Giunsa Pagpugong ang Pag-access sa Network Gamit ang FirewallD

Isip usa ka tiggamit sa Linux, mahimo kang mopili sa pagtugot o pagpugong sa pag-access sa network sa pipila ka mga serbisyo o mga IP address gamit ang firewalld firewall nga lumad sa CentOS/RHEL 8 ug kadaghanan sa RHEL based distributions sama sa Fedora.

Ang firewalld firewall naggamit sa firewall-cmd command-line utility aron ma-configure ang mga lagda sa firewall.

Sa dili pa kita makahimo sa bisan unsa nga mga pag-configure, atong palihokon una ang serbisyo sa firewalld gamit ang systemctl utility sama sa gipakita:

$ sudo systemctl enable firewalld

Kung mahimo na, mahimo nimong sugdan ang serbisyo sa firewalld pinaagi sa pagpatuman:

$ sudo systemctl start firewalld

Mahimo nimong pamatud-an ang kahimtang sa firewalld pinaagi sa pagpadagan sa mando:

$ sudo systemctl status firewalld

Ang output sa ubos nagpamatuod nga ang firewalld nga serbisyo anaa ug nagdagan.

Pag-configure sa mga Lagda gamit ang Firewalld

Karon nga naa na miy firewalld nga nagdagan, makadiretso na mi sa paghimo sa pipila ka mga configuration. Gitugotan ka sa Firewalld nga idugang ug i-block ang mga pantalan, blacklist, ingon man whitelist IP, mga adres aron mahatagan ang access sa server. Kung nahuman na ang mga pag-configure, siguruha kanunay nga i-reload nimo ang firewall aron ma-epekto ang bag-ong mga lagda.

Aron makadugang ug port, isulti ang port 443 para sa HTTPS, gamita ang syntax sa ubos. Timan-i nga kinahanglan nimong ipiho kung ang pantalan usa ka TCP o UDP nga pantalan pagkahuman sa numero sa pantalan:

$ sudo firewall-cmd --add-port=22/tcp --permanent

Sa susama, aron makadugang ug UDP port, ipiho ang opsyon sa UDP sama sa gipakita:

$ sudo firewall-cmd --add-port=53/udp --permanent

Ang --permanent nga bandila nagsiguro nga ang mga lagda magpadayon bisan human sa usa ka reboot.

Aron babagan ang TCP port, sama sa port 22, padagana ang command.

$ sudo firewall-cmd --remove-port=22/tcp --permanent

Sa susama, ang pagbabag sa usa ka pantalan sa UDP magsunod sa parehas nga syntax:

$ sudo firewall-cmd --remove-port=53/udp --permanent

Ang mga serbisyo sa network gihubit sa file nga /etc/services. Aron tugutan ang usa ka serbisyo sama sa https, ipatuman ang mando:

$ sudo firewall-cmd --add-service=https

Aron babagan ang usa ka serbisyo, pananglitan, FTP, ipatuman:

$ sudo firewall-cmd --remove-service=https

Aron tugotan ang usa ka IP address tabok sa firewall, ipatuman ang mando:

$ sudo firewall-cmd --permanent --add-source=192.168.2.50

Mahimo usab nimo tugotan ang usa ka range sa mga IP o usa ka tibuuk nga subnet gamit ang usa ka CIDR (Classless Inter-Domain Routing) nga notasyon. Pananglitan sa pagtugot sa tibuok subnet sa 255.255.255.0 subnet, ipatuman.

$ sudo firewall-cmd --permanent --add-source=192.168.2.0/24

Kung gusto nimong tangtangon ang usa ka gi-whitelist nga IP sa firewall, gamita ang bandila nga --remove-source sama sa gipakita:

$ sudo firewall-cmd --permanent --remove-source=192.168.2.50

Alang sa tibuok subnet, pagdagan:

$ sudo firewall-cmd --permanent --remove-source=192.168.2.50/24

Sa pagkakaron, among nakita kung giunsa nimo pagdugang ug pagtangtang ang mga pantalan ug serbisyo ingon man ang pag-whitelist ug pagtangtang sa mga na-whitelist nga IP. Aron babagan ang usa ka IP address, ang 'dato nga mga lagda' gigamit alang niini nga katuyoan.

Pananglitan aron babagan ang IP 192.168.2.50 ipadagan ang mando:

$ sudo firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='192.168.2.50' reject"

Aron babagan ang tibuok subnet, pagdagan:

$ sudo firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='192.168.2.0/24' reject"

Kung nakahimo ka ug bisan unsang mga pagbag-o sa mga lagda sa firewall, kinahanglan nimo nga ipadagan ang mando sa ubos aron magamit dayon ang mga pagbag-o:

$ sudo firewall-cmd --reload

Aron masusi ang tanan nga mga lagda sa firewall, ipatuman ang mando:

$ sudo firewall-cmd --list-all

Kini nagtapos niini nga giya kon unsaon pagtugot o pagpugong sa pag-access sa network gamit ang FirewallD sa CentOS/RHEL 8. Kami nanghinaut nga imong nakita nga kini nga giya makatabang.