Přístup k určitým portům jsou blokovány nebo zrušeny firewallem, pokud nejsou přidány do zóny firewallu. Tento příspěvek popisuje kroky k přidání zdroje, služby a portů do zón firewallu v systémech CentOS/RHEL 7 a 8.
Přidání služby do zóny brány firewall
Přidání služby do zóny je nejjednodušší způsob konfigurace brány firewall.
– Chcete-li povolit přístup k nové službě, použijte možnost služby „–přidat službu“.
– Zahrňte „–trvalé “, aby bylo pravidlo trvalé po restartování.
Například pro přidání služeb kokpit, dhcpv6-client, http, https, vnc-server a ssh do vnitřní zóny byste použili následující příkaz:
# firewall-cmd --add-service cockpit --zone=internal --permanent # firewall-cmd --add-service dhcpv6-client --zone=internal --permanent # firewall-cmd --add-service http --zone=internal --permanent # firewall-cmd --add-service https --zone=internal --permanent # firewall-cmd --add-service vnc-server --zone=internal --permanent # firewall-cmd --add-service ssh --zone=internal --permanent
Spravujte příchozí provoz do zóny na základě zdroje provozu
Chcete-li povolit příchozí provoz z odesílajícího uzlu, použijte následující příkaz:
# firewall-cmd --add-source=10.1.2.3 --zone=internal --permanent
Správa síťového provozu
– Síťový provoz přes služby zóny využívá porty těchto služeb.
– Porty by měly být otevřeny pro příjem provozu, můžete otevřít další porty pro síťový přístup zadáním čísla portu a souvisejícího protokolu.
– Použijte „–add-port ” možnost povolit přístup ke konkrétním portům. Porty musí být specifikovány ve formátu:číslo-portu/typ-portu.
– Typy portů mohou být tcp, udp, sctp nebo dccp.
– Zajistěte, aby se typ a síťový provoz shodovaly.
– Chcete-li například přidat porty 1522, 7001, 5901, 443 a 80 přes tcp a port 53 přes udp, použijte následující příkaz:
# firewall-cmd --zone=internal --add-port=1522/tcp --add-port=7001/tcp --add-port=5901/tcp --add-port=443/tcp --add-port=80/tcp --add-port=53/udp --permanent
Znovu načtěte konfiguraci
Po provedení všech změn konfiguraci znovu načtěte, aby se z aktuální trvalé konfigurace stala nová konfigurace běhového prostředí.
# firewall-cmd --reload
Seznam konfigurace zóny
Chcete-li vypsat vše přidané nebo povolené v „interní“ zóně, použijte následující příkaz:
# firewall-cmd --list-all --zone=internal internal target: default icmp-block-inversion: no interfaces: sources: 10.1.2.3 services: cockpit dhcpv6-client http https ssh vnc-server ports: 1522/tcp 7001/tcp 5901/tcp 443/tcp 80/tcp 53/udp protocols: masquerade: no forward-ports: source-ports: icmp-blocks: rich rules: