Linux'ta Güvenlik Duvarını Yapılandırmak ve Yönetmek için Faydalı 'FirewallD' Kuralları
Firewalld, Linux'ta, güvenlik duvarının yeniden başlatılmasına gerek kalmadan anında uygulanabilen dinamik güvenlik duvarı kurallarını yapılandırmanın bir yolunu sağlar ve ayrıca yapılandırmayı kolaylaştıran D-BUS ve bölge kavramlarını da destekler.
Güvenlik duvarı, eski Fedora'nın güvenlik duvarı (Fedora 18 sonrası) mekanizmasının yerini aldı, RHEL/CentOS 7 ve diğer en yeni dağıtımların kullandığı bu yeni mekanizma. Yeni güvenlik duvarı sisteminin getirilmesinin en büyük sebeplerinden biri, eski güvenlik duvarının her değişiklikten sonra yeniden başlatılması gerekmesi ve dolayısıyla tüm aktif bağlantıların kesilmesidir. Yukarıda belirtildiği gibi, en son güvenlik duvarı dinamik bölgeleri destekler; bu, ofisiniz veya ev ağınız için farklı bölge ve kural kümelerinin bir komut satırı aracılığıyla veya bir GUI yöntemi kullanılarak yapılandırılmasında yararlı olur.
Başlangıçta, güvenlik duvarı konseptinin yapılandırılması çok zor görünüyor, ancak hizmetler ve bölgeler, bu makalede anlatıldığı gibi ikisini bir arada tutarak bunu kolaylaştırıyor.
Firewalld ve bölgeleriyle nasıl oynanacağını gördüğümüz önceki makalemizde, şimdi bu makalede, mevcut Linux sistemlerinizi komut satırı kullanarak yapılandırmak için bazı yararlı güvenlik duvarı kuralları göreceğiz.
- RHEL/CentOS 7'de Güvenlik Duvarı Yapılandırması
Bu makalede ele alınan tüm örnekler CentOS 7 dağıtımında pratik olarak test edilmiştir ve ayrıca RHEL ve Fedora dağıtımlarında da çalışmaktadır.
Güvenlik duvarı kurallarını uygulamadan önce güvenlik duvarı hizmetinin etkin ve çalışır durumda olup olmadığını kontrol ettiğinizden emin olun.
systemctl status firewalld
Yukarıdaki resim güvenlik duvarının aktif ve çalıştığını göstermektedir. Artık tüm aktif bölgeleri ve aktif hizmetleri kontrol etme zamanı.
firewall-cmd --get-active-zones
firewall-cmd --get-services
Komut satırına aşina değilseniz, güvenlik duvarını GUI'den de yönetebilirsiniz, bunun için sistemde GUI paketinin kurulu olması gerekir, eğer kurmadıysanız aşağıdaki komutu kullanarak kurun.
yum install firewalld firewall-config
Yukarıda da belirtildiği gibi, bu makale özellikle komut satırı sevenler için yazılmıştır ve ele alacağımız tüm örnekler yalnızca komut satırına dayanmaktadır, GUI yolu yoktur.. kusura bakmayın…..
Daha ileri gitmeden önce, aşağıdaki komutu kullanarak Linux güvenlik duvarını hangi ortak bölgede yapılandıracağınızı doğruladığınızdan ve genel bölge için tüm aktif hizmetleri, bağlantı noktalarını, zengin kuralları listelediğinizden emin olun.
firewall-cmd --zone=public --list-all
Yukarıdaki resimde henüz eklenmiş aktif bir kural yok, bu yazının geri kalan kısmında kuralların nasıl ekleneceği, kaldırılacağı ve değiştirileceğine bakalım….
1. Firewalld'a Bağlantı Noktaları Ekleme ve Kaldırma
Ortak bölgeye herhangi bir bağlantı noktasını açmak için aşağıdaki komutu kullanın. Örneğin, aşağıdaki komut genel bölge için 80 numaralı bağlantı noktasını açacaktır.
firewall-cmd --permanent --zone=public --add-port=80/tcp
Benzer şekilde, eklenen bağlantı noktasını kaldırmak için aşağıda gösterildiği gibi güvenlik duvarı komutuyla '–remove' seçeneğini kullanmanız yeterlidir.
firewall-cmd --zone=public --remove-port=80/tcp
Belirli bağlantı noktalarını ekledikten veya kaldırdıktan sonra, '–list-ports' seçeneğini kullanarak bağlantı noktasının eklendiğini veya kaldırıldığını doğruladığınızdan emin olun.
firewall-cmd --zone=public --list-ports
2. Firewalld'a Hizmet Ekleme ve Kaldırma
Varsayılan olarak güvenlik duvarı önceden tanımlanmış hizmetlerle birlikte gelir; belirli hizmetlerin bir listesini eklemek istiyorsanız, dosyaya dahil edilen tüm hizmetleri içeren yeni bir xml dosyası oluşturmanız gerekir; aksi takdirde, aşağıdakileri çalıştırarak her hizmeti manuel olarak tanımlayabilir veya kaldırabilirsiniz. komutlar.
Örneğin, aşağıdaki komutlar, bu örnekte FTP için yaptığımız gibi, belirli hizmetleri eklemenize veya kaldırmanıza yardımcı olacaktır.
firewall-cmd --zone=public --add-service=ftp
firewall-cmd --zone=public --remove-service=ftp
firewall-cmd --zone=public --list-services
3. Gelen ve Giden Paketleri Engelleyin (Panik Modu)
Herhangi bir gelen veya giden bağlantıyı engellemek istiyorsanız, bu tür istekleri engellemek için 'panikleme' modunu kullanmanız gerekir. Örneğin, aşağıdaki kural sistemdeki mevcut kurulu bağlantıyı kesecektir.
firewall-cmd --panic-on
Panik modunu etkinleştirdikten sonra herhangi bir alana ping atmayı deneyin (google.com diyelim) ve '–query-panicAÇIK olup olmadığını kontrol edin >' seçeneğini aşağıda listelendiği gibi seçin.
ping google.com -c 1
firewall-cmd --query-panic
Yukarıdaki resimde gördüğünüz panik sorgusu “Bilinmeyen ana bilgisayar google.com” diyor. Şimdi panik modunu devre dışı bırakmayı deneyin ve ardından bir kez daha ping atıp kontrol edin.
firewall-cmd --query-panic
firewall-cmd --panic-off
ping google.com -c 1
Şimdi bu sefer google.com'dan ping isteği gelecek..