Tűzfalak konfigurálása a Red Hatban
A kamarai virtuális gépek operációs rendszerként Red Hat Enterprise Linuxot futtatnak. Alapértelmezés szerint a tűzfal úgy van konfigurálva, hogy az összes bejövő kapcsolatot megtagadja, kivéve a felügyelt szolgáltatásokat. A bejövő kommunikáció engedélyezéséhez szabályokat kell hozzáadni a tűzfalhoz a forgalom áthaladásához. Hasonlóképpen, ha egy szabályra már nincs szükség, el kell távolítani.
Ez a cikk a leggyakoribb tűzfalkonfigurációs parancsokat ismerteti. A teljes dokumentációt vagy összetettebb forgatókönyveket a 40. fejezetben találja . A Red Hat Enterprise Linux 8 dokumentációjának használata és konfigurálása firewalld .
Az itt hivatkozott műveletekhez jogosultságok szükségesek sudo , ezért a kamarai rendszergazdai szerepkörre van szükség.
Fontos
A virtuális gépek csak ugyanabban a kamrában lévő többi virtuális géppel tudnak kommunikálni. A kamrák közötti forgalom soha nem engedélyezett, és a tűzfalszabályok módosítása nem teszi lehetővé a kamrák közötti forgalmat.
Előfeltételek
- Egy kamarai rendszergazdai szerepkörrel rendelkező felhasználói fiók.
Az összes megnyitott port listázása
Sorolja fel az összes jelenleg megnyitott portot és a társított protokollt.
$ sudo firewall-cmd --list-all
public (active)
target: default
icmp-block-inversion: no
interfaces: eth0
sources:
services: cockpit dhcpv6-client ssh
ports: 6817-6819/tcp 60001-63000/tcp
protocols:
forward: no
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
Portok megnyitása a forgalom számára
A hálózati forgalomhoz egyetlen vagy egymást követő porttartományt nyithat meg. firewall-d A módosítások ideiglenesek, és nem maradnak meg, ha a szolgáltatás újraindul vagy újratöltődik, hacsak nincs véglegesítve.
Egyetlen port megnyitása
Nyisson meg egy portot firewalld egy adott protokollhoz a --add-port=portnumber/porttype beállítás használatával. Ez a példa megnyitja az 5510/TCP-portot.
$ sudo firewall-cmd --add-port=33500/tcp
success
Véglegesítse a szabályt az állandó készletben:
$ sudo firewall-cmd --runtime-to-permanent
success
Porttartomány megnyitása
Nyisson meg egy porttartományt firewalld egy megadott protokollhoz a --add-port=startport-endport/porttype beállítással. Ez a parancs olyan elosztott számítási helyzetekben hasznos, ahol a feldolgozók nagy számú csomópontra kerülnek, és több feldolgozó is ugyanazon a fizikai csomóponton található. Ez a példa 100 egymást követő portot nyit meg az 5000-s porttól kezdve az UDP protokollal.
$ sudo firewall-cmd --add-port=5000-5099/udp
success
Véglegesítse a szabályt az állandó készletben:
$ sudo firewall-cmd --runtime-to-permanent
success
Portszabályok eltávolítása
Ha a szabályokra már nincs szükség, azokat ugyanazzal a jelöléssel lehet eltávolítani, mint a hozzáadást és a --remove-port=portnumber/porttypehasználatát. Ez a példa egyetlen portot távolít el:
$ sudo firewall-cmd --remove-port=33500/tcp
success
Véglegesítse a szabályt az állandó készletben:
$ sudo firewall-cmd --runtime-to-permanent
success