Netwerktoegang beperken met FirewallD
Als Linux-gebruiker kunt u ervoor kiezen om netwerktoegang tot bepaalde services of IP-adressen toe te staan of te beperken met behulp van de firewall-firewall die eigen is aan CentOS/RHEL 8 en de meeste RHEL gebaseerde distributies zoals Fedora.
De firewalld firewall gebruikt het opdrachtregelprogramma firewall-cmd om firewallregels te configureren.
Voordat we configuraties kunnen uitvoeren, moeten we eerst de service firewalld inschakelen met behulp van het hulpprogramma systemctl, zoals weergegeven:
sudo systemctl enable firewalld
Eenmaal ingeschakeld, kunt u de firewalld-service starten door het volgende uit te voeren:
sudo systemctl start firewalld
U kunt de status van firewalld verifiëren door de opdracht uit te voeren:
sudo systemctl status firewalld
De onderstaande uitvoer bevestigt dat de firewalld-service actief is.
Regels configureren met Firewalld
Nu we firewalld actief hebben, kunnen we direct doorgaan met het maken van enkele configuraties. Met Firewalld kunt u poorten, zwarte en witte lijst-IP-adressen toevoegen en blokkeren om toegang tot de server te bieden. Als u klaar bent met de configuraties, zorg er dan altijd voor dat u de firewall opnieuw laadt, zodat de nieuwe regels van kracht worden.
Een TCP/UDP-poort toevoegen
Als u een poort wilt toevoegen, zegt u poort 443 voor HTTPS en gebruikt u de onderstaande syntaxis. Houd er rekening mee dat u na het poortnummer moet opgeven of de poort een TCP- of UDP-poort is:
sudo firewall-cmd --add-port=22/tcp --permanent
Om een UDP-poort toe te voegen, specificeert u op dezelfde manier de UDP-optie, zoals weergegeven:
sudo firewall-cmd --add-port=53/udp --permanent
De vlag --permanent
zorgt ervoor dat de regels blijven bestaan, zelfs na opnieuw opstarten.
Een TCP/UDP-poort blokkeren
Om een TCP-poort, zoals poort 22, te blokkeren, voert u de opdracht uit.
sudo firewall-cmd --remove-port=22/tcp --permanent
Op dezelfde manier zal het blokkeren van een UDP-poort dezelfde syntaxis volgen:
sudo firewall-cmd --remove-port=53/udp --permanent
Een dienst toestaan
Netwerkservices worden gedefinieerd in het bestand /etc/services. Om een dienst zoals https toe te staan, voert u de opdracht uit:
sudo firewall-cmd --add-service=https
Een dienst blokkeren
Om een service te blokkeren, bijvoorbeeld FTP, voert u het volgende uit:
sudo firewall-cmd --remove-service=https
Een IP-adres op de witte lijst zetten
Om één enkel IP-adres binnen de firewall toe te staan, voert u de opdracht uit:
sudo firewall-cmd --permanent --add-source=192.168.2.50
U kunt ook een reeks IP's of een volledig subnet toestaan met behulp van een CIDR-notatie (Classless Inter-Domain Routing). Als u bijvoorbeeld een volledig subnet in het subnet 255.255.255.0 wilt toestaan, voert u dit uit.
sudo firewall-cmd --permanent --add-source=192.168.2.0/24
Een op de witte lijst geplaatst IP-adres verwijderen
Als u een IP-adres op de witte lijst van de firewall wilt verwijderen, gebruikt u de vlag --remove-source
zoals weergegeven:
sudo firewall-cmd --permanent --remove-source=192.168.2.50
Voer voor het hele subnet het volgende uit:
sudo firewall-cmd --permanent --remove-source=192.168.2.50/24
Een IP-adres blokkeren
Tot nu toe hebben we gezien hoe je poorten en services kunt toevoegen en verwijderen, en hoe je IP-adressen op de witte lijst kunt zetten en verwijderen. Om een IP-adres te blokkeren worden hiervoor ‘rijke regels’ gebruikt.
Om bijvoorbeeld het IP-adres 192.168.2.50 te blokkeren, voert u de opdracht uit:
sudo firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='192.168.2.50' reject"
Om het hele subnet te blokkeren, voert u het volgende uit:
sudo firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='192.168.2.0/24' reject"
Firewallregels opslaan
Als u wijzigingen in de firewallregels heeft aangebracht, moet u de onderstaande opdracht uitvoeren om de wijzigingen onmiddellijk toe te passen:
sudo firewall-cmd --reload
De firewallregels bekijken
Om alle regels in de firewall te bekijken, voert u het commando uit:
sudo firewall-cmd --list-all
Hiermee wordt deze handleiding afgesloten over het toestaan of beperken van netwerktoegang met FirewallD op CentOS/RHEL 8. We hopen dat u deze handleiding nuttig vond.