Како да поставите заштитен ѕид користејќи FirewallD на CentOS 7


Вовед

Firewalld е решение за управување со заштитен ѕид достапно за многу дистрибуции на Линукс, кое делува како преден дел за системот за филтрирање на пакети iptables обезбеден од кернелот на Линукс. Во ова упатство, ќе опфатиме како да поставите заштитен ѕид за вашиот сервер и ќе ви ги покажеме основите за управување со заштитен ѕид со административната алатка firewall-cmd (ако сакате да користите iptables со CentOS, следете го ова упатство).

Забелешка: постои можност да работите со понова верзија на заштитниот ѕид отколку што беше достапна во моментот на пишувањето, или дека вашиот сервер е поставен малку поинаку од примерот на серверот што се користеше во текот на оваа водич. Однесувањето на некои од командите објаснети во ова упатство може да варира во зависност од вашата специфична конфигурација.

Основни концепти во Firewalld

Пред да започнеме да зборуваме за тоа како всушност да ја користиме алатката firewall-cmd за управување со конфигурацијата на вашиот заштитен ѕид, треба да се запознаеме со неколку основни концепти што ги воведува алатката.

Зони

Демонот firewalld управува со групи правила користејќи ентитети наречени \зони. Зоните се во основа збир на правила кои диктираат каков сообраќај треба да се дозволи во зависност од нивото на доверба во мрежите на кои е поврзан вашиот компјутер На мрежните интерфејси им е доделена зона за да го диктира однесувањето што треба да го дозволи заштитниот ѕид.

За компјутерите кои често се движат помеѓу мрежите (како лаптопите), овој вид на флексибилност обезбедува добар метод за менување на правилата во зависност од вашата околина. Можеби имате строги правила кои го забрануваат најголемиот дел од сообраќајот кога работите на јавна WiFi мрежа, додека дозволувате порелаксирани ограничувања кога сте поврзани на вашата домашна мрежа. За сервер, овие зони не се толку важни бидејќи мрежното опкружување ретко, ако некогаш, се менува.

Без оглед на тоа колку е динамична вашата мрежна околина, сепак е корисно да се запознаете со општата идеја зад секоја од претходно дефинираните зони за firewalld. Со цел од најмалку доверлив до најдоверлив, предефинираните зони во firewalld се:

  • пад: најниско ниво на доверба. Сите дојдовни врски се откажани без одговор и можни се само појдовни врски.
  • блок: Слично на горенаведеното, но наместо едноставно прекинување на врските, дојдовните барања се отфрлаат со icmp-host-prohibited или icmp6-adm- забранета порака.
  • јавно: Претставува јавни, недоверливи мрежи. Не им верувате на други компјутери, но може да дозволите избрани дојдовни врски од случај до случај.
  • надворешни: надворешни мрежи во случај да го користите заштитниот ѕид како ваш портал. Конфигуриран е за NAT маскирање така што вашата внатрешна мрежа останува приватна, но достапна.
  • внатрешна: другата страна на надворешната зона, што се користи за внатрешниот дел на портата. Компјутерите се прилично доверливи и некои дополнителни услуги се достапни.
  • dmz: Се користи за компјутери лоцирани во DMZ (изолирани компјутери кои нема да имаат пристап до остатокот од вашата мрежа). Дозволени се само одредени дојдовни врски.
  • работа: Се користи за работни машини. Верувајте им на повеќето компјутери во мрежата. Можеби ќе бидат дозволени уште неколку услуги.
  • дома: домашна средина. Тоа генерално имплицира дека им верувате на повеќето други компјутери и дека ќе бидат прифатени уште неколку услуги.
  • доверливо: верувајте на сите машини во мрежата. Најотворена од достапните опции и треба да се користи умерено.

За да го користиме заштитниот ѕид, можеме да креираме правила и да ги менуваме својствата на нашите зони, а потоа да ги доделиме нашите мрежни интерфејси на кои зони се најсоодветни.

Трајност на правилото

Во заштитен ѕид, правилата може да се назначат како постојани или непосредни. Ако се додаде или измени правило, стандардно, однесувањето на тековно работи заштитен ѕид се менува. При следното подигање, модификациите ќе бидат исфрлени и ќе се применат старите правила.

