Firewalld — различия между версиями
Материал из pNp Wiki
Andy (обсуждение | вклад) |
Andy (обсуждение | вклад) |
||
| Строка 12: | Строка 12: | ||
# В противном случае, будет использована зона по-умолчанию. Зона по-умолчанию не отдельная зона, поэтому она указывает на другую зону в системе. | # В противном случае, будет использована зона по-умолчанию. Зона по-умолчанию не отдельная зона, поэтому она указывает на другую зону в системе. | ||
Если поведение по-умолчанию не изменено администратором, либо конфигурацией <code>NetworkManager'а</code>, то зона по-умолчанию для каждого нового | Если поведение по-умолчанию не изменено администратором, либо конфигурацией <code>NetworkManager'а</code>, то зона по-умолчанию для каждого нового | ||
| − | интерфейса в системе становится зона <code>public</code>. <code>firewalld</code> поставляется с некоторым количеством зон. Для управления | + | интерфейса в системе становится зона <code>public</code>. <code>firewalld</code> поставляется с некоторым количеством сконфигурированных зон. Для управления |
файрволлом используется команда <code>firewall-cmd</code>. Конфигурационные файлы <code>firewalld</code> находятся в директории <code>/etc/firewalld/</code> | файрволлом используется команда <code>firewall-cmd</code>. Конфигурационные файлы <code>firewalld</code> находятся в директории <code>/etc/firewalld/</code> | ||
| + | |||
| + | ==== Сконфигрурированные зоны для firewalld ==== | ||
| + | |||
| + | {| class="wikitable" | ||
| + | |- | ||
| + | ! Параметр !! Значение | ||
| + | |- | ||
| + | | work || Предназначено для использования в рабочем пространстве. Остальные компьютеры сети, по большей части, считаются надёжными (с точки зрения причинения вреда вашему ПК). Разрешены лишь отдельные входящие соединения (<code>ssh, ipp-client, или dhcpv6-client</code>). | ||
| + | |- | ||
| + | | drop || Все входящие сетевые пакеты сбрасываются, ответ на них недопустим. Возможны только исходящие сетевые соединения. | ||
| + | |- | ||
| + | | internal || Предназначено для использования во "внутренних" сетях. Остальные компьютеры сети, по большей части, считаются надёжными (с точки зрения причинения вреда вашему ПК). Разрешены лишь отдельные входящие соединения (<code>ssh, mdns, ipp-client, samba-client, или dhcpv6-client</code>). | ||
| + | |- | ||
| + | | external || Предназначено для использования во "внешних" сетях с активированным режимом маскарадинга, особенно с применением роутеров. Остальные компьютеры сети считаются ненадёжными (с точки зрения причинения вреда вашему ПК). Разрешены лишь отдельные входящие соединения (<code>ssh</code>). | ||
| + | |- | ||
| + | | trusted || Разрешены все сетевые соединения. | ||
| + | |- | ||
| + | | home || Предназначено для использования в домашних сетях. Остальные компьютеры сети, по большей части, считаются надёжными (с точки зрения причинения вреда вашему ПК). Разрешены лишь отдельные входящие соединения (<code>ssh, mdns, ipp-client, samba-client, или dhcpv6-client</code>). | ||
| + | |- | ||
| + | | dmz || Предназначено для компьютеров в личной "безоружной" зоне с ограниченным доступом к внутренней сети. Разрешены лишь отдельные входящие соединения (<code>ssh</code>). | ||
| + | |- | ||
| + | | public || Предназначено для использования в общественных местах. Остальные компьютеры сети считаются ненадёжными (с точки зрения причинения вреда вашему ПК). Разрешены лишь отдельные входящие соединения (<code>ssh и dhcpv6-client</code>). Зона по-умолчанию для новых сетевых интерфейсов. | ||
| + | |- | ||
| + | | block || Все входящие сетевые соединения отклоняются с сообщениями <code>icmp-host-prohibited</code> (для IPv4) и <code>icmp6-adm-prohibited</code> (для IPv6). Возможны только инициированные в рамках данной системы сетевые соединения. | ||
| + | |- | ||
| + | |} | ||
Версия 14:54, 20 февраля 2018
Содержание
Настройка правил файрволла firewalld
Предварительные требования
- Виртуальная машина с двумя сетевыми интерфейсами
- Установленные пакеты:
firewalld,firewalld-filesystem
Общая информация
firewalld разделяет весь входящий трафик на зоны, где каждой зоне соответствует свой набор правил.
Для проверки принадлежности входящих соединений зоне, используется следующая логика, в которой побеждает первое совпадение:
- Исходный адрес входящего пакета совпадает с исходным правилом настройки зоны, в таком случае пакет отправляется на обработку в данной зоне.
- Если исходный интерфейс для пакета совпадает с правилами настройки зоны - эта зона будет использована
- В противном случае, будет использована зона по-умолчанию. Зона по-умолчанию не отдельная зона, поэтому она указывает на другую зону в системе.
Если поведение по-умолчанию не изменено администратором, либо конфигурацией NetworkManager'а, то зона по-умолчанию для каждого нового
интерфейса в системе становится зона public. firewalld поставляется с некоторым количеством сконфигурированных зон. Для управления
файрволлом используется команда firewall-cmd. Конфигурационные файлы firewalld находятся в директории /etc/firewalld/
Сконфигрурированные зоны для firewalld
| Параметр | Значение |
|---|---|
| work | Предназначено для использования в рабочем пространстве. Остальные компьютеры сети, по большей части, считаются надёжными (с точки зрения причинения вреда вашему ПК). Разрешены лишь отдельные входящие соединения (ssh, ipp-client, или dhcpv6-client).
|
| drop | Все входящие сетевые пакеты сбрасываются, ответ на них недопустим. Возможны только исходящие сетевые соединения. |
| internal | Предназначено для использования во "внутренних" сетях. Остальные компьютеры сети, по большей части, считаются надёжными (с точки зрения причинения вреда вашему ПК). Разрешены лишь отдельные входящие соединения (ssh, mdns, ipp-client, samba-client, или dhcpv6-client).
|
| external | Предназначено для использования во "внешних" сетях с активированным режимом маскарадинга, особенно с применением роутеров. Остальные компьютеры сети считаются ненадёжными (с точки зрения причинения вреда вашему ПК). Разрешены лишь отдельные входящие соединения (ssh).
|
| trusted | Разрешены все сетевые соединения. |
| home | Предназначено для использования в домашних сетях. Остальные компьютеры сети, по большей части, считаются надёжными (с точки зрения причинения вреда вашему ПК). Разрешены лишь отдельные входящие соединения (ssh, mdns, ipp-client, samba-client, или dhcpv6-client).
|
| dmz | Предназначено для компьютеров в личной "безоружной" зоне с ограниченным доступом к внутренней сети. Разрешены лишь отдельные входящие соединения (ssh).
|
| public | Предназначено для использования в общественных местах. Остальные компьютеры сети считаются ненадёжными (с точки зрения причинения вреда вашему ПК). Разрешены лишь отдельные входящие соединения (ssh и dhcpv6-client). Зона по-умолчанию для новых сетевых интерфейсов.
|
| block | Все входящие сетевые соединения отклоняются с сообщениями icmp-host-prohibited (для IPv4) и icmp6-adm-prohibited (для IPv6). Возможны только инициированные в рамках данной системы сетевые соединения.
|
