Открыть заявку в службу поддержки
Круглосуточная поддержка клиентов
Открыть заявку в службу поддержки
Русский
Firewalld – это мощный инструмент управления брандмауэром, используемый в таких дистрибутивах Linux, как CentOS, RHEL и Fedora. Он предоставляет гибкий и динамичный способ управления правилами брандмауэра, позволяя пользователям эффективно определять политики безопасности. Одной из ключевых особенностей Firewalld являются расширенные правила, которые обеспечивают более детальный контроль над сетевым трафиком по сравнению со стандартными правилами.
Что такое насыщенные правила в Firewalld?
Богатые правила – это расширенный метод определения политик брандмауэра, предлагающий дополнительные возможности фильтрации, такие как:
- Указание адресов источника и назначения
- Разрешение или отклонение трафика на основе протоколов или портов
- Определение правил протоколирования и аудита
- Установка ограничений скорости и действий для определенных соединений
Расширенные правила позволяют администраторам создавать тонкие политики безопасности, выходящие за рамки базовых правил, основанных на зонах и службах.
Проверка существующих правил
Чтобы проверить, есть ли в настоящее время настроенные правила, выполните следующую команду:
firewall-cmd --list-rich-rulesЭто отобразит все правила, которые в данный момент активны в брандмауэре.
Добавление насыщенного правила
Чтобы добавить новое правило, используйте следующий синтаксис:
firewall-cmd --permanent --add-rich-rule='rule family="ipv4"
source address="192.168.1.100" service name="ssh" accept'Это правило разрешает SSH-трафик с определенного IP-адреса (192.168.1.100).
После добавления правила перезагрузите Firewalld, чтобы применить изменения:
firewall-cmd --reloadБлокирование трафика с помощью правила
Чтобы заблокировать трафик с определенного IP-адреса, используйте команду:
firewall-cmd --permanent --add-rich-rule='rule family="ipv4"
адрес источника="192.168.1.200" drop'Это правило будет молча отбрасывать весь трафик с адреса 192.168.1.200 без отправки ответа.
Разрешение трафика для определенного порта и протокола
Чтобы разрешить трафик для определенного порта и протокола, например HTTP на порту 80:
firewall-cmd --permanent --add-rich-rule='rule family="ipv4"
source address="192.168.1.0/24" port protocol="tcp" port="80" accept'Это правило разрешает HTTP-трафик с любого устройства в подсети 192.168.1.0/24.
Регистрация и аудит трафика
Для регистрации отброшенных пакетов в целях мониторинга используйте:
firewall-cmd --permanent --add-rich-rule='rule family="ipv4"
source address="192.168.1.150" drop log prefix="[FIREWALL-DROP]" level="info"'Это правило отбрасывает трафик с адреса 192.168.1.150 и записывает его в журнал с префиксом [FIREWALL-DROP].
Удаление насыщенного правила
Чтобы удалить конкретное правило, используйте команду:
firewall-cmd --permanent --remove-rich-rule='rule family="ipv4"
source address="192.168.1.100" service name="ssh" accept'Затем перезагрузите Firewalld:
firewall-cmd --reloadЛучшие практики управления насыщенными правилами
- Всегда тестируйте новые правила брандмауэра, прежде чем применять их на постоянной основе.
- Используйте правила протоколирования для мониторинга и анализа заблокированного трафика.
- Регулярно пересматривайте правила брандмауэра для обеспечения соответствия требованиям безопасности.
- Ограничьте доступ к критическим службам по IP-адресам или подсетям.
Заключение
Управление насыщенными правилами в Firewalld обеспечивает гибкий и мощный способ контроля сетевого трафика с помощью тонкой фильтрации. Независимо от того, разрешаете ли вы определенные IP-адреса, блокируете несанкционированный трафик или регистрируете соединения, подробные правила помогают повысить безопасность и поддерживать целостность сети.