আমি সেন্টোস fire ফায়ারওয়াল যেমন সেট করতে চাই যে, আমি শ্বেত তালিকাভুক্ত আইপি ঠিকানাগুলি বাদ দিয়ে সমস্ত আগত অনুরোধগুলি অবরুদ্ধ করা হবে। এবং হাইটলিস্টের আইপি অ্যাড্রেসের জন্য সমস্ত পোর্ট অ্যাক্সেসযোগ্য হওয়া উচিত।
আমি কয়েকটি সমাধান সমাধান করতে সক্ষম (তারা কাজ করবে কিনা তা নিশ্চিত নয়) iptablesতবে CentOS 7 টি ব্যবহার করে firewalld। firewall-cmdকমান্ড দিয়ে অর্জন করার মতো কিছু আমি খুঁজে পাচ্ছি না ।
ইন্টারফেসগুলি পাবলিক জোনে। আমি ইতিমধ্যে সমস্ত পরিষেবাগুলি পাবলিক জোনে স্থানান্তরিত করেছি।
উত্তর:
আমি একটি জোনে উত্স যোগ করে এটি সম্পাদন করব। আপনার অঞ্চলের জন্য কোন উত্স রয়েছে তা প্রথম চেকআউট করুন:
firewall-cmd --permanent --zone=public --list-sources
যদি কিছু না থাকে তবে আপনি এগুলি যুক্ত করতে শুরু করতে পারেন, এটি আপনার "শ্বেত তালিকা"
firewall-cmd --permanent --zone=public --add-source=192.168.100.0/24
firewall-cmd --permanent --zone=public --add-source=192.168.222.123/32
(এটি সম্পূর্ণ /24এবং একটি একক আইপি যুক্ত করে, সুতরাং আপনার কাছে একটি সাবনেট এবং একটি আইপি উভয়েরই রেফারেন্স রয়েছে)
আপনি যে পোর্টগুলি খুলতে চান তার সীমা নির্ধারণ করুন:
firewall-cmd --permanent --zone=public --add-port=1-22/tcp
firewall-cmd --permanent --zone=public --add-port=1-22/udp
এটি ঠিক 1 থেকে 22 পর্যন্ত পোর্টগুলি করে you' আপনি চাইলে আপনি এটি আরও প্রশস্ত করতে পারেন।
এখন, আপনি যা করেছেন তা পুনরায় লোড করুন।
firewall-cmd --reload
এবং আপনার কাজ পরীক্ষা করুন:
firewall-cmd --zone=public --list-all
পার্শ্ব নোট / সম্পাদকীয়: এটি কোনও ব্যাপার নয় তবে আমি ফায়ারওয়াল্ডের আইপিগুলির সাদা তালিকাভুক্ত সেটটির জন্য "বিশ্বাসযোগ্য" অঞ্চলটি পছন্দ করি। অঞ্চল বেছে নেওয়ার বিষয়ে রেডহ্যাটের পরামর্শগুলি পড়ে আপনি আরও মূল্যায়ন করতে পারেন ।
আরো দেখুন:
আপনি যদি DROPএই উত্সের বাইরে প্যাকেট রাখতে চান তবে /24আমি আগে যেমন উদাহরণ হিসাবে ব্যবহৃত হয়েছিল তাদের বাইরে ফেলে দেওয়ার জন্য এখানে একটি উদাহরণ দেওয়া আছে, আপনি এর জন্য সমৃদ্ধ বিধিগুলি ব্যবহার করতে পারেন , আমি বিশ্বাস করি। এটি ধারণাগত, আমি এটি পরীক্ষা করে দেখিনি (সেন্টোস 7 কমান্ডটি স্বীকার করে নেওয়ার চেয়ে আরও বেশি), তবে পিসি্যাপ করার পক্ষে যথেষ্ট সহজ হওয়া উচিত এবং এটি কীভাবে আপনি প্রত্যাশা করতেন তা আচরণ করে কিনা
firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" source address="192.168.100.0/24" invert="True" drop'
এমনকি যদি কোনও উত্তর গৃহীত হয়েছে এবং ভোট দেওয়া হয়েছে, তবে আমি এটি সঠিক বলে মনে করি না। আমি ডকুমেন্টেশনে পরিষ্কার ব্যাখ্যা পেতে ব্যর্থ, তবে বাস্তবায়িত আচরণ থেকে এটি দেখতে এরকম দেখাচ্ছে:
সুতরাং উত্তরটি হবে:
উদাহরণস্বরূপ, ধরে নেওয়া ডিফল্ট অঞ্চলটি সর্বজনীন এবং কোনও খোলা বন্দর নেই, উত্স এবং বন্দর পরিসরটি "কর্ম" জোনে যুক্ত করুন:
$ sudo firewall-cmd --zone=work --add-source=192.168.0.0/24
$ sudo firewall-cmd --zone=work --add-port=8080-8090/tcp
এখন সক্রিয় অঞ্চলগুলি পরীক্ষা করুন (ডিফল্ট অঞ্চল সর্বদা সক্রিয় থাকে):
$ sudo firewall-cmd --get-active-zones
তুমি পাবে:
work
sources: 192.168.0.0/24
সুতরাং "ওয়ার্ক" জোন বিধিগুলি নির্দিষ্ট সাবনেটের ক্ষেত্রে প্রযোজ্য। অনুরোধ অনুসারে আপনার "শ্বেতলিস্ট" = সাবনেটের জন্য খোলা পোর্টগুলির একটি পরিসীমা থাকবে । এবং অবশ্যই আচরণ স্টিক করতে বিবৃতিতে --permanentবিকল্প ব্যবহার করুন --add-xxx।
পরিবর্তে আপনার "সার্বজনীন" (ডিফল্ট) জোনে থাকা যে কোনও বন্দর বা পরিষেবাগুলি সমস্ত ইন্টারফেস এবং উত্স ঠিকানাগুলিতে প্রয়োগ হবে।
$ sudo firewall-cmd --list-all-zones
public (default)
interfaces:
sources:
services:
ports:
masquerade: no
forward-ports:
icmp-blocks:
rich rules:
work (active)
interfaces:
sources: 192.168.0.0/24
services: dhcpv6-client ipp-client ssh
ports: 8080-8090/tcp
masquerade: no
forward-ports:
icmp-blocks:
rich rules:
একই সিস্টেমটি ইন্টারফেসের জন্য কাজ করে। "ওয়ার্ক" জোনে ইন্টারফেস "ens3" যুক্ত করে বলুন:
$ sudo firewall-cmd --zone=work --add-interface=ens3
আপনি "ইন্টারফেস" এর চেয়ে বেশি রুক্ষ নির্বাচনকারী - নির্দিষ্ট ইন্টারফেসের যে কোনও অনুরোধের জন্য "ওয়ার্ক" জোন বিধি ব্যবহার করবেন।
sourcesশ্বেতলিস্ট থাকা সত্ত্বেও বন্দরগুলি অ্যাক্সেসযোগ্য ছিল । কারণটি ছিল জোনটির একটি ইন্টারফেস নির্ধারিত ছিল।
publicজোন থেকে সমস্ত ডিফল্ট পরিষেবা অপসারণ করা দরকার , যদি কোনও হয় ( publicডিফল্টরূপে জোনে ইন্টারফেস নির্ধারিত হয়ে থাকে তবে এই পরিষেবাগুলি সমস্ত ঠিকানার জন্য উপলব্ধ থাকবে )। বা অন্যটিতে ডিফল্ট অঞ্চল পরিবর্তন করুন: blockবা drop(এটি সাধারণ অনুশীলন)। অথবা publicজোন লক্ষ্য পরিবর্তন করুন %%REJECT%%বা DROP।
দাবি অস্বীকার: আমি এখানে যা বলছি তা আমি আসলে চেষ্টা করে দেখিনি, তবে এটি আমার শেষ ফায়ারওয়াল্ড সেটআপের প্রায় কাছাকাছি, তাই আমি এটিকে ছাড়ছি। ফায়ারওয়াল্ড আপনাকে কেবলমাত্র এই উদ্দেশ্যে কয়েকটি প্রি-কনফিগার করা জোন সরবরাহ করে। "ড্রপ" নামে একটি রয়েছে, যা কিছু আসে না কেন, এবং "বিশ্বস্ত" বলে ডাকে, যা কোনও সংযোগের অনুমতি দেয় (যেমন, আপনার এমনকি পৃথক বন্দরগুলিও খোলার দরকার নেই, আমি মনে করি)। কৌশলটি আপনি যা চান তার জন্য ট্রিগার করার জন্য সঠিক অঞ্চল পাচ্ছে।
ফায়ারওয়াল্ড নিম্নলিখিত অঞ্চলের উপর ভিত্তি করে একটি জোনের জন্য বিধিগুলি প্রয়োগ করবে:
সুতরাং, প্রথমে, আপনি আপনার বিশ্বস্ত আইপি এর "বিশ্বস্ত" জোনে আবদ্ধ করতে চান:
firewall-cmd --permanent --zone=trusted --add-source=1.2.3.4
তারপরে, হয় আপনার ডিফল্ট অঞ্চলটিকে "ড্রপ" এ সেট করুন বা আপনার ইন্টারফেসটিকে এটিতে আবদ্ধ করুন:
firewall-cmd --permanent --set-default-zone=drop
firewall-cmd --permanent --zone=drop --change-interface=eth0
এবং তারপরে পরিবর্তনগুলি কার্যকর করে নিন (সতর্কতা: এটি সম্ভবত আপনার সংযোগটি ড্রপ করে দেবে যদি আপনি এটি নেটওয়ার্কের মাধ্যমে করছেন এবং আপনি যদি আপনার উত্স আইপি বিশ্বস্ত জোনে যোগ না করেন):
firewall-cmd --reload
অবশ্যই, আপনি "- স্থায়ী" বাদ দিয়ে সাময়িকভাবে এগুলিও পরীক্ষা করতে পারেন (এবং তারপরে আপনাকে --reload করতে হবে না)।
blockdropআপনি যদি অন্য হোস্টকে তাদের সাথে কথা বলছেন না তা বলতে চাইলে (পরিবর্তে ) ও ব্যবহার করা যেতে পারে ....
আমি আমার ফায়ারওয়ালগুলি এই পদ্ধতিতে পরিচালনা করি। আপনি যা চান তা পূরণ করার জন্য আমার পছন্দের পদ্ধতিটি এখানে।
# firewall-cmd --list-all
আপনি দেখতে পাবেন যে আপনার ডিফল্ট অঞ্চলটি সর্বজনীন এবং সক্ষম পরিষেবাগুলি ডিএইচসিপিভি 6-ক্লায়েন্ট এবং এসএসএস। আমরা কোনও পাবলিক সার্ভিস উপলভ্য চাই না, তাই না? কেবল শ্বেত তালিকাভুক্ত আইপি অনুমোদিত। সুতরাং আসুন দুটি সরকারী পরিষেবা সরান।
# firewall-cmd --zone=public --remove-service=ssh --permanent
# firewall-cmd --zone=public --remove-service=dhcpv6-client --permanent
এখন, আসুন একটি নির্দিষ্ট আইপি শ্বেত তালিকাভুক্ত করুন যা কোনও বন্দরটিতে অ্যাক্সেস দেয়।
#firewall-cmd --permanent --zone=public --add-rich-rule='rule family="ipv4" source address="xx.xx.xx.xx" accept'
এখন, আর একটি আইপি শ্বেত তালিকাভুক্ত করা যাক, আমরা কেবল এসএসএইচ, এইচপি, এবং https অ্যাক্সেস পেতে চাই। অন্য কোনও বন্দর নেই।
#firewall-cmd --permanent --zone=public --add-rich-rule='rule family="ipv4" source address="xx.xx.xx.xx" service name="ssh" accept'
#firewall-cmd --permanent --zone=public --add-rich-rule='rule family="ipv4" source address="xx.xx.xx.xx" service name="http" accept'
#firewall-cmd --permanent --zone=public --add-rich-rule='rule family="ipv4" source address="xx.xx.xx.xx service name="https" accept'
আপনি যদি এসএসএইচের মাধ্যমে সংযোগ করছেন তবে আপনার নতুন বিধি সেট প্রয়োগ করার আগে আপনার আইপি অনুমোদিত করার বিষয়ে নিশ্চিত হন। নতুন নিয়ম প্রয়োগ করতে প্রস্তুত।
#firewall-cmd --reload
আপনি রিচ রুল দ্বারা সহজেই পরিচালনা করতে পারেন।
প্রথম ধাপ
firewall-cmd --permanent --set-default-zone=home
firewall-cmd --permanent --zone=drop --change-interface=eth0
