13 - Готовим CentOS 7. Установка и настройка firewalld
Установка
yum -y install firewalldЗапуск
systemctl start firewalldСтатус
systemctl status firewalldЗоны
- drop – входящие сетевые пакеты сбрасываются, без ответа, допускаются только исходящие соединения
- block – входящие сетевые соединения отклоняются с сообщением icmp-host-prohibited, допускаются только сетевые соединения инициированные внутри нашей системы.
- public – при недоверии к компьютерам, разрешается устанавливать только конкретные входящие соединения.
- external – для использования во внешних сетях с разрешенным маскарадингом, особенно для роутеров, разрешается устанавливать только конкретные входящие соединения
- dmz – для компьютеров собственной demilitarized zone которые публично доступны с ограниченным доступом к нашей внутренней сети, разрешается устанавливать только конкретные входящие соединения.
- work/home/internal – максимальное доверие к компьютерам, уверенность в том, что они не приченят вреда нашему компьютеру, разрешается устанавливать только конкретные входящие соединения
- trusted – все сетевые соединения разрешены.
Посмотреть текущую зону
firewall-cmd --get-default-zoneДля смены зоны например на home
firewall-cmd --set-default-zone=homeЛибо непосредсвтенно в конфиге
nano /etc/firewalld/firewalld.confПолучить текущую конфигурацию для нашей зоны public
firewall-cmd --zone=public --list-all После внесение изменений перезагрузить FirewallD можно так
firewall-cmd --reload режим паники, блокирующий все сетевые соединения
firewall-cmd --panic-on отмена режима паники
firewall-cmd --panic-off добавить порт к зоне
firewall-cmd [--zone=] --add-port=[-]/ [--timeout=]удалить порт из зоны
firewall-cmd [--zone=] --remove-port=[-]/ [--timeout=]Добавим 80 порт в доверенные
firewall-cmd --permanent --add-port=80/tcpПосмотреть список сервисов
firewall-cmd --list-servicesДобавим ssh в доверенные
firewall-cmd --permanent --add-port=2222/tcpfirewall-cmd --reload Посмотрим что получилось
firewall-cmd --list-all Ставим в автозагрузку
systemctl enable firewalldВот в принципе и все, пока нам нужен только 80 порт (отображается сайт) и 2222 (наш ssh). Ко всем гуи типа робомонго конектитмся через ssh тунель.