ما یک دورۀ آموزشی کانفیگ سرور لینوکس را شروع کردیم و الان قسمت ۹۱ ام هستیم و از قسمت ۸۶ تا اینجا روی دیوار آتش تمرکز کردیم. با اینکه سیستم عامل هدف ما در این دورۀ آموزشی CentOS 6 می باشد. اما تا حدی که در توان داریم روی CentOS 7 هم آموزش هایی را خدمت شما خواهیم داد. از جملۀ این آموزشها فایروال FirewallD روی CentOS 7 است که یک دیوار آتش کامل با رابط کاربری firewall-cmd است که در این قسمت به نحوۀ کانفیگ یا پیکربندی فایروال FirewallD روی CentOS 7 میپردازیم.
در این مقالۀ آموزشی ما با بیشتر کاربردهای دستور firewall-cmd برای کانفیگ firewalld آشنا می شویم. اما قبل از شروع بد نیست دوباره خدمت شما یادآور شوم که مجموعه آموزشی ها به صورت سلسله وار هستند. پس حتماً نیاز است که آموزش های قبلی را مطالعه کرده باشید. مخصوصاً قسمت قبلی (۹۰) که مقدماتی راجع به FirewallD در آنجا گفته شده. الان باید بدانید Zone یا ناحیه ها چه هستند و چرا ما از دستور firewall-cmd استفاده می کنیم.
روشن کردن firewalld
در اولین گام ما باید firewalld را روشن کنیم. چون به صورت پیش فرض روشن نیست.
systemctl start firewalld.service
حالا برای اینکه مطمئن شوید که دیوار آتش firewalld روشن است و کارش را با پیکربندی های پیشفرض به درستی انجام می دهد، دستور زیر را می زنیم. running باید نتیجۀ دستور باشد.
firewall-cmd --state
در حال حاضر ما فقط firewalld را روشن کردیم و آن را فعال نکردیم. فعال شدن به معنای اجرای daemon در حین بالا آمدن سیستم عامل است. ما اول پیکربندی های لازم را اعمال می کنیم. در آخرین مرحله آن را هم فعال مینماییم. با این کار بنا به دلایل تنظیمات اشتباه از قفل شدن دسترسی ما جلوگیری می کند.
آشنایی با وضعیت فعلی firewalld
قبل از شروع کانفیگ اصلی، بهتر است از وضعیت فعلی فایروال مطلع شویم. بدین منظور کارهای زیر را انجام میدهیم.
اول می بینیم که ناحیه پیشفرض دیوار آتش چیست:
firewall-cmd --get-default-zone
به احتمال زیاد public خواهد بود. به دلیل اینکه تا اینجا ما تغییراتی در ناحیه ها ایجاد نکردیم و ناحیه ای را به رابط شبکه (interface) مرتبط نکردیم، همین الان باید ناحیه فعال روی سرور ما همان ناحیۀ پیش فرض یعنی public باشد. دستور زیر همین موضوع را تصدیق میکند.
firewall-cmd --get-active-zones
نتیجه:
public interfaces: eth0 eth1
اینجا ما فهمیدم که دو تا رابط یا همان سخت افزار شبکه داریم که با دیوار آتش کنترل می شوند (eth0 و eth1). هر دوی اینها هم با قواعد موجود در ناحیه public کنترل میشوند.
برای اینکه به طور کلی بدانیم قواعد ناحیه فعال یا همان public چطوریاست، دستور زیر می تواند به ما کمک کند.
firewall-cmd --list-all
نتیجه:
public (default, active) interfaces: eth0 eth1 sources: services: dhcpv6-client ssh ports: masquerade: no forward-ports: icmp-blocks: rich rules:
با این نتیجه می توانیم بفهمیم که ناحیه پیش فرض و فعال ما در حال حاضر public میباشد و رابط های شبکۀ eth0 و eth1 در ارتباط با این ناحیه هستند. از طرف دیگر سرویس های dhcp و ssh که هر کدام کارهایی را برای سرور ما انجام میدهند، درون فایروال باز هستند.
برای اینکه بتوانیم فهرست کل ناحیه های موجود روی فایروال را بررسی کنیم، دستور زیر به ما کمک می کند.
firewall-cmd --get-zones
درون یک خط تمامیِ Zoneها نمایش داده می شوند.
block dmz drop external home internal public trusted work
هر زمان که از دستور firewall-cmd استفاده می کنیم، می توانیم با مشخۀ zone– مشخص کنیم که کاری که می خواهیم بکنیم، روی همان ناحیه مد نظر است. دستور زیر فهرست مشخصات ناحیۀ home را نشان می دهد. با اینکه در حال حاضر شاید یک ناحیه دیگر فعال باشد که همین طور هم هست.