দ্বিতীয় ধাপ - সমৃদ্ধ বিধি যুক্ত করুন
firewall-cmd --permanent --zone=home --add-rich-rule='rule family="ipv4" source address="192.168.78.76/32" accept'
আপনি সমৃদ্ধ নিয়ম যোগ করার পরে এবং অন্যান্য উত্স থেকে প্রতিটি বন্দরকে অবরুদ্ধ করে রাখার পরে সমস্ত বন্দর 192.168.2.2 দ্বারা অ্যাক্সেসযোগ্য।
আপনি যদি নীচের কমান্ডের মাধ্যমে কোনও বন্দর বা পরিষেবা যুক্ত করেন তবে এটি সমস্ত উত্স দ্বারা অ্যাক্সেসযোগ্য হবে।
firewall-cmd --zone=public --add-service=ssh
firewall-cmd --zone=public --add-port=8080
আপনি যদি নীচের কমান্ডের চেয়ে নির্দিষ্ট আইপির জন্য নির্দিষ্ট পোর্টটি খুলতে চান
firewall-cmd --permanent --zone=home --add-rich-rule='rule family="ipv4" port="8080/tcp" source address="192.168.78.76/32" accept'
ডগবিটিভি থেকে শীর্ষ উত্তরটি ভুল। আমি তার উত্তরের জবাব দিতে পারছি না কারণ আমার কাছে এখনও প্রয়োজনীয় পুনরাবৃত্তি নেই তাই আমি এখানে ব্যাখ্যা করব:
তিনি ডিফল্ট অঞ্চলটি "পাবলিক" ব্যবহার করছেন। তিনি সেই জোনটিতে নেটওয়ার্কগুলি বেঁধে রাখছেন এবং তারপরে সেই জোনটিতে পোর্টগুলি খুলছেন। তবে, একটি ডিফল্ট কনফিগারেশনে, সমস্ত ট্র্যাফিক ডিফল্ট অঞ্চল দিয়ে যায়, আপনি যে সোর্স নেটওয়ার্কগুলিতে এটি বেঁধে রাখেন তা নয়। সুতরাং তার - ADD- উত্স কমান্ডগুলি কোনও পার্থক্য করে না এবং তার - ADD-Port কমান্ডগুলি এখন সমস্ত বিশ্বকে সেই পোর্টগুলি অ্যাক্সেস করার অনুমতি দিয়েছে।
নরমন্ডস কালনার্বিনস-এর দ্বিতীয় উত্তরটি সঠিক। আপনি একটি পৃথক জোন তৈরি করতে চান, আপনার নেটওয়ার্ক / আইপি'কে সেই জোনে বেঁধে রাখতে এবং সেই জোনে পোর্টগুলি খুলতে চান।
বিকল্পভাবে, আপনি ডিফল্ট জোনে সবকিছু ছেড়ে যেতে পারেন এবং নির্দিষ্ট আইপি এর অ্যাক্সেসের অনুমতি দেওয়ার জন্য ফায়ারওয়াল্ডের সমৃদ্ধ নিয়মগুলি ব্যবহার করতে পারেন:
firewall-cmd --add-rich-rule='rule family="ipv4" source address="192.168.2.2" accept'
এটি 192.168.2.2 থেকে সমস্ত বন্দরগুলিতে সমস্ত ট্র্যাফিকের অনুমতি দেয় এবং যেহেতু আমি কোনও অঞ্চল নির্দিষ্ট না করায় এটি ডিফল্ট অঞ্চল "পাবলিক" এ প্রয়োগ করা হবে (আপনার ডিফল্ট অঞ্চলটি কী তা যাচাই করতে --get-default- অঞ্চল ব্যবহার করুন এবং - বর্তমানে কোন অঞ্চলগুলি ব্যবহার হচ্ছে তা দেখতে সক্রিয়-অঞ্চলগুলি পান get
এই আইপি থেকে কেবলমাত্র একটি নির্দিষ্ট বন্দরে অ্যাক্সেসের অনুমতি দেওয়ার জন্য আমি করব:
firewall-cmd --add-rich-rule='rule family="ipv4" source address="192.168.2.2" port port="1234" protocol="tcp" accept'
সেরা অনুশীলন হ'ল - স্থায়ী (বা সংক্ষেপে - স্পার্ম) ছাড়াই এই আদেশগুলি পরিচালনা করা যা বর্তমানে চলমান ফায়ারওয়ালকে প্রভাবিত করে। আপনার নিয়মটি কাজ করছে তা পরীক্ষার পরে, এটিকে আবার - স্পার্ম সংযুক্ত করে চালান যাতে এটি পরবর্তী ফায়ারওয়াল্ড পুনরায় লোডগুলিতে মনে পড়ে।
শুধু নরমন্ডস উত্তর যুক্ত করতে:
$ sudo firewall-cmd --permanent --zone=work --add-source=172.16.0.0/12
$ sudo firewall-cmd --permanent --zone=work --add-port=8080-8090/tcp
অন্যান্য সমস্ত ট্র্যাফিক অবরোধ করতে:
$ sudo firewall-cmd --set-default-zone=drop
সতর্কতা: আপনি যদি রিমোট মেশিন থেকে অ্যাক্সেস করেন তবে এটি আপনার লগইন সেশনটি সংযোগ বিচ্ছিন্ন করতে পারে। আপনি যদি 'ওয়ার্ক' জোন আইপি সেটআপটি সঠিকভাবে না পান তবে আপনি আপনার সার্ভারের সাথে সংযোগ করতে সক্ষম হবেন না।
ফায়ারওয়ালটি পুনরায় লোড করতে:
$ sudo firewall-cmd --reload
'--Add-rich-नियम' দিয়ে কীভাবে দুটি পৃথক আইপি যুক্ত করব তা আমি বুঝতে পারি না।
ipsetমত firewall-cmd --permanent --new-ipset=blacklist --type=hash:ipসঙ্গে ipset করার অ্যাড আইপিএস firewall-cmd --ipset=blacklist --add-entry=192.168.1.4তারপর আপনি ব্যবহার করতে পারেনfirewall-cmd --add-rich-rule='rule source ipset=blacklist drop'
আমি আশ্চর্য হয়েছি বিশ্বস্ত জোন উত্তরগুলি নির্বাচিত উত্তর নয়। বিশ্বস্ত অঞ্চলে ডিফল্ট "টার্গেট: এসিসিপিটি" থাকে বাকিগুলি "টার্গেট: ডিফল্ট" থাকে। যদিও এটি প্রকৃতপক্ষে কোনও ব্যাপার নয় এটির নাম এবং ডিফল্ট টার্গেট মানের কারণে এটি উদ্দিষ্ট পদ্ধতি বলে মনে হয়।
কীভাবে একটি বাক্স দ্রুত লকড করবেন যাতে কেবল আপনি এটি অ্যাক্সেস করতে পারেন:
firewall-cmd --zone=trusted --add-source=1.2.3.4
firewall-cmd --zone=trusted --add-source=5.6.7.8/24
firewall-cmd --zone=drop --change-interface=eth1
firewall-cmd --set-default-zone=drop
firewall-cmd --runtime-to-permanent
firewall-cmd --reload
firewall-cmd --list-all-zones
সমস্ত অঞ্চল তালিকাভুক্ত করার পরে আপনার এমন কিছু দেখতে পাওয়া উচিত:
trusted (active)
target: ACCEPT
icmp-block-inversion: no
sources: 1.2.3.4 5.6.7.8/24
masquerade: no
drop (active)
target: DROP
icmp-block-inversion: no
interfaces: eth1
masquerade: no
দ্রষ্টব্য: আমি নাল / হারিয়ে যাওয়া মান সহ লাইনগুলি সরিয়েছি। গুরুত্বপূর্ণ বিষয় হ'ল বিশ্বস্ত এবং ড্রপ উভয়ই (সক্রিয়) এবং ড্রপের আপনার সার্বজনীন ইন্টারফেস রয়েছে।
এটি প্রদর্শনের জন্য iptables কী করে:
Chain INPUT_ZONES_SOURCE (1 references)
target prot opt source destination
IN_trusted all -- 1.2.3.4 0.0.0.0/0
IN_trusted all -- 5.6.7.8/24 0.0.0.0/0
Chain INPUT_ZONES (1 references)
target prot opt source destination
IN_drop all -- 0.0.0.0/0 0.0.0.0/0
IN_drop all -- 0.0.0.0/0 0.0.0.0/0
IN_drop all -- 0.0.0.0/0 0.0.0.0/0