Kiểm Soát Hệ Thống Linux Bằng Firewalld

81

Là người quản trị Linux, bạn có thể chọn cho phép hoặc hạn chế quyền truy cập mạng vào một số dịch vụ hoặc địa chỉ IP bằng tường lửa, được tích hợp cùng với CentOS/RHEL 8 và hầu hết các distro dựa trên RHEL như là Fedora.

Firewall firewalld sử dụng dòng lệnh command line để cấu hình.

Trước khi chúng ta thực hiện cấu hình, đầu tiên cần enable firewalld lên bằng lệnh :

$ sudo systemctl enable firewalld

Khi đã enabled, bạn có thể start service của firewalld bằng lệnh :

$ sudo systemctl start firewalld

Bạn có thể verify status của firewalld bằng command :

$ sudo systemctl status firewalld

Kết quả trả về dưới đây chứng tỏ service firewalld đã up và chạy :

Check-Firewalld-Status Kiểm Soát Hệ Thống Linux Bằng Firewalld

Cấu hình Rules sử dụng Firewalld :

Như vậy là chúng ta đã có Firewalld chạy, và ta sẽ chuyển qua cấu hình thử một vài rule. Firewalld cho phép bạn add và block port, blacklist, whitelist, những địa chỉ được phép truy cập vào server. Sau khi cấu hình xong, luôn đảm bảo rằng hãy reload lại firewall để rule có hiệu lực.

Mở TCP/ UDP port :

Để add thêm 1 port, ví dụ như port 443 HTTPS, sử dụng cú pháp dòng lệnh như bên dưới. Lưu ý rằng ta cần phải xác định rõ là port UDP hay TCP đằng sau port number :

 $ sudo firewall-cmd --add-port=443/tcp --permanent

Tương tự, để chỉ định 1 port UDP, ta sẽ điền ngay sau port number

$ sudo firewall-cmd --add-port=53/tcp -- permanent

“–permanent “ đây là cú pháp thông báo rằng các rule vẫn tồn tại ngay cả sau khi khởi động lại.

Block 1 port TCP/ UDP : 

Để chặn một TCP port, như là port 22, ta chạy dòng lệnh sau :

$ sudo firewall-cmd --remove-port=22/tcp –permanent

Tương tự, ta block UDP port bằng dòng lệnh :

$ sudo firewall-cmd --remove-port=53/udp -- permanent

Mở một service :

Service network được xác định trong file /etc/services. Để mở một service như https, ta thực hiện command :

 $ sudo firewall-cmd --add-service=https

Block 1 service :

Để block 1 service, ví dụ FTP, ta chạy lệnh :

$ sudo firewall-cmd --remove-service=https

Tạo Whitelist 1 địa chỉ IP :

Để cho phép 1 địa chỉ IP thông qua firewall, ta thực hiện dòng lệnh sau :

$ sudo firewall-cmd --permanent --add-source=192.168.2.50

Bạn cũng có thể cho phép 1 dãy địa chỉ IP trong một subnet bằng dòng lệnh :

$ sudo firewall-cmd --permanent --add-source=192.168.2.0/24

Xóa 1 địa chỉ IP whitelist :

Nếu muốn remove 1 IP whitelist trên Firewall, sử dụng cú pháp –remove-source :

$ sudo firewall-cmd --permanent --remove-source=192.168.2.50

Đối với cả một hệ thống subnet,ta chạy lệnh :

$ sudo firewall-cmd --permanent --remove-source=192.168.2.50/24

Block 1 địa chỉ IP :

Ví dụ để block 1 địa chỉ IP 192.168.2.50 ta chạy command :

$ sudo firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='192.168.2.50' reject"

Để block subnet :

$ sudo firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='192.168.2.0/24' reject"

Save firewall rules :

Nếu đã thực hiện bất kì thay đổi nào trên firewall, bạn cần chạy dòng lệnh sau để thay đổi có hiệu lực :

$ sudo firewall-cmd –reload

Xem lại Firewall rule :

Để xem lại tất cả rule trên firewall, ta chạy dòng lệnh :

$ sudo firewall-cmd --list-all

Như vậy là mình đã trình bày xong bài viết tổng hợp những dòng lệnh sử dụng trên Firewalld, hy vọng sẽ giúp ích cho bạn đọc.

 

BÌNH LUẬN

Please enter your comment!
Please enter your name here