firewall-cmd --zone=home --list-all
home interfaces: sources: services: dhcpv6-client ipp-client mdns samba-client ssh ports: masquerade: no forward-ports: icmp-blocks: rich rules:
حتی می توانید مشخصات کل ناحیه ها را یکجا مطالعه کنید.
firewall-cmd --list-all-zones | less
اختصاص ناحیه (Zone) به کارت شبکه (interface)
زمانی که هر کارت رابط شبکهای بالا می آید، اگر شما برای آن ناحیه ای را تنظیم نکرده باشید، ناحیۀ پیش فرض یا همان Default Zone روی آن اعمال می گردد. هر ناحیه هم قواعدی دارد که بسته های ورودی و خروجیِ آن رابط شبکه توسط آنها پردازش می شوند. پس این امر مهم است که ما با تنظیم ناحیه های مناسب روی کارت های شبکه (اگر از یکی بیشتر باشند) امنیت سیستم خود را تضمین نماییم.
حالا می خواهیم یک ناحیه را به یک رابط شبکه، مرتبط کنیم. این کار به صورت موقتی و دائمی انجام شدنی است. اول به روش موقتی اشاره می کنیم. دستور زیر با مشخصۀ change-interface رابط یک ناحیه را تغییر میدهد. اما دقت داشته باشید این تغییر موقتی است و با reload شدن یا راه اندازی مجدد سرور از بین خواهد رفت. نتیجۀ کار باید عبارت success باشد.
firewall-cmd --zone=home --change-interface=eth0
نکته مهم : در مواقعی که شما ناحیه یک کارت شبکۀ فعال را تغییر میدهید که مثلاً روی آن ناحیه دسترسیِ SSH فعال است، و ناحیۀ جدید چنین دسترسی را ندارد، مطمئناً دسترسیِ شما به سرور از طریق درگاه SSH قطع خواهد شد. پس به سرویس هایی هر ناحیه فعال دارد، توجه داشته باشید. در ادامه راجع به این موضوع بیشتر به گفتگو خواهیم نشست.
برای اینکه مطمئن شویم کار به درستی انجام شده، دستور زیر را می زنیم.
firewall-cmd --get-active-zones
که نتیجه به این صورت خواهد شد.
Home interfaces: eth0 Public interfaces: eth1
در این حالت اگر فایروال restart شود، همه چیز به حالت اولیه بر میگردد. پس شاید این روش تغییر ناحیه برای هر رابط شبکه فقط در حالت هایی که قصد اعمال موقتی کار را داریم به درد بخورد.
systemctl restart firewalld.service firewall-cmd --get-active-zones
اگر خواسته باشیم این کار را به صورت دائمی انجام دهیم، باید پروندۀ پیکربندیِ کارت شبکه را دستی ویرایش کنیم و یک خط به آن اضافه نماییم. تا در مواقع راه اندازی مجدد سیستم یا فایروال، تغییرات از بین نروند.
برای این کار به مسیر زیر بروید:
/etc/sysconfig/network-scripts
و پروندۀ تنظیمات رابط شبکه که نامی با این ساختار را دارد، با دستوری مثل nano باز کنید.
nano /etc/sysconfig/network-scripts/ifcfg-eth0
درون سند به دنبال عبارت ZONE= بگردید و آن را ویرایش کنید. که اگر نبود، در انتهای آن عبارت زیر را اضافه کنید.
ZONE=home
Home همان نام ناحیه ای است که می خواهیم به صورت پیش فرض قواعد آن روی این رابط شبکه اعمال گردد. سند را ذخیره کنید و از آن خارج شوید. برای کار کردن با دستور nano به آموزش های قبلی مراجعه نمایید.
systemctl restart network.service systemctl restart firewalld.service
بعد از اینکه با دستورات بالا سرویس شبکه و firewalld را راه اندازی مجدد کردید، حالا می بینید که ناحیۀ پیش فرض برای رابط های شبکۀ ما به درستی تنظیم شدند.
firewall-cmd --get-active-zones
نتیجه:
Home interfaces: eth0 Public interfaces: eth1
به تعداد رابط هایی که دارید و همچنین تنظیماتی که قصد اعمال روی آنها را دارید، می توانید مراحل بالا را تکرار نمایید. اما در هر صورت تنها یک ناحیه به صورت پیش فرض در تمامیِ شرایط وجود دارد که با دستور زیر می توانید این Zone (ناحیه) پیشفرض را تغییر دهید.
firewall-cmd --set-default-zone=home
الان با دستور بالا، زمانی که برای رابط شبکه ای ناحیه ای تعیین نشده باشد، home به عنوان Zone برای آن در نظر گرفته میشود.
