Відкрити заявку підтримки
Цілодобова підтримка клієнтів
Відкрити заявку підтримки
Українська
Захист вашого сервера Linux за допомогою брандмауера з багатими правилами
Керування мережевою безпекою має вирішальне значення під час запуску додатків або сервісів на сервері Linux, особливо на високопродуктивній платформі, як ava.hosting. Firewalld, динамічний інструмент керування брандмауером, що використовується в таких дистрибутивах, як CentOS, RHEL і Fedora, пропонує потужний контроль за допомогою функції розширених правил. Розширені правила дозволяють створювати точні, деталізовані політики для захисту вашого сервера, що виходять далеко за межі базових налаштувань брандмауера. Наприклад, ви можете використовувати розширені правила, щоб дозволити доступ до SSH на сервері ava.hosting лише з IP-адреси вашого офісу, захистивши його від несанкціонованого доступу. У цьому посібнику розглядаються розширені правила брандмауера Firewalld, способи їх застосування та найкращі практики для захисту вашого середовища ava.hosting.
Що таке розширені правила в Firewalld?
Розширені правила – це розширений метод визначення політик брандмауера, який пропонує додаткові параметри фільтрації, такі як
- Вказівка адреси джерела та призначення
- Дозвіл або відхилення трафіку на основі протоколів або портів
- Визначення правил ведення журналів і аудиту
- Встановлення обмежень швидкості та дій для певних з’єднань
Розширені правила дозволяють адміністраторам створювати тонко налаштовані політики безпеки, що виходять за рамки базових правил для зон і служб.
Перевірка наявних розширених правил
Щоб перевірити, чи налаштовано розширені правила, виконайте наступну команду:
firewall-cmd --list-rich-rulesВона покаже всі розширені правила, які наразі активні у брандмауері.
Додавання розширеного правила
Щоб додати нове розширене правило, використовуйте наступний синтаксис:
firewall-cmd --permanent --add-rich-rule='rule family="ipv4"
source address="192.168.1.100" service name="ssh" accept'Це правило дозволяє SSH-трафік з певної IP-адреси (192.168.1.100).
Після додавання правила перезавантажте Firewalld для застосування змін:
firewall-cmd --reloadБлокування трафіку за допомогою розширеного правила
Щоб заблокувати трафік з певної IP-адреси, використовуйте:
firewall-cmd --permanent --add-rich-rule='rule family="ipv4"
source address="192.168.1.200" drop'Це правило буде мовчки відкидати весь трафік з адреси 192.168.1.200, не надсилаючи відповіді.
Дозвіл трафіку для певного порту і протоколу
Дозволяє трафік для певного порту і протоколу, наприклад, HTTP на порту 80:
firewall-cmd --permanent --add-rich-rule='rule family="ipv4"
source address="192.168.1.0/24" port protocol="tcp" port="80" accept'Це правило дозволяє HTTP-трафік з будь-якого пристрою в підмережі 192.168.1.0/24.
Журналювання та аудит трафіку
Для реєстрації втрачених пакетів з метою моніторингу використовуйте:
firewall-cmd --permanent --add-rich-rule='rule family="ipv4"
source address="192.168.1.150" drop log prefix="[FIREWALL-DROP]" level="info"'Це правило відкидає трафік з адреси 192.168.1.150 і записує його в журнал з префіксом [FIREWALL-DROP].
Видалення розширеного правила
Щоб видалити певне правило, використовуйте
firewall-cmd --permanent --remove-rich-rule='rule family="ipv4"
source address="192.168.1.100" service name="ssh" accept'Потім перезавантажте Firewalld:
firewall-cmd --reloadНайкращі практики для керування розширеними правилами
- Завжди тестуйте нові правила брандмауера, перш ніж застосовувати їх постійно.
- Використовуйте правила ведення журналів для моніторингу та аналізу заблокованого трафіку.
- Регулярно переглядайте правила брандмауера, щоб забезпечити відповідність вимогам безпеки.
- Обмежте доступ до критично важливих служб за IP-адресою або підмережею.
Висновок
Розширені правила Firewalld пропонують неперевершену гнучкість для захисту мережевого трафіку на вашому сервері Linux, що робить їх обов’язковим інструментом для адміністраторів. Незалежно від того, чи обмежуєте ви SSH одним IP, чи дозволяєте HTTP для довіреної підмережі, чи реєструєте спроби несанкціонованого доступу, розширені правила дають вам змогу створити точну політику безпеки. Наприклад, ви можете заблокувати шкідливу IP-адресу, щоб захистити свій додаток, розміщений на ava.hosting, або реєструвати трафік, щоб усунути проблеми зі з’єднанням. Опанувавши розширені правила та використовуючи надійну інфраструктуру ava.hosting, ви зможете забезпечити безпеку, ефективність і стійкість вашого сервера до загроз.
Related Posts
Як я можу перенаправляти і переписувати свої URL-адреси за допомогою файлу .htaccess?
Якщо ви працюєте з веб-сайтом на сервері Apache, файл .htaccess є одним з найпотужніших інструментів у вашому розпорядженні. Він дозволяє...
Які команди допомагають очистити кеш Git?
Очищення кешу Git — це процес видалення тимчасових даних, які зберігаються в локальному сховищі Git. Ці дані можуть включати зміни...
Використання команди sleep у Bash-скриптах на Linux
Під час написання Bash-скриптів на Linux є багато випадків, коли вам може знадобитися ввести паузу або затримку у виконанні. Незалежно...