Voisimme yrittää aloittaa palomuurin määritelmästä, jota tarvitaan ”porttisanaston” ymmärtämiseksi. Palomuuri on ohjelmisto tai laiteohjelmisto, joka panee täytäntöön joukon sääntöjä siitä, mitkä datapaketit saavat tulla verkkoon tai lähteä verkosta. Se vastaa porttien Allow- ja Deny-sääntöjen hallinnasta.
Tämän oppaan aiheen mukaisesti haluaisimme avata portteja Linux-jakeluissa, kuten Ubuntussa tai CentOSissa. Molemmat distrot mahdollistavat sen määrittämisen erilaisilla työkaluilla (palomuuripaketit), mutta samoilla tuloksilla.
Työkalut, joita tulemme käyttämään:
– UFW
– Firewalld
Katsotaan ensin Ubuntun skenaariota:
Tämässä jakelussa on oletusarvoisesti esiasennettuna palvelu UFW(Uncomplicated Firewall). Se yksinkertaistaa koko konfigurointia ja on käyttäjäystävällinen jokaiselle.
Tarkista palvelun tila tavallisella systemctl-komennolla:
$ sudo systemctl status ufw
Ota UFW käyttöön enable-komennolla:
$ sudo ufw enable
Syntaksi tietyn TCP-portin avaamiseksi:
$ sudo ufw allow (port)/tcp
esimerkiksi:
$ sudo ufw allow 53/tcp
Syntaksi tukee myös nimiä, jotka viittaavat tiettyihin portteihin:
$ sudo ufw allow https
Lupaa saapuvat tcp- ja udp-paketit porttiin 21 kirjoittamalla:
$ sudo ufw allow 21
Esimerkki tietylle IP-osoitteelle:
$ sudo ufw allow from 190.34.21.113 to any port
Tarkistetaan konfiguraatio:
$ sudo ufw status verbose
Komento näyttää alustavan taulukon, jossa on kolme saraketta:
Esittelyt:
– To – kuvaa kyseistä protokollaa
– Action – kertoo onko se sallittu vai kielletty
– From – kertoo lähteestä e.g mistä tahansa tai yhdestä ip-osoitteesta kuten edellä on esitetty
Nyt on jo CentOS:n aika:
Firewalld on kehittyneempi työkalu, joka käyttää vyöhykkeitä konfiguroinnissaan. Niiden tehtävänä on huolehtia jostain alueesta tai yhdestä ”liitetystä” verkkoliitännästä.
Firewalld on iptablesin frontend-ohjain, jota käytetään pysyvien verkkoliikennesääntöjen toteuttamiseen.
Katsotaanpa joukko komentoja, jotka kehittävät firewalldia.
1. Käynnistä palvelumme stardand systemctl-komennolla:
$ sudo systemctl start firewalld
Ota se käyttöön:
$ sudo systemctl enable firewalld
Tämä komento ilmoittaa meille palvelun tilan. Se voi näyttää vain kaksi lausetta: ”
$ sudo firewall-cmd --state
Default zone is public. Tässä lyhyessä opetusohjelmassa emme muuta sitä, mutta jos haluat, niin käytä näitä komentoja:
$ sudo firewall-cmd --set-default-zone=work
Kokeillaan lisätä tcp-liikennettä porttiin 1112:
$ sudo firewall-cmd --zone=public --add-port=1112/tcp --permanent
Lataamiseksi uudelleen ja saadaksemme nuo muutokset voimaan välittömästi meidän on ladattava firewalld-tila uudelleen.
$ sudo firewall-cmd --reload
Pystymme saamaan luettavissa olevan katsauksen uuteen sääntöömme listauskomennolla:
Salliaksemme ssh-yhteyden tietyllä Ipv4:llä meidän on käytettävä syntaksia, jossa on ”rich rule”