تنظیم قواعد (Rules) برای برنامه های کاربردی یا سرویسها
در این بخش یاد می گیرید چطور یک سرویس با برنامۀ کاربردی را مجاز کنید که از طریق دیوار آتش بتواند با دنیای بیرون خود ارتباط برقرار کند. به عبارتی دیگر وقتی میخواهید یک درگاه (پورتی) را باز کنید که بتوانید از آن سرویس استفاده کنید، اصطلاحاً باید آن سرویس را به فایروال اضافه نمایید. حالت های مختلفی برای انجام چنین کاری وجود دارد که در ادامه به مهمترین آنها می پردازیم.
شما می توانید سرویس هایی که همینک آماده هستند تا شما از آنها استفاده کنید را ببینید. این سرویس ها لزوماً ممکن است همین الانش فعال نباشند.
firewall-cmd --get-services
نتیجه:
RH-Satellite-6 amanda-client bacula bacula-client dhcp dhcpv6 dhcpv6-client dns ftp high-availability http https imaps ipp ipp-client ipsec kerberos kpasswd ldap ldaps libvirt libvirt-tls mdns mountd ms-wbt mysql nfs ntp openvpn pmcd pmproxy pmwebapi pmwebapis pop3s postgresql proxy-dhcp radius rpc-bind samba samba-client smtp ssh telnet tftp tftp-client transmission-client vnc-server wbem-https
هر کدام از سرویس هایی که در بالا نمایش داده شدند، برای خود در مسیر زیر یک سند دارند که حاوی مشخصات و ساختار XML مانند هستند تا firewalld بتواند آنها را تشخیص دهد. دقت داشته باشید که شما نباید دستی آنها را ویرایش کنید. یا سندی را حذف و اضافه نمایید.
/usr/lib/firewalld/services
شما با پارامتر add-service میتوانید به ناحیه فعالِ فعلی سرویس دیگری را اضافه نمایید. یا اگر کار روی ناحیه خاصی را در نظر دارید، باید پارامتر zone را هم مورد استفاده قرار دهید. برای دائمی شدن دستور هم پارامتر permanent را فراموش نکنید. نمونۀ کامل چنین دستوری به این صورت خواهد شد:
firewall-cmd --zone=public --permanent --add-service=http
در ناحیۀ public که ناحیه پیش فرض هم هست، ما سرویس http را برای بازدید صفحات وب توسط بازدید کنندگان را فعال کردیم. اگر این کار را نکنید در حالی که وب سرور آپاچی روی سرور نصب و روشن است، کسی نمی تواند صفحۀ وبی روی سرور شما را مشاهده کند.
برای اینکه مطمئن شوید سرویس مورد نظر به ناحیۀ مدنظر افزوده شده است، پارامتر list-all یا list-services استفاده می شوند:
firewall-cmd --zone=public --list-services
نتیجه:
dhcpv6-client http ssh
به همین ترتیب اگر سرور شما روی پروتکل https هم ارائۀ خدمات می کند، بدین صورت باید عمل کنیم. دقت کنید که بهترین رویه این است که ابتدا به صورت موقتی بدون پارامتر permanent اقدام به افزودن سرویس مورد نظر به Zone کنید. اگر مشکلی ایجاد نشد، آن را دائمی کنید.
firewall-cmd --zone=public --add-service=https firewall-cmd --zone=public --permanent --add-service=https
اگر سرویس مرتبطی وجود نداشت چه؟
در حالتی که سرویس مورد نظر برای باز کردن پورت مد نظر وجود نداشت، دو تا کار می توانید بکنید. یا اینکه شماره درگاه (پورت) را برای ناحیه مد نظر باز کنید. یا سرویس آن را به firewalld به طور کامل معرفی کنید. اول به روش اول می پردازیم که پارامتر add-port برای همین کار است.
firewall-cmd --zone=public --add-port=5000/tcp
از این روش مثلاً برای زمانی که درگاه SSH را تغییر دادیم استفاده می گردد. برای اینکه از انجام این کار مطمئن شویم، دستور زیر مورد نیاز است.
firewall-cmd --list-ports
برای این منظور حتی می توان یک محدودۀ شماره درگاه را مشخص کرد.
firewall-cmd --zone=public --add-port=4990-4999/udp
اما برای تعریف یک سرویس مثل سرویس های پیش فرض خود فایروال، باید اقدام به ساخت یک سند پیکربندی کنیم. ساده ترین کار این است که یکی از پرونده های اولیه را از مسیر /usr/lib/firewalld/services کپی کنیم و در مسیر /etc/firewalld/services جاگذاری کنیم و شروع به ویرایش آن نماییم. مثلاً ما سند XML مربوط به سرویس SSH را کپی می کنیم. اسم آن را به هر چه در نظر دارید می توانید تغییر دهید. البته تکراری هم نباید باشد.
cp /usr/lib/firewalld/services/service.xml /etc/firewalld/services/example.xml
حالا شروع به ویرایش و تعریف مشخصات آن سرویس می کنیم.
nano /etc/firewalld/services/example.xml
شما باید نام اختصاری سرویس را که درون برچسب short قرار گرفته است را ویرایش کنید. همچنین توضیحات آن را در برچسب description ویرایش نمایید. در نهایت هم برچسب port را میبینید که قسمت اصلی سند پیکربندی سرویس برای firewalld است. پروتکل و پورت آن را باب نیاز خود ویرایش نمایید.