Повеќето операции firewall-cmd можат да го земат знамето --permanent за да укажат дека неефемерниот заштитен ѕид треба да биде насочен. Ова ќе влијае на множеството правила што повторно се вчитува при подигање. Ова раздвојување значи дека можете да ги тестирате правилата во вашиот активен огнен ѕид и потоа повторно да ги вчитате ако има проблеми. Можете исто така да го користите знамето --permanent за да изградите цел сет на правила со текот на времето што ќе се применат одеднаш кога ќе се издаде командата за повторно вчитување.

Инсталирајте и овозможете го вашиот заштитен ѕид да започне при подигање

firewalld е стандардно инсталиран на некои дистрибуции на Linux, вклучително и многу слики од CentOS 7. Сепак, можеби ќе биде потребно сами да го инсталирате заштитен ѕид:

  1. sudo yum install firewalld

Откако ќе го инсталирате firewalld, можете да ја овозможите услугата и да го рестартирате вашиот сервер. Имајте на ум дека овозможувањето заштитен ѕид ќе предизвика услугата да се стартува при подигнување. Најдобрата практика е да ги креирате вашите правила за заштитен ѕид и да ја искористите можноста да ги тестирате пред да го конфигурирате ова однесување за да избегнете потенцијални проблеми.

  1. sudo systemctl enable firewalld
  2. sudo reboot

Кога серверот ќе се рестартира, вашиот заштитен ѕид треба да се отвори, вашите мрежни интерфејси треба да се стават во зоните што сте ги конфигурирале (или да се вратат во конфигурираната стандардна зона), а сите правила поврзани со зоната (зоните) ќе се применат на поврзаните интерфејси.

Можеме да потврдиме дека услугата работи и е достапна со внесување:

  1. sudo firewall-cmd --state
Output
running

Ова покажува дека нашиот заштитен ѕид е отворен и работи со стандардната конфигурација.

Запознавање со тековните правила за заштитен ѕид

Пред да започнеме да правиме модификации, треба да се запознаеме со стандардното опкружување и правилата обезбедени од демонот.

Истражување на стандардните

Можеме да видиме која зона е моментално избрана како стандардна со внесување:

  1. firewall-cmd --get-default-zone
Output
public

Бидејќи не сме дале на firewalld никакви команди за отстапување од стандардната зона, и ниту еден од нашите интерфејси не е конфигуриран да се врзува за друга зона, таа зона исто така ќе биде единствената \активна зона (на зона која го контролира сообраќајот за нашите интерфејси). Можеме да го потврдиме тоа со внесување:

  1. firewall-cmd --get-active-zones
Output
public interfaces: eth0 eth1

Овде, можеме да видиме дека нашиот примерен сервер има два мрежни интерфејси кои се контролирани од заштитниот ѕид (eth0 и eth1). И двајцата во моментов се управуваат според правилата дефинирани за јавната зона.

Како да знаеме кои правила се поврзани со јавната зона? Можеме да ја испечатиме конфигурацијата на стандардната зона со впишување:

  1. sudo firewall-cmd --list-all
Output
public (default, active) target: default icmp-block-inversion: no interfaces: eth0 eth1 sources: services: ssh dhcpv6-client ports: protocols: masquerade: no forward-ports: source-ports: icmp-blocks: rich rules:

Од излезот можеме да кажеме дека оваа зона е и стандардна и активна и дека интерфејсите eth0 и eth1 се поврзани со оваа зона (сето ова веќе го знаевме од нашата претходни прашања). Сепак, можеме да видиме и дека оваа зона овозможува нормални операции поврзани со клиент DHCP (за доделување IP адреса) и SSH (за далечинско управување).

Истражување на алтернативни зони

Сега имаме добра идеја за конфигурацијата за стандардната и активна зона. Можеме да дознаеме информации и за други зони.

За да добиете листа на достапни зони, напишете:

  1. firewall-cmd --get-zones
Output
block dmz drop external home internal public trusted work

Можеме да ја видиме специфичната конфигурација поврзана со зона со вклучување на параметарот --zone= во нашата команда --list-all:

  1. sudo firewall-cmd --zone=home --list-all
Output
home target: default icmp-block-inversion: no interfaces: sources: services: dhcpv6-client mdns samba-client ssh ports: protocols: masquerade: no forward-ports: source-ports: icmp-blocks: rich rules:

Можете да ги дадете сите дефиниции на зоните со користење на опцијата --list-all-zones. Веројатно ќе сакате да го внесете излезот во пејџер за полесно гледање:

  1. sudo firewall-cmd --list-all-zones | less

Избор на зони за вашите интерфејси

Освен ако не сте ги конфигурирале вашите мрежни интерфејси поинаку, секој интерфејс ќе се стави во стандардната зона кога ќе се подигне заштитниот ѕид.

Промена на зоната на интерфејсот

Можете да префрлите интерфејс помеѓу зони за време на сесија со користење на параметарот --zone= во комбинација со параметарот --change-interface=. Како и со сите команди кои го менуваат заштитниот ѕид, ќе треба да користите sudo.

На пример, можеме да го префрлиме нашиот интерфејс eth0 во зоната „дома“ со внесување на ова:

  1. sudo firewall-cmd --zone=home --change-interface=eth0
Output
success

Забелешка: Секогаш кога префрлате интерфејс во нова зона, имајте предвид дека веројатно ги менувате услугите што ќе бидат оперативни. На пример, овде се префрламе во зоната „дома“, која има достапен SSH. Ова значи дека нашата врска не треба да падне. Некои други зони немаат стандардно овозможено SSH и ако вашата врска се прекине додека користите една од овие зони, може да се најдете дека не можете повторно да се најавите.

Можеме да потврдиме дека ова беше успешно со повторно барање за активните зони:

  1. firewall-cmd --get-active-zones
Output
home interfaces: eth0 public interfaces: eth1

Прилагодување на стандардната зона

Ако сите ваши интерфејси најдобро може да се ракуваат со една зона, веројатно е полесно да ја изберете најдобрата стандардна зона и потоа да ја користите за вашата конфигурација.

Можете да ја промените стандардната зона со параметарот --set-default-zone=. Ова веднаш ќе го смени секој интерфејс што се вратил на стандардно во новата зона:

  1. sudo firewall-cmd --set-default-zone=home
Output
success

Поставување правила за вашите апликации

Основниот начин за дефинирање на исклучоците од заштитен ѕид за услугите што сакате да ги ставите на располагање е прилично јасен. Овде ќе ја разгледаме основната идеја.

Додавање услуга во вашите зони

Наједноставниот метод е да ги додадете услугите или портите што ви се потребни во зоните што ги користите. Повторно, можете да добиете листа на достапни услуги со опцијата --get-services:

  1. firewall-cmd --get-services
Output
RH-Satellite-6 amanda-client amanda-k5-client bacula bacula-client bitcoin bitcoin-rpc bitcoin-testnet bitcoin-testnet-rpc ceph ceph-mon cfengine condor-collector ctdb dhcp dhcpv6 dhcpv6-client dns docker-registry dropbox-lansync elasticsearch freeipa-ldap freeipa-ldaps freeipa-replication freeipa-trust ftp ganglia-client ganglia-master high-availability http https imap imaps ipp ipp-client ipsec iscsi-target kadmin kerberos kibana klogin kpasswd kshell ldap ldaps libvirt libvirt-tls managesieve mdns mosh mountd ms-wbt mssql mysql nfs nrpe ntp openvpn ovirt-imageio ovirt-storageconsole ovirt-vmconsole pmcd pmproxy pmwebapi pmwebapis pop3 pop3s postgresql privoxy proxy-dhcp ptp pulseaudio puppetmaster quassel radius rpc-bind rsh rsyncd samba samba-client sane sip sips smtp smtp-submission smtps snmp snmptrap spideroak-lansync squid ssh synergy syslog syslog-tls telnet tftp tftp-client tinc tor-socks transmission-client vdsm vnc-server wbem-https xmpp-bosh xmpp-client xmpp-local xmpp-server

Забелешка: можете да добиете повеќе детали за секоја од овие услуги гледајќи ја нивната поврзана датотека .xml во /usr/lib/firewalld/services директориум. На пример, услугата SSH е дефинирана вака:

<?xml version="1.0" encoding="utf-8"?>
<service>
  <short>SSH</short>
  <description>Secure Shell (SSH) is a protocol for logging into and executing commands on remote machines. It provides secure encrypted communications. If you plan on accessing your machine remotely via SSH over a firewalled interface, enable this option. You need the openssh-server package installed for this option to be useful.</description>
  <port protocol="tcp" port="22"/>
</service>

Може да овозможите услуга за зона користејќи го параметарот --add-service=. Операцијата ќе ја таргетира стандардната зона или која било зона што е одредена со параметарот --zone=. Стандардно, ова само ќе ја прилагоди тековната сесија на заштитен ѕид. Можете да ја прилагодите конфигурацијата на постојан заштитен ѕид со вклучување на знамето --permanent.

На пример, ако работиме веб-сервер кој опслужува конвенционален HTTP сообраќај, можеме да го дозволиме овој сообраќај за интерфејси во нашата \јавна зона за оваа сесија со внесување:

  1. sudo firewall-cmd --zone=public --add-service=http

Можете да ја изоставите --zone= доколку сакате да ја измените стандардната зона. Можеме да потврдиме дека операцијата е успешна со користење на операциите --list-all или --list-services:

  1. sudo firewall-cmd --zone=public --list-services
Output
dhcpv6-client http ssh

Откако ќе тестирате дека сè работи како што треба, веројатно ќе сакате да ги измените правилата за постојан заштитен ѕид, така што вашата услуга сè уште ќе биде достапна по рестартирање. Можеме да ја направиме промената на нашата \„јавна“ зона трајна со впишување:

  1. sudo firewall-cmd --zone=public --permanent --add-service=http
Output
success

Можете да потврдите дека ова е успешно со додавање на знамето --permanent во операцијата --list-services. Треба да користите sudo за какви било операции --permanent:

  1. sudo firewall-cmd --zone=public --permanent --list-services
Output
dhcpv6-client http ssh

Вашата \јавна зона сега ќе дозволи веб-сообраќај на HTTP на портата 80. Ако вашиот веб-сервер е конфигуриран да користи SSL/TLS, ќе сакате да ја додадете и услугата https. Можеме да го додадеме тоа до тековната сесија и постојаното множество правила со пишување:

  1. sudo firewall-cmd --zone=public --add-service=https
  2. sudo firewall-cmd --zone=public --permanent --add-service=https

Што ако не е достапна соодветна услуга?

Услугите за заштитен ѕид кои се вклучени со инсталацијата на заштитен ѕид претставуваат многу од најчестите барања за апликации до кои можеби сакате да дозволите пристап. Сепак, најверојатно ќе има сценарија каде овие услуги не одговараат на вашите барања.

Во оваа ситуација, имате две опции.

Отворање пристаниште за вашите зони

Еден начин да додадете поддршка за вашата специфична апликација е да ги отворите портите што ги користи во соодветната зона(и). Ова се прави со одредување на опсегот на пристаништето или пристаништето и поврзаниот протокол за портите што треба да ги отворите.

На пример, ако нашата апликација работи на порта 5000 и користи TCP, би можеле да го додадеме ова во зоната \јавна за оваа сесија користејќи го параметарот --add-port=. Протоколите може да бидат или tcp или udp:

  1. sudo firewall-cmd --zone=public --add-port=5000/tcp
Output
success

Можеме да потврдиме дека ова беше успешно користејќи ја операцијата --list-ports:

  1. sudo firewall-cmd --zone=public --list-ports
Output
5000/tcp

Исто така, можно е да се определи секвенцијален опсег на порти со одвојување на почетната и завршната порта во опсегот со цртичка. На пример, ако нашата апликација користи UDP порти од 4990 до 4999, би можеле да ги отвориме на „јавно“ со внесување:

  1. sudo firewall-cmd --zone=public --add-port=4990-4999/udp

По тестирањето, веројатно би сакале да ги додадеме во постојаниот заштитен ѕид. Можете да го направите тоа со пишување:

  1. sudo firewall-cmd --zone=public --permanent --add-port=5000/tcp
  2. sudo firewall-cmd --zone=public --permanent --add-port=4990-4999/udp
  3. sudo firewall-cmd --zone=public --permanent --list-ports
Output
success success 5000/tcp 4990-4999/udp

Дефинирање на услуга

Отворањето порти за вашите зони е лесно, но може да биде тешко да се следи за што служи секоја од нив. Ако некогаш деактивирате услуга на вашиот сервер, можеби ќе ви биде тешко да запомните кои порти што се отворени сè уште се потребни. За да се избегне оваа ситуација, можно е да се дефинира услуга.

Услугите се збирки на пристаништа со поврзано име и опис. Користењето услуги е полесно за администрирање отколку пристаништата, но бара малку однапред работа. Добар начин за почеток е да копирате постоечка скрипта (најдена во /usr/lib/firewalld/services) во директориумот /etc/firewalld/services каде што изгледа заштитниот ѕид за нестандардни дефиниции.

