Rozumný firewall je první linií obrany vašeho počítače proti vniknutí do sítě. Když jste doma, pravděpodobně se nacházíte za firewallem zabudovaným do routeru dodaného poskytovatelem internetových služeb. Když jste mimo domov, máte k dispozici pouze firewall, který běží na vašem počítači, takže je důležité nakonfigurovat a ovládat firewall na vašem počítači se systémem Linux. Pokud provozujete linuxový server, je stejně důležité vědět, jak spravovat firewall, abyste jej mohli chránit před nežádoucím provozem lokálně i vzdáleně.
Nainstalujte bránu firewall
Mnoho distribucí Linuxu se dodává s již nainstalovaným firewallem a tradičně to byl iptables . Je extrémně efektivní a přizpůsobitelný, ale jeho konfigurace může být složitá. Naštěstí vývojáři vytvořili několik frontendů, které uživatelům pomáhají ovládat jejich firewall bez psaní dlouhých pravidel iptables.
Ve Fedoře, CentOS, Red Hat a podobných distribucích je ve výchozím nastavení nainstalovaný software brány firewall firewalld , který se konfiguruje a ovládá pomocí firewall-cmd příkaz. Na Debianu a většině ostatních distribucí je firewalld k dispozici pro instalaci z vašeho softwarového úložiště. Ubuntu se dodává s Uncomplicated Firewall (ufw), takže pro použití firewallu musíte povolit vesmír úložiště:
$ sudo add-apt-repository universe
$ sudo apt install firewalld
Musíte také deaktivovat ufw:
$ sudo systemctl disable ufwNení důvod ne použít ufw. Je to vynikající firewall frontend. Tento článek se však zaměřuje na firewall kvůli jeho široké dostupnosti a integraci do systemd, který je dodáván téměř s každou distribucí.
Bez ohledu na vaši distribuci, aby byl firewall účinný, musí být aktivní a měl by být načten při spouštění:
$ sudo systemctl enable --now firewalldPorozumění zónám brány firewall
Firewalld si klade za cíl co nejjednodušší konfiguraci firewallu. Dělá to vytvořením zón . Zóna je soubor rozumných společných pravidel, která vyhovují každodenním potřebám většiny uživatelů. Ve výchozím nastavení je jich devět:
- důvěryhodný: Všechna síťová připojení jsou akceptována. Toto je nejméně paranoidní nastavení brány firewall a mělo by být používáno pouze v důvěryhodném prostředí, jako je testovací laboratoř nebo v rodinném domě, kde je známo, že všichni v místní síti jsou přátelští.
- domov, práce, interní: V těchto třech zónách je přijímána většina příchozích spojení. Každý z nich vylučuje provoz na portech, které obvykle neočekávají žádnou aktivitu. Kterékoli z nich je rozumné nastavení pro použití v domácím prostředí, kde není důvod očekávat, že síťový provoz zakryje porty, a kde obecně důvěřujete ostatním uživatelům v síti.
- veřejné: Pro použití ve veřejných prostorách. Toto je paranoidní nastavení, určené pro chvíle, kdy nedůvěřujete jiným počítačům v síti. Jsou přijímána pouze vybraná běžná a většinou bezpečná příchozí spojení.
- dmz: DMZ znamená demilitarizovaná zóna. Tato zóna je určena pro počítače, které jsou veřejně přístupné, umístěné na externí síti organizace s omezeným přístupem k vnitřní síti. U osobních počítačů to obvykle není užitečná zóna, ale pro určité typy serverů je to důležitá možnost.
- externí: Pro použití v externích sítích s povoleným maskováním (to znamená, že adresy vaší privátní sítě jsou mapovány a skryty za veřejnou IP adresou). Podobně jako v dmz zóně jsou přijímána pouze vybraná příchozí spojení, včetně SSH.
- blok: Jsou možná pouze síťová připojení zahájená v rámci tohoto systému a všechna příchozí síťová připojení jsou odmítnuta s icmp-host-prohibited zpráva. Toto je extrémně paranoidní nastavení a je to důležitá možnost pro určité typy serverů nebo osobních počítačů v nedůvěryhodném nebo nepřátelském prostředí.
- pokles: Všechny příchozí síťové pakety jsou zahazovány bez odpovědi. Jsou možná pouze odchozí síťová připojení. Jediným paranoidnějším nastavením než toto je vypnutí WiFi a odpojení ethernetového kabelu.
O každé zóně a jakýchkoli dalších zónách definovaných vaší distribucí nebo správcem systému si můžete přečíst konfigurační soubory v /usr/lib/firewalld/zones . Zde je například zóna FedoraWorkstation, která se dodává s Fedorou 31:
$ cat /usr/lib/firewalld/zones/FedoraWorkstation.xml
<?xml version="1.0" encoding="utf-8"?>
<zone>
<short>Fedora Workstation</short>
<description>Unsolicited incoming network packets are rejected from port 1 to 1024, except for select network services. Incoming packets that are related to outgoing network connections are accepted. Outgoing network connections are allowed.</description>
<service name="dhcpv6-client"/>
<service name="ssh"/>
<service name="samba-client"/>
<port protocol="udp" port="1025-65535"/>
<port protocol="tcp" port="1025-65535"/>
</zone>
Získání aktuální zóny
Pomocí --get-active-zones můžete kdykoli zjistit, v jaké zóně se nacházíte. možnost:
$ sudo firewall-cmd --get-active-zonesJako odpověď obdržíte název aktivní zóny spolu se síťovým rozhraním, které je k ní přiřazeno. Na notebooku to obvykle znamená, že máte WiFi kartu ve výchozí zóně:
FedoraWorkstation
interfaces: wlp61s0
Změňte svou aktuální zónu
Chcete-li změnit zónu, přiřaďte síťové rozhraní jiné zóně. Chcete-li například změnit příklad wlp61s0 kartu do veřejné zóny:
$ sudo firewall-cmd --change-interface=wlp61s0 \
--zone=public
Další zdroje pro Linux
- Cheat pro příkazy Linuxu
- Cheat sheet pro pokročilé příkazy systému Linux
- Bezplatný online kurz:Technický přehled RHEL
- Síťový cheat pro Linux
- Cheat sheet SELinux
- Cheat pro běžné příkazy pro Linux
- Co jsou kontejnery systému Linux?
- Naše nejnovější články o Linuxu
Aktivní zónu pro rozhraní můžete kdykoli a z jakéhokoli důvodu změnit – ať už jdete do kavárny a cítíte potřebu zvýšit bezpečnostní politiku svého notebooku, nebo se chystáte do práce a potřebujete otevřít některé porty se dostat na intranet nebo z jakéhokoli jiného důvodu. Možnosti pro firewall-cmd automatické dokončení po stisknutí Tab tak dlouho, dokud si pamatujete klíčová slova "change" a "zone", můžete v příkazu klopýtat, dokud se ho nenaučíte zpaměti.
Další informace
S firewallem můžete dělat mnohem víc, včetně přizpůsobení stávajících zón, nastavení výchozí zóny a dalších. Čím pohodlnější jsou firewally, tím bezpečnější jsou vaše online aktivity, proto jsme pro rychlou a snadnou referenci vytvořili cheat sheet.