<?xml version="1.0" encoding="utf-8"?> <service> <short>SSH</short> <description>Secure Shell (SSH) is a protocol for logging into and executing commands on remote machines. It provides secure encrypted communications. If you plan on accessing your machine remotely via SSH over a firewalled interface, enable this option. You need the openssh-server package installed for this option to be useful.</description> <port protocol="tcp" port="22"/> </service>
با فرض ویرایشی که روی سند مذکور انجام دادیم، نتیجه به این صورت تبدیل خواهد شد:
<?xml version="1.0" encoding="utf-8"?> <service> <short>Example Service</short> <description>This is just an example service. It probably shouldn't be used on a real system.</description> <port protocol="tcp" port="7777"/> <port protocol="udp" port="8888"/> </service>
سند را ذخیره و ببندید. حالا فایروال را reload نمایید.
firewall-cmd --reload
حالا در بین فهرست سرویس های موجود، سرویسی که اخیراً اضافه کردیم را می توانیم ببینیم.
firewall-cmd --get-services
عبارت example که نام سند xml مربوطه است، در بین دیگر عبارت ها که نام سرویس های موجود است یافت می گردد. حالا می توانیم با پارامتر add-service سرویس را فعال کنیم.
ساخت یک Zone یا ناحیه جدید
در حالی که ناحیههای پیش فرض برای استفاده کافی هستند، اما شاید ساخت یک ناحیه جدید برای هر چه بیشتر سفارشی کردن اجزاء آن مفید باشد. مثلاً شاید بخواهید یک ناحیه بسازید فقط برای سرور وب که قرار است سایت روی آن داشته باشید. پس ما در این حالت یک ناحیه با عنوان publicweb ایجاد می کنیم.
firewall-cmd --permanent --new-zone=publicweb
بعد از افزودن ناحیه جدید که باید با پارامتر permanent برای دائمی کردن آن این کار را انجام دهید، حالا مطمئن می شویم که ناحیه به درستی ساخته شده است.
firewall-cmd --permanent --get-zones
نتیجه:
block dmz drop external home internal public publicweb trusted work
حالا فایروال را راه اندازی مجدد می کنیم.
firewall-cmd --reload
پس از این، می توانید از دستوراتی که در بالا گفته شد را روی این ناحیه به مانند دیگر ناحیه های پیش فرض اعمال کنید. مثلاً سرویس هایی را به آن اضافه نمایید یا حتی سند پیکربندیِ سرویسی را بسازید. فقط فراموش نکنید که باید از پارامتر zone=publicweb استفاده کنید تا تغییرات فقط روی همین Zone اعمال گردد.
فعال کردن FirewallD برای اجرا حین شروع به کار سرور
پس از اینکه از عملکرد صحیح همۀ تنظیماتی که تا به الان انجام دادید راضی بودید، می توانید فایروال firewalld را برای همیشه فعال کنید. در طول پیکربندی هم اگر نیاز داشتید که سرور را reboot کنید، باید طبق دستور اول این آموزش سرویس فایروال را شروع (Start) کنید. الان با دستور زیر آن را فعال (Enable) میکنیم.
systemctl enable firewalld
وقتی فایروال فعال شد، حالا از الان به بعد وقتی سرور شروع به بالا آمدن می کند، firewalld هم کار خود را شروع میکند. علاوه بر آن هر رابط شبکه تنظیمات قواعد ناحیۀ تنظیم شده برای خود را می گیرد و شروع به حفاظت از سیستم شما می کند.
شما از الان به بعد باید بتوانید به راحتی با firewalld کار کنید و تنظیمات و پیکربندی های لازم را روی دیوار آتش خود در CentOS 7 انجام دهید. اگر نکته ای هم مانده که باید بدانید و اطلاعات خود را افزایش دهید، از مستندات firewalld که با دستور man قابل دسترس می باشد هم غافل نشوید. آموزش های خوب و کاملی در مستندات خود سرویس ها و برنامه های کاربردی لینوکس موجود است که حتماً از آنها هم استفاده کنید. در آموزش های بعدی به سراغ رابط های ساده تر و جذاب تر کانفیگ فایروال CentOS خواهیم رفت.
۰ دیدگاه