Konfigurasjon av brannmur med firewalld på Rocky Linux 9
Introduksjon
En brannmur er en kritisk sikkerhetskomponent som beskytter datasystemer og nettverk mot uautorisert tilgang. Den fungerer som et skjold mellom en datamaskin eller et nettverk og eksterne aktører, og overvåker nettverkstrafikk som kommer inn og ut, basert på et definert sett med regler.
Firewalld er en dynamisk brannmur som benyttes i mange Linux-distribusjoner, inkludert Rocky Linux 9. Den tilbyr et enkelt grensesnitt for å konfigurere brannmurregler og har avanserte funksjoner som soner og tjenester.
Denne veiledningen gir deg en steg-for-steg forklaring på hvordan du installerer og setter opp firewalld på Rocky Linux 9. Vi vil dekke følgende områder:
- Installere firewalld
- Konfigurere brannmursoner
- Åpne og lukke porter
- Aktivere portviderekobling
- Konfigurere MASQUERADE for NAT
- Feilsøke problemer med brannmuren
Installasjon av firewalld
Firewalld er ikke forhåndsinstallert på Rocky Linux 9. For å installere det, bruk denne kommandoen:
sudo dnf install firewalld
Start deretter firewalld-tjenesten og aktiver den slik at den starter ved oppstart:
sudo systemctl start firewalld
sudo systemctl enable firewalld
Konfigurering av brannmursoner
I firewalld representerer soner forskjellige sikkerhetsnivåer. Hver sone har sine egne spesifikke brannmurregler som bestemmer hvilken trafikk som er tillatt.
Som standard setter firewalld opp tre soner:
- public: En usikker sone for grensesnitt som er koblet til internett.
- internal: En sikker sone for interne grensesnitt.
- dmz: En demilitarisert sone for grensesnitt som er tilgjengelige både fra interne og eksterne nettverk.
For å se en liste over tilgjengelige soner, kjør denne kommandoen:
sudo firewall-cmd --get-zones
For å opprette en ny sone, bruk --new-zone kommandoen:
sudo firewall-cmd --new-zone=egen-sone
Åpning og lukking av porter
For å tillate innkommende eller utgående trafikk på en spesifikk port, må du åpne den relevante porten i firewalld.
For å åpne en port for innkommende trafikk, bruk kommandoen --add-port:
sudo firewall-cmd --add-port=80/tcp --permanent
For å åpne en port for utgående trafikk, bruk kommandoen --add-masquerade (merk at masquerade ikke er direkte knyttet til utgående porter, men til NAT):
sudo firewall-cmd --add-masquerade=80/tcp --permanent
For å fjerne en brannmurregel, bruk kommandoen --remove-port:
sudo firewall-cmd --remove-port=80/tcp --permanent
Aktivering av portviderekobling
Portviderekobling lar deg styre innkommende trafikk fra en ekstern port til en intern port. Dette er nyttig hvis du vil gjøre en tjeneste på en intern server tilgjengelig fra internett.
For å aktivere portviderekobling, bruk kommandoen --forward-port:
sudo firewall-cmd --forward-port=80/tcp:8080/tcp --permanent
Konfigurering av MASQUERADE for NAT
MASQUERADE er en brannmurfunksjon som lar deg konvertere private IP-adresser til offentlige IP-adresser. Dette er nødvendig for å la maskiner i et privat nettverk få tilgang til internett.
For å sette opp MASQUERADE for NAT, bruk kommandoen --add-masquerade:
sudo firewall-cmd --add-masquerade --permanent
Feilsøking av brannmurproblemer
Hvis du opplever problemer med firewalld, kan du bruke følgende kommandoer for feilsøking:
- Sjekk statusen til firewalld-tjenesten:
sudo systemctl status firewalld
- List opp de aktive brannmurreglene:
sudo firewall-cmd --list-all
- Se loggmeldingene for firewalld:
sudo journalctl -u firewalld
Konklusjon
Firewalld er et kraftig og enkelt verktøy for å sette opp og vedlikeholde brannmurer i Rocky Linux 9. Ved å følge instruksjonene i denne veiledningen kan du beskytte din datamaskin eller nettverk mot uautorisert tilgang og sikre at nettverkstrafikken behandles på en sikker måte.
Ofte stilte spørsmål
1. Hva er forskjellen mellom en brannmur og en IDS/IPS?
En brannmur er en statisk sikkerhetsmekanisme som bruker et sett med regler for å kontrollere nettverkstrafikk. En IDS/IPS er en dynamisk sikkerhetsmekanisme som identifiserer og forhindrer sikkerhetstrusler ved å overvåke nettverkstrafikk etter mistenkelig aktivitet.
2. Hvilke standard soner finnes i firewalld?
public, internal og dmz
3. Hvordan oppretter jeg en ny sone i firewalld?
sudo firewall-cmd --new-zone=egen-sone
4. Hvordan åpner jeg en port for innkommende trafikk?
sudo firewall-cmd --add-port=80/tcp --permanent
5. Hvordan åpner jeg en port for utgående trafikk?
sudo firewall-cmd --add-masquerade=80/tcp --permanent
6. Hva er portviderekobling, og hvordan aktiverer jeg det?
Portviderekobling omadresserer innkommende trafikk fra en ekstern port til en intern port. For å aktivere det, bruk:
sudo firewall-cmd --forward-port=80/tcp:8080/tcp --permanent
7. Hva er MASQUERADE, og hvordan setter jeg det opp?
MASQUERADE oversetter private IP-adresser til offentlige IP-adresser. For å sette det opp, bruk:
sudo firewall-cmd --add-masquerade --permanent
8. Hvordan feilsøker jeg brannmurproblemer?
Kjør disse kommandoene:
- Sjekk status:
sudo systemctl status firewalld - List regler:
sudo firewall-cmd --list-all - Se logger:
sudo journalctl -u firewalld