На пример, би можеле да ја копираме дефиницијата на услугата SSH за да ја користиме за нашата дефиниција на услугата \пример вака. Името на датотеката минус наставката .xml ќе го диктира името на услугата во списокот со услуги на заштитен ѕид:

  1. sudo cp /usr/lib/firewalld/services/ssh.xml /etc/firewalld/services/example.xml

Сега, можете да ја прилагодите дефиницијата пронајдена во датотеката што сте ја копирале:

  1. sudo vi /etc/firewalld/services/example.xml

За почеток, датотеката ќе ја содржи дефиницијата за SSH што сте ја копирале:

<?xml version="1.0" encoding="utf-8"?>
<service>
  <short>SSH</short>
  <description>Secure Shell (SSH) is a protocol for logging into and executing commands on remote machines. It provides secure encrypted communications. If you plan on accessing your machine remotely via SSH over a firewalled interface, enable this option. You need the openssh-server package installed for this option to be useful.</description>
  <port protocol="tcp" port="22"/>
</service>

Поголемиот дел од оваа дефиниција се всушност метаподатоци. Ќе сакате да го промените краткото име за услугата во рамките на ознаките <short>. Ова е име за вашата услуга читливо од луѓе. Исто така, треба да додадете опис за да имате повеќе информации доколку некогаш треба да извршите ревизија на услугата. Единствената конфигурација што треба да ја направите, а која всушност влијае на функционалноста на услугата, најверојатно ќе биде дефиницијата на портата каде што ќе го идентификувате бројот на портата и протоколот што сакате да ги отворите. Ова може да се наведе повеќе пати.

За нашата услуга „пример“, замислете дека треба да ја отвориме портата 7777 за TCP и 8888 за UDP. Со внесување на режимот INSERT со притискање на i, можеме да ја измениме постоечката дефиниција со нешто како ова:

<?xml version="1.0" encoding="utf-8"?>
<service>
  <short>Example Service</short>
  <description>This is just an example service.  It probably shouldn't be used on a real system.</description>
  <port protocol="tcp" port="7777"/>
  <port protocol="udp" port="8888"/>
</service>

Притиснете ESC, потоа внесете :x за да ја зачувате и затворите датотеката.

Вчитајте го повторно вашиот заштитен ѕид за да добиете пристап до вашата нова услуга:

  1. sudo firewall-cmd --reload

Можете да видите дека сега е меѓу списокот на достапни услуги:

  1. firewall-cmd --get-services
Output
RH-Satellite-6 amanda-client amanda-k5-client bacula bacula-client bitcoin bitcoin-rpc bitcoin-testnet bitcoin-testnet-rpc ceph ceph-mon cfengine condor-collector ctdb dhcp dhcpv6 dhcpv6-client dns docker-registry dropbox-lansync elasticsearch example freeipa-ldap freeipa-ldaps freeipa-replication freeipa-trust ftp ganglia-client ganglia-master high-availability http https imap imaps ipp ipp-client ipsec iscsi-target kadmin kerberos kibana klogin kpasswd kshell ldap ldaps libvirt libvirt-tls managesieve mdns mosh mountd ms-wbt mssql mysql nfs nrpe ntp openvpn ovirt-imageio ovirt-storageconsole ovirt-vmconsole pmcd pmproxy pmwebapi pmwebapis pop3 pop3s postgresql privoxy proxy-dhcp ptp pulseaudio puppetmaster quassel radius rpc-bind rsh rsyncd samba samba-client sane sip sips smtp smtp-submission smtps snmp snmptrap spideroak-lansync squid ssh synergy syslog syslog-tls telnet tftp tftp-client tinc tor-socks transmission-client vdsm vnc-server wbem-https xmpp-bosh xmpp-client xmpp-local xmpp-server

Сега можете да ја користите оваа услуга во вашите зони како што обично би правеле.

Создавање сопствени зони

Иако претходно дефинираните зони веројатно ќе бидат повеќе од доволни за повеќето корисници, може да биде корисно да ги дефинирате вашите сопствени зони кои се повеќе описни за нивната функција.

На пример, можеби ќе сакате да креирате зона за вашиот веб-сервер, наречена \јавна веб. Сепак, можеби ќе сакате да имате конфигурирана друга зона за услугата DNS што ја обезбедувате на вашата приватна мрежа. Можеби ќе сакате зона наречена\privateDNS“ за тоа.

Кога додавате зона, мора да ја додадете во постојаната конфигурација на заштитен ѕид. Потоа можете повторно да ја вчитате за да ја внесете конфигурацијата во вашата трчачка сесија. На пример, би можеле да ги создадеме двете зони што ги разгледавме погоре со пишување:

  1. sudo firewall-cmd --permanent --new-zone=publicweb
  2. sudo firewall-cmd --permanent --new-zone=privateDNS

Можете да потврдите дека тие се присутни во вашата постојана конфигурација со внесување:

  1. sudo firewall-cmd --permanent --get-zones
Output
block dmz drop external home internal privateDNS public publicweb trusted work

Како што е наведено претходно, овие сè уште нема да бидат достапни во тековниот пример на заштитниот ѕид:

  1. firewall-cmd --get-zones
Output
block dmz drop external home internal public trusted work

Вчитајте го повторно заштитниот ѕид за да ги внесете овие нови зони во активната конфигурација:

  1. sudo firewall-cmd --reload
  2. firewall-cmd --get-zones
Output
block dmz drop external home internal privateDNS public publicweb trusted work

Сега, можете да започнете да ги доделувате соодветните услуги и пристаништа на вашите зони. Обично е добра идеја да се прилагоди активната инстанца и потоа да се префрлат тие промени во постојаната конфигурација по тестирањето. На пример, за зоната „јавна веб“, можеби ќе сакате да ги додадете услугите SSH, HTTP и HTTPS:

  1. sudo firewall-cmd --zone=publicweb --add-service=ssh
  2. sudo firewall-cmd --zone=publicweb --add-service=http
  3. sudo firewall-cmd --zone=publicweb --add-service=https
  4. sudo firewall-cmd --zone=publicweb --list-all
Output
publicweb target: default icmp-block-inversion: no interfaces: sources: services: ssh http https ports: protocols: masquerade: no forward-ports: source-ports: icmp-blocks: rich rules:

Исто така, можеме да ја додадеме услугата DNS во нашата \privateDNS зона:

  1. sudo firewall-cmd --zone=privateDNS --add-service=dns
  2. sudo firewall-cmd --zone=privateDNS --list-all
Output
privateDNS interfaces: sources: services: dns ports: masquerade: no forward-ports: icmp-blocks: rich rules:

Потоа би можеле да ги промениме нашите интерфејси во овие нови зони за да ги тестираме:

  1. sudo firewall-cmd --zone=publicweb --change-interface=eth0
  2. sudo firewall-cmd --zone=privateDNS --change-interface=eth1

Во овој момент, имате можност да ја тестирате вашата конфигурација. Ако овие вредности работат за вас, ќе сакате да ги додадете истите правила во постојаната конфигурација. Можете да го направите тоа со повторно применување на правилата со знаменцето --permanent:

  1. sudo firewall-cmd --zone=publicweb --permanent --add-service=ssh
  2. sudo firewall-cmd --zone=publicweb --permanent --add-service=http
  3. sudo firewall-cmd --zone=publicweb --permanent --add-service=https
  4. sudo firewall-cmd --zone=privateDNS --permanent --add-service=dns

Откако трајно ќе ги примените овие ваши правила, можете да ја рестартирате вашата мрежа и повторно да ја вчитате услугата за заштитен ѕид:

  1. sudo systemctl restart network
  2. sudo systemctl reload firewalld

Потврдете дека се доделени точните зони:

  1. firewall-cmd --get-active-zones
Output
privateDNS interfaces: eth1 publicweb interfaces: eth0

И потврдете дека соодветните услуги се достапни за двете зони:

  1. sudo firewall-cmd --zone=publicweb --list-services
Output
http https ssh
  1. sudo firewall-cmd --zone=privateDNS --list-services
Output
dns

Успешно поставивте свои зони! Ако сакате да направите една од овие зони стандардна за други интерфејси, не заборавајте да го конфигурирате тоа однесување со параметарот --set-default-zone=:

sudo firewall-cmd --set-default-zone=publicweb

Заклучок

Сега треба да имате прилично добро разбирање за тоа како да ја администрирате услугата заштитен ѕид на вашиот CentOS систем за секојдневна употреба.

Услугата за заштитен ѕид ви овозможува да конфигурирате правила за одржување и множества правила кои ја земаат предвид вашата мрежна околина. Тоа ви овозможува беспрекорна транзиција помеѓу различните политики за заштитен ѕид преку употреба на зони и им дава на администраторите можност да го апстрахираат управувањето со пристаништето во попријателски дефиниции за услуги. Стекнувањето работно познавање на овој систем ќе ви овозможи да ги искористите предностите на флексибилноста и моќта што ја обезбедува оваа алатка.