذه المنطقة على حد سواء الافتراضي والنشط وأن واجهة eth0 و eth1 واجهات ترتبط مع هذه المنطقة (كنا نعرف بالفعل كل هذا من الاستفسارات السابقة). ومع ذلك، يمكننا أن نرى أيضا أن هذه المنطقة تسمح للعمليات العادية المرتبطة عميل دكب (لتعيين عنوان إب) و سش (للإدارة عن بعد).
استكشاف المناطق البديلة
الآن لدينا فكرة جيدة عن التكوين. الافتراضية والنشطة. يمكننا معرفة معلومات عن مناطق أخرى كذلك.
للحصول على قائمة بالمناطق المتاحة، اكتب:
النتاج
block dmz drop external home internal public trusted work
يمكننا أن نرى التكوين المحدد المرتبطة منطقة عن طريق تضمين --zone= في أمر --list-all :
firewall-cmd --zone=home --list-all
النتاج
home
interfaces:
sources:
services: dhcpv6-client ipp-client mdns samba-client ssh
ports:
masquerade: no
forward-ports:
icmp-blocks:
rich rules:
يمكنك إخراج كافة تعريفات باستخدام الخيار --list-all-zones المشاهدة:
firewall-cmd --list-all-zones | less
تحديد المناطق للواجهات الخاصة بك
إلا إذا قمت بتكوين واجهات الشبكة الخاصة بك خلاف ذلك، سيتم وضع كل واجهة في المنطقة الافتراضية عند تمهيد جدار الحماية.
تغيير منطقة واجهة للجلسة الحالية
يمكنك تغيير بين eth0 إلى eth1 أثناء جلسة عمل باستخدام --zone= بالاشتراك مع --change-interface= . كما هو الحال مع جميع الأوامر التي تعدل جدار الحماية، ستحتاج إلى استخدام sudo .
على سبيل المثال، يمكننا تغيير eth0 إلى eth1 عن طريق كتابة او العكس:
sudo firewall-cmd --zone=home --change-interface=eth1
النتاج
success
المشاركات
ليست هناك تعليقات:
إرسال تعليق
(( مَا يَلْفِظُ مِنْ قَوْلٍ إِلَّا لَدَيْهِ رَقِيبٌ عَتِيدٌ))