Firewall services

Настройка Firewall CentOS 7

Firewall services

Основной брандмауэр в операционных системах Linux – это iptables. Но команды iptables сложны, и многим пользователям тяжело запомнить все опции и случаи, в которых их надо использовать. Поэтому разработчики дистрибутивов создают свои надстройки над iptables, которые помогают упростить управление фаерволом. У CentOS надстройка для управления iptables называется Firewalld.

У Firewalld есть несколько важных отличий, по сравнению с iptables. Здесь управление доступом к сети выполняется на уровне зон и сервисов, а не цепочек и правил. А также правила обновляются динамически, не прерывая запущенных сессий. В этой статье будет рассмотрена настройка Firewall CentOS 7 на примере Firewalld.

Основы использования Firewalld

Как я уже сказал выше, Firewalld работает не с цепочками правил, а с зонами. Каждому сетевому интерфейсу может быть присвоена определенная зона. Зона представляет из себя набор правил, ограничений и разрешений, которые применяются к этому сетевому интерфейсу. Для одного интерфейса может быть выбрана только одна зона. Разработчики создали несколько предустановленных зон:

  • drop – блокировать все входящие пакеты, разрешить только исходящие
  • block – в отличие от предыдущего варианта отправителю пакета будет отправлено сообщение по блокировке его пакета;
  • public – поддерживаются входящие соединения только для ssh и dhclient;
  • external – поддерживает NAT для скрытия внутренней сети;
  • internal – разрешены сервисы ssh, samba, mdns и dhcp;
  • dmz – используется для изолированных сервров, у которых нет доступа к сети. Разрешено только подключение по SSH;
  • work – разрешенны сервисы ssh и dhcp;
  • home – аналогично internal;
  • trusted – всё разрешено.

Таким образом, чтобы разрешить или запретить какой-либо сервис, вам достаточно добавить или удалить его из текущей зоны или сменить зону интерфейса на ту, где он разрешён. Можно провести аналогию с политикой действий по умолчанию для пакетов в iptables.

Зона trusted имеет политику ACCEPT и разрешает все подключения, зона block имеет политику DENY, которая запрещает все подключения, а все остальные зоны можно считать наследниками зоны block, плюс в них уже предопределены правила разрешения сетевых подключений для некоторых сервисов.

Также у Firewalld есть два вида конфигурации:

  • runtime – действительна только до перезагрузки, все изменения, в которых явно не указано другое, применяются к этой конфигурации;
  • permanent – постоянные настройки, которые будут работать и после перезагрузки.

Теперь вы знаете всё необходимое, поэтому перейдём к утилите firewalld-cmd.

Синтаксис и опции firewall-cmd

Управлять настройками Firewalld можно как с помощью консольной утилиты firewall-cmd, так и в графическом интерфейсе. CentOS чаще всего используется на серверах, поэтому вам придётся работать в терминале. Давайте рассмотрим синтаксис утилиты:

firewall-cmd опции

Для управления зонами используется такой синтаксис:

firewall-cmd –конфигурация –zone=зона опции

В качестве конфигурации нужно указать опцию –permanent, чтобы сохранить изменения после перезагрузки или ничего не указывать, тогда изменения будут действительны только до перезагрузки. В качестве зоны используйте имя нужной зоны. Давайте рассмотрим опции утилиты:

  • –state – вывести состояние брандмауэра;
  • –reload – перезагрузить правила из постоянной конфигурации;
  • –complete-reload – жёсткая перезагрузка правил с разрывом всех соединений;
  • –runtime-to-permanent – перенести настройки конфигурации runtime в постоянную конфигурацию;
  • –permanent – использовать постоянную конфигурацию;
  • –get-default-zone – отобразить зону, используемую по умолчанию;
  • –set-default-zone – установить зону по умолчанию;
  • –get-active-zones – отобразить активные зоны;
  • –get-zones – отобразить все доступные зоны;
  • –get-services – вывести предопределенные сервисы;
  • –list-all-zones – вывести конфигурацию всех зон;
  • –new-zone – создать новую зону;
  • –delete-zone – удалить зону;
  • –list-all – вывести всё, что добавлено, из выбранной зоны;
  • –list-services – вывести все сервисы, добавленные к зоне;
  • –add-service – добавить сервис к зоне;
  • –remove-service – удалить сервис из зоны;
  • –list-ports – отобразить порты, добавленные к зоне;
  • –add-port – добавить порт к зоне;
  • –remove-port – удалить порт из зоны;
  • –query-port – показать, добавлен ли порт к зоне;
  • –list-protocols – вывести протоколы, добавленные к зоне;
  • –add-protocol – добавить протокол к зоне;
  • –remove-protocol – удалить протокол из зоны;
  • –list-source-ports – вывести порты источника, добавленные к зоне;
  • –add-source-port – добавить порт-источник к зоне;
  • –remove-source-port – удалить порт-источник из зоны;
  • –list-icmp-blocks – вывести список блокировок icmp;
  • –add-icmp-block – добавить блокировку icmp;
  • –add-icmp-block – удалить блокировку icmp;
  • –add-forward-port – добавить порт для перенаправления в NAT;
  • –remove-forward-port – удалить порт для перенаправления в NAT;
  • –add-masquerade – включить NAT;
  • –remove-masquerade – удалить NAT.

Это далеко не все опции утилиты, но для этой статьи нам будет их достаточно.

1. Статус брандмауэра

Первым делом необходимо посмотреть состояние брандмауэра. Для этого выполните:

sudo systemctl status firewalld

Если служба Firewalld отключена, то необходимо её включить:

sudo systemctl start firewalld
sudo systemctl enable firewalld

Теперь нужно посмотреть, запущен ли Firewalld, с помощью команды firewall-cmd:

sudo firewall-cmd –state

Если программа запущена и всё хорошо, то вы получите сообщение “running”.

2. Управление зонами

Как вы уже поняли, зоны – это основной инструмент для управления сетевыми подключениями. Чтобы посмотреть зону по умолчанию, выполните:

sudo firewall-cmd –get-default-zone

В моем случае это зона public. Вы можете изменить текущую зону с помощью опции –set-default-zone:

sudo firewall-cmd –set-default-zone=public

Чтобы посмотреть, какие зоны используются для всех сетевых интерфейсов, выполните:

sudo firewall-cmd –get-active-zones

В списке будут выведены зоны и интерфейсы, для которых они присвоены. Такой командой можно посмотреть конфигурацию для определённой зоны. Например, для зоны public:

sudo firewall-cmd –zone=public –list-all

3. Настройка сервисов

Вы можете посмотреть все предопределенные сервисы командой:

sudo firewall-cmd –get-services

Команда выведет все доступные сервисы, вы можете добавить любой из них к зоне, чтобы его разрешить. Например, разрешим подключение к http:

sudo firewall-cmd –zone=public –add-service=http –permanent

А чтобы удалить этот сервис, выполните:

sudo firewall-cmd –zone=public –remove-service=http –permanent

В обоих случаях мы использовали опцию –permanent, чтобы конфигурация сохранялась после перезагрузки. После изменений нужно обновить правила:

sudo firewall-cmd –reload

Затем, если вы посмотрите конфигурацию зоны, то там появится добавленный сервис:

sudo firewall-cmd –zone=public –list-all

4. Как открыть порт в Firewalld

Если для нужной вам программы нет сервиса, вы можете открыть её порт вручную. Для этого просто добавьте нужный порт к зоне. Например порт 8083:

sudo firewall-cmd –zone=public –add-port=8083/tcp –permanent

Чтобы удалить этот порт из зоны, выполните:

sudo firewall-cmd –zone=public –remove-port=8083/tcp –permanent

Аналогично сервисам, чтобы открыть порт в firewall centos 7 надо перезагрузить брандмауэр.

sudo firewall-cmd –reload

5. Проброс портов Firewalld

Проборс портов в Firewalld настраивается намного проще, чем в iptables. Если вам нужно, например, перенаправить трафик с порта 2223 на порт 22, достаточно добавить к зоне перенаправление:

sudo firewall-cmd –zone=public –add-forward-port=port=2223:proto=tcp:toport=22

Здесь перенаправление выполняется только на текущей машине. Если вы хотите настроить сеть NAT и пробрасывать порт на другую машину, то вам нужно сначала включить поддержку masquerade:

sudo firewall-cmd –zone=public –add-masquerade

Затем уже можно добавить порт:

sudo firewall-cmd –zone=publiс –add-forward-port=port=2223:proto=tcp:toport=22:toaddr=192.168.56.4

6. Расширенные правила

Если функциональности зон вам недостаточно, вы можете использовать расширенные правила. Общий синтаксис расширенных правил такой:

rule family=”семейтво” source значение destination значение log audit действие

Вот значение основных параметров:

  • В качестве семейства протоколов можно указать ipv4 или ipv6 или ничего не указывать, тогда правило будет применяться к обоим протоколам;
  • source и destination – это отправитель и получатель пакета. В качестве этих параметров может быть использован IP-адрес (address), сервис (service name), порт (port), протокол (protocol) и так далее;
  • log – позволяет логгировать прохождение пакетов, например в syslog. В этой настройке вы можете указать префикс строчки лога и уровень подробности логгирования;
  • audit – это альтернативный способ логгирования, когда сообщения будут отправляться в службу auditd.
  • Действие – это действие, которое необходимо выполнить с совпавшим пакетом. Доступны: accept, drop, reject, mark.

