Обзор
firewalld — это демон, управляющий сетевым трафиком системы, позволяющий применять различные уровни безопасности к сетевым интерфейсам или IP-адресам источников с помощью предварительно определенных зон. Он предоставляет удобный интерфейс вместо прямого управления сложными правилами iptables.
Основные характеристики
- Динамическое управление правилами: возможность изменять правила без перезапуска службы
- На основе зон (Zone): применение различных политик безопасности в зависимости от сетевого интерфейса или источника
- Управление службами и портами: простота открытия/блокировки определенных служб (SSH, HTTP и т. д.) или портов
- Расширенные правила (Rich Rules): возможность настройки правил на основе сложных условий
- Поддержка IPv4 и IPv6
Основные параметры
Параметры, используемые при запуске самого демона firewalld. Большинство правил брандмауэра управляются через команду firewall-cmd.
Параметры запуска демона
Сгенерированная команда:
Комбинируйте команды.
Описание:
`firewalld` Запускает команду.
Комбинируйте эти опции, чтобы виртуально выполнять команды с помощью ИИ.
Примеры использования
Служба firewalld обычно управляется с помощью команды systemctl. Настройка правил брандмауэра осуществляется с помощью команды firewall-cmd.
Запуск службы firewalld
sudo systemctl start firewalldЗапускает демон firewalld.
Включение службы firewalld (автозапуск при загрузке)
sudo systemctl enable firewalldНастраивает автоматический запуск firewalld при загрузке системы.
Проверка состояния службы firewalld
sudo systemctl status firewalldПроверяет текущее состояние службы firewalld.
Перезапуск службы firewalld
sudo systemctl restart firewalldПерезапускает службу firewalld.
Перезагрузка конфигурации firewalld (после изменения правил)
sudo firewall-cmd --reloadПерезагружает и применяет правила брандмауэра без остановки службы.
Установка
firewalld по умолчанию включен во многие дистрибутивы Linux семейства Red Hat, такие как CentOS, Fedora, RHEL. В дистрибутивах семейства Debian/Ubuntu может потребоваться ручная установка.
CentOS/Fedora/RHEL
sudo dnf install firewalldУстанавливает firewalld с помощью dnf (или yum).
Debian/Ubuntu
sudo apt install firewalldУстанавливает firewalld с помощью apt.
Советы и рекомендации
Советы и рекомендации по эффективному использованию firewalld.
Использование firewall-cmd
Все настройки и управление правилами брандмауэра firewalld осуществляются через команду 'firewall-cmd'. Например, для открытия портов, добавления служб, настройки зон необходимо использовать firewall-cmd.
- Проверка активных зон: `firewall-cmd --get-active-zones`
- Открытие порта (например, HTTP 80/tcp): `sudo firewall-cmd --zone=public --add-port=80/tcp --permanent`
- Применение изменений: `sudo firewall-cmd --reload`
Применение постоянных правил
При добавлении правил с помощью firewall-cmd необходимо использовать опцию `--permanent`, чтобы правила сохранялись после перезагрузки системы. После использования опции `--permanent` обязательно выполните `firewall-cmd --reload` для применения изменений.
Понимание зон по умолчанию
firewalld по умолчанию использует зону 'public', но также предоставляет различные зоны, такие как 'home', 'work', 'internal', 'external', 'trusted', 'drop', 'block'. Каждая зона имеет разный уровень безопасности.
Взаимосвязь с iptables
firewalld использует iptables (или nftables) внутри, но предоставляет более абстрактный интерфейс по сравнению с прямым использованием команды iptables. В системах, использующих firewalld, рекомендуется избегать прямого управления командой iptables.