Инструкция по настройке межсетевого экрана на виртуальном сервере с операционной системой CentOS с помощью system-config-firewall с текстовым интерфейсом.
Что такое system-config-firewall?
Утилита system-config-firewall позволяет редактировать правила iptables с помощью удобного текстового интерфейса, что удобно использовать начинающим пользователям Linux. Устанавливается утилита командой sudo yum install system-config-firewall-tui.
По умолчанию на Centos используется firewalld, чтобы его отключить и убрать из автозагрузки используйте следующие команды:
sudo systemctl stop firewalld.service
sudo systemctl disable firewalld.service
Настройка брандмауэра
Для запуска утилиты используйте:
sudo system-config-firewall-tui
Перед вами откроется интерфейс для управления, перемещаться между опциями можно с помощью клавиши Tab, выбор можно сделать с помощью пробела. Чтобы включить брандмауер отметьте Enable и нажмите Customize.
В следующем окне вы можете выбрать службы, которые необходимо разрешить. После выбора нажмите клавишу Forward.
Меню Other Ports позволяет открывать дополнительные порты, не входящие в список стандартных доверенных служб, или редактировать существующий список дополнительных портов. Для этого нажмите Add.
Чтобы добавить другие порты, укажите один порт или диапазон портов, выберите протокол между tcp или udp. Формат диапазона портов: beginningPort - endingPort, например:
80-91
Порт отобразится в списке. Нажмите Forward.
Меню Trusted Interfaces (доверенных интерфейсов) позволяет пропускать весь трафик через сетевой интерфейс. Весь трафик будет разрешен, и правила фильтрации будут иметь меньший приоритет. Рекомендуется выбирать только те интерфейсы, которые находятся внутри локальной сети, а не которые напрямую связаны с Интернетом.
Меню Masquerading позволяет выбрать интерфейс для маскировки. Маскарадинг лучше известен как NAT (трансляция сетевых адресов), это полезно, например, когда ваш сервер используется в качестве шлюза для доступа в Интернет.
Далее можно настроить Port Forwarding (переадресацию портов), это позволит трафику с одного порта перенаправляться на другой порт.
В блоке Source необходимо указать откуда перенаправлять трафик (интерфейс, протокол и порт), в блоке Destination необходимо указать куда перенаправить трафик (IP-адрес и порт).
Настройки будут выглядеть следующим образом.
Меню ICMP Filter позволяет настроить отклонение различных типов ICMP-пакетов. По умолчанию никаких отклонений не происходит, но вы можете определить правила для отклонения такого трафика.
Наконец, вы можете добавить собственные правила брандмауэра. Для добавления нажмите Add.
Правила должны быть заранее подготовлены в специальных файлах, которые используют тот же формат, что и файл iptables. Необходимо указать тип протокола (ipv4 или ipv6), таблицу iptables и сам файл.
Запись будет выглядеть следующим образом. Для завершения конфигурации нажмите Cancel.
Когда вы закончите конфигурирование Firewall нажмите OK.
Перед вами появится предупреждающее сообщение. Выберите Yes, если выбранная вами конфигурация подходит вам и выйти из интерфейса, или No, чтобы вернуться к экрану конфигурации брандмауэра.
На этом настройка завершена. Рекомендуем также ознакомиться с другими инструкциями: