Zoeken op website

Netwerktoegang beperken met FirewallD

Als Linux-gebruiker kunt u ervoor kiezen om netwerktoegang tot bepaalde services of IP-adressen toe te staan of te beperken met behulp van de firewall-firewall die eigen is aan CentOS/RHEL 8 en de meeste RHEL gebaseerde distributies zoals Fedora.

De firewalld firewall gebruikt het opdrachtregelprogramma firewall-cmd om firewallregels te configureren.

Voordat we configuraties kunnen uitvoeren, moeten we eerst de service firewalld inschakelen met behulp van het hulpprogramma systemctl, zoals weergegeven:

sudo systemctl enable firewalld

Eenmaal ingeschakeld, kunt u de firewalld-service starten door het volgende uit te voeren:

sudo systemctl start firewalld

U kunt de status van firewalld verifiëren door de opdracht uit te voeren:

sudo systemctl status firewalld

De onderstaande uitvoer bevestigt dat de firewalld-service actief is.

Regels configureren met Firewalld

Nu we firewalld actief hebben, kunnen we direct doorgaan met het maken van enkele configuraties. Met Firewalld kunt u poorten, zwarte en witte lijst-IP-adressen toevoegen en blokkeren om toegang tot de server te bieden. Als u klaar bent met de configuraties, zorg er dan altijd voor dat u de firewall opnieuw laadt, zodat de nieuwe regels van kracht worden.

Een TCP/UDP-poort toevoegen

Als u een poort wilt toevoegen, zegt u poort 443 voor HTTPS en gebruikt u de onderstaande syntaxis. Houd er rekening mee dat u na het poortnummer moet opgeven of de poort een TCP- of UDP-poort is:

sudo firewall-cmd --add-port=22/tcp --permanent

Om een UDP-poort toe te voegen, specificeert u op dezelfde manier de UDP-optie, zoals weergegeven:

sudo firewall-cmd --add-port=53/udp --permanent

De vlag --permanent zorgt ervoor dat de regels blijven bestaan, zelfs na opnieuw opstarten.

Een TCP/UDP-poort blokkeren

Om een TCP-poort, zoals poort 22, te blokkeren, voert u de opdracht uit.

sudo firewall-cmd --remove-port=22/tcp --permanent

Op dezelfde manier zal het blokkeren van een UDP-poort dezelfde syntaxis volgen:

sudo firewall-cmd --remove-port=53/udp --permanent

Een dienst toestaan

Netwerkservices worden gedefinieerd in het bestand /etc/services. Om een dienst zoals https toe te staan, voert u de opdracht uit:

sudo firewall-cmd --add-service=https

Een dienst blokkeren

Om een service te blokkeren, bijvoorbeeld FTP, voert u het volgende uit:

sudo firewall-cmd --remove-service=https

Een IP-adres op de witte lijst zetten

Om één enkel IP-adres binnen de firewall toe te staan, voert u de opdracht uit:

sudo firewall-cmd --permanent --add-source=192.168.2.50

U kunt ook een reeks IP's of een volledig subnet toestaan met behulp van een CIDR-notatie (Classless Inter-Domain Routing). Als u bijvoorbeeld een volledig subnet in het subnet 255.255.255.0 wilt toestaan, voert u dit uit.

sudo firewall-cmd --permanent --add-source=192.168.2.0/24

Een op de witte lijst geplaatst IP-adres verwijderen

Als u een IP-adres op de witte lijst van de firewall wilt verwijderen, gebruikt u de vlag --remove-source zoals weergegeven:

sudo firewall-cmd --permanent --remove-source=192.168.2.50

Voer voor het hele subnet het volgende uit:

sudo firewall-cmd --permanent --remove-source=192.168.2.50/24

Een IP-adres blokkeren

Tot nu toe hebben we gezien hoe je poorten en services kunt toevoegen en verwijderen, en hoe je IP-adressen op de witte lijst kunt zetten en verwijderen. Om een IP-adres te blokkeren worden hiervoor ‘rijke regels’ gebruikt.

Om bijvoorbeeld het IP-adres 192.168.2.50 te blokkeren, voert u de opdracht uit:

sudo firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='192.168.2.50' reject"

Om het hele subnet te blokkeren, voert u het volgende uit:

sudo firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='192.168.2.0/24' reject"

Firewallregels opslaan

Als u wijzigingen in de firewallregels heeft aangebracht, moet u de onderstaande opdracht uitvoeren om de wijzigingen onmiddellijk toe te passen:

sudo firewall-cmd --reload

De firewallregels bekijken

Om alle regels in de firewall te bekijken, voert u het commando uit:

sudo firewall-cmd --list-all

Hiermee wordt deze handleiding afgesloten over het toestaan of beperken van netwerktoegang met FirewallD op CentOS/RHEL 8. We hopen dat u deze handleiding nuttig vond.