Давайте рассмотрим несколько примеров. Нам необходимо заблокировать доступ к серверу для пользователя с IP 135.152.53.5:

sudo firewall-cmd –zone=public –add-rich-rule 'rule family=”ipv4″ source address=135.152.53.5 reject'

Или нам нужно запретить для этого же пользователя только доступ к порту 22:

sudo firewall-cmd –zone=public –add-rich-rule 'rule family=”ipv4″ source address=135.152.53.5 port port=22 protocol=tcp reject'

Посмотреть все расширенные правила можно командой:

sudo firewall-cmd –list-rich-rules

Выводы

В этой статье мы разобрали, как выполняется настройка firewall в CentOS 7 и какие задачи можно с помощью него выполнить. Программой намного проще пользоваться, чем iptables, но по моему мнению надстройка фаервола от Ubuntu – ufw ещё проще в использовании.

Источник: https://losst.ru/nastrojka-firewall-centos-7

Выбираем файрвол. Проверяем восемь домашних файрволов на строгость

Firewall services

Казалось бы, выбрать файрвол для домашнего компьютера — дело нехитрое: наливай да пей (то есть устанавливай да пользуйся). Но файрволы бывают разные, и выбор может стоить усилий и времени. Сегодня мы рассмотрим восемь файрволов и проверим их возможности и умолчательные настройки при помощи простого функционального теста.

Наиболее важные факторы при выборе — это простота и доступность настройки, наличие обучающего режима, когда файрвол действует на нервы задает кучу вопросов при попытках выйти в сеть для каждого ПО, а все остальное запрещает. Еще, пожалуй, важны наличие русского языка и бесплатность, а также дополнительные плюшки.

Веселые старты

Изучать мы будем следующие программы: Comodo Firewall, Avast Internet Security, AVG Internet Security, Outpost Firewall Pro, ZoneAlarm Free Firewall, PrivateFirewall, GlassWire и TinyWall.

Весь этот софт позиционируется разработчиками как средства защиты для домашних компьютеров, поэтому мы не будем залезать в дебри настроек и сравнивать эти программы по функциям и различным модулям.

Лучше посмотреть на них глазами простого юзера, которому все эти высокие технологии до фонаря.

Обычный пользователь отличается от продвинутого количеством оленей на свитере и длиной бороды чисто утилитарным подходом к софту: нажали «Установить» и верим в чудо автоматизации, которое спасет и защитит от злых дядек с их скриптами и троянами. А как там оно устроено внутри, большинству совершенно не важно.

Поэтому условия эксперимента решили максимально упростить.

Мы установим каждый из файрволов на чистую ОС Windows 10 x64 и попробуем запустить одну тулзу, которая начинает ломиться на внешний сервер, имитируя подозрительную сетевую активность.

Затем мы включим режим обучения и повторим тест снова. Наконец, на третьем этапе мы настроим файрвол на основе белого списка, запретив все, что явно не разрешено.

Ну и не будем забывать про важные для нас критерии: стоимость лицензии, язык интерфейса и простоту настройки и установки. А полученные результаты мы потом сравним.

Comodo Firewall

  • Официальный сайт: comodo.

    com

  • Системные требования: Windows XP SP2, Vista, 7, 8, 10, 152 Мбайт RAM, 400 Мбайт на диске
  • Лицензия: есть бесплатная версия и Pro
  • Стоимость: бесплатно или 39,99 доллара за Pro
  • Язык интерфейса: русский

Эта программа получила широкую известность еще в эпоху Windows XP, когда Comodo Firewall был едва ли не самым распространенным бесплатным файрволом в России. Пользуется он популярностью и сейчас. Что, в общем-то, неудивительно: разработчики обещают нам проактивную защиту с HIPS, межсетевое экранирование, защиту от переполнения буфера и несанкционированного доступа, защиту реестра и системных файлов, а также другие вкусные плюшки.

Однако во время установки файрвол вызвал смешанные чувства. Сначала предлагал поставить расширения для Яндекс.Браузера.

Поставим расширения от Яндекса?

А потом, если не обратить внимание на «компоненты» и не выключить все ненужное, установщик инсталлирует на твой комп свой браузер.

Отключение ненужных компонентов
Забыли отключить ненужный компонент? Получите, распишитесь

Делаем первый тест, и Comodo пропускает нашу тулзу.

Первый тест Comodo Firewall

Включили режим обучения в настройках — и файрвол почему-то никак не прореагировал на нашу тестовую программу, которая успешно подключилась к удаленному компьютеру.

Второй тест Comodo Firewall

Только после составления белого списка тулзу наконец удалось заблокировать. Вывод напрашивается противоречивый: Comodo Firewall — очень известный файрвол, но установка ненужного софта портит все впечатление. А результаты теста оказались печальными: для обеспечения безопасности программе требуется основательная настройка.

Avast Premium Security

  • Официальный сайт: avast.com/f-firewall
  • Системные требования: Windows XP SP3, Vista, 7, 8, 8.1, 10, 256+ Мбайт ОЗУ и 1,5 Гбайт на диске
  • Лицензия: пробный период на 30 дней
  • Стоимость: 1450 рублей за год, есть различные акции.

    При покупке на два или три года цена ниже

  • Язык интерфейса: русский

Кто-нибудь не слышал про компанию Avast Sofware? Все про нее слышали.

Однако, помимо известного антивируса, Avast выпускает еще и файрвол, который входит в платный набор программ Avast Premium Security (раньше он назывался Avast Internet Security, но его переименовали — видимо, чтобы избежать путаницы с программой, которую мы рассмотрим следующей).

То есть отдельно загрузить и установить файрвол не получится: он идет в нагрузку к антивирусу, антиспам-модулю, модулю защиты беспроводных сетей и набору прочих фишек, платная лицензия которого стоит 1450 рублей в год на один ПК.

При установке пакета нам предлагают поставить еще и Google Chrome, но от него хотя бы можно безболезненно отказаться.

Установка Avast Internet Security

Сразу после инсталляции чуда не произошло: тулза успешно преодолела файрвол и установила соединение с удаленным сервером.

Первый тест Avast Internet Security

После включения практически всех возможных настроек и параметров защиты ничего особо не поменялось. Только заставив файрвол параноидально спрашивать меня, как реагировать на каждый чих работающего на компе софта, я наконец получил ожидаемый результат.

Запрос разрешения

Настройки файрвола разбросаны по разным меню, из-за чего найти с первого раза то, что нужно, очень непросто.

В комплекте поставки Avast Premium Security имеется огромное количество дополнительных тулз для анализа диска, реестра, эвристики, поиска вирусов. Весь этот софт невозможно удалить, чтобы оставить только один брандмауэр.

Кроме того, пробная версия продукта постоянно просит обновиться до версии Pro и заплатить денег.

AVG Internet Security

  • Официальный сайт: avg.com
  • Системные требования: Windows XP SP3, Vista, 7, 8, 8.

    1, 10

  • Лицензия: пробный период на 30 дней
  • Стоимость: 1990 рублей за год
  • Язык интерфейса: русский

Бесплатный антивирус AVG также знаком многим, правда о его эффективности существуют разные мнения.

Файрвол (или, как его называют разработчики, «усиленный брандмауэр») тоже не предлагается в качестве отдельного продукта, а идет в комплекте поставки AVG Internet Security, куда входит еще целая куча разных утилит, включая антивирус. Бесплатной версии нет, но есть возможность скачать триал и протестировать софтину в течение месяца.

Примечательно, что антивирус AVG не так давно был куплен компанией Avast Sofware, но тем не менее продолжает существовать в роли самостоятельного продукта. Что ж, давай посмотрим, есть ли в нем какие-то существенные отличия от «материнского» проекта.

Установка AVG начинается с узнаваемого окошка инсталлера.

Установка AVG

При первом запуске мы видим уже знакомую картинку.

Первый тест AVG Internet Security

Можно смело сказать, что AVG продемонстрировал все то же самое, что и Avast. И в точности так же сумел распознать и заблокировать нашу «вредоносную» тулзу только после принудительного включения параноидального режима.

Конфигурация AVG Internet Security

По результатам теста я пришел к выводу, что AVG Internet Security — это по большому счету Avast Premium Security, только в профиль только под другой вывеской. Если тебе нужен один файрвол, без антивируса, антиспама и прочих свистелок, наверное, стоит поискать другое решение.

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее

Заинтересовала статья, но нет возможности стать членом клуба «Xakep.ru»? Тогда этот вариант для тебя! Обрати внимание: этот способ подходит только для статей, опубликованных более двух месяцев назад.

Я уже участник «Xakep.ru»

Источник: https://xakep.ru/2019/12/20/firewalls-249/

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.