man
設定する前に、関連するすべてのページを読み、プレインストールされているすべてのファイルにfirewalld
移動しました。firewalld
最大のセキュリティを提供するzones
ように設定する方法は?firewall
private web application
ユースケースは次のとおりです。
1.) Twenty known users will have http/https access to the web
application from specific machines.
2.) One administrator will have remote ssh login access.
3.) The app will send and receive SSL email with the 20 users, the
administrator, and with a known group of other users that will
change over time and that will be defined by the users through
the web application.
4.) The app includes a database, a war file, and uses various services.
5.) All usage not described in steps 1 through 4 will be blocked.
私が理解したように、1つ以上のゾーンにインターフェイスを追加し、そのインターフェイスを持つゾーンにサービスを追加する必要があります。また、ソースIPアドレスをゾーンに追加できることもわかります。また、豊富なルールを使用して構成を定義できることも発見しました。しかし、私は以前にファイアウォールを構成したことがありません。 firewalld
誰かが上記のユースケースをリモートWebサーバーCentOS 7
の特定のゾーン/インターフェース/サービス/ソースに変換する方法を教えてください。
しかもそう/etc/firewalld/firewalld.conf
言いましたね。それは何でなければならないか。default zone
public
default zone
答え1
また、確認する必要がありますこれFedora Wikiページ。最も厳しい方法なので、ドロップゾーンを使いたいと思います。
- IPからポート22(または他のSSHポート)に接続し
firewall-cmd ---permanent -zone=home --add-forward-port=port=22:proto=tcp:toaddr=xxx.xxx.xxx.xxx
、次の手順で自分のIPアドレスを受け入れるための高度なルールを作成します。 firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="xxx.xxx.xxx.xxx" allow'
すべてのIPアドレスについて- http、httpsなどのサービスを追加(現在、すべてのユーザーが利用可能)
firewall-cmd --permanent --zone=drop --add-service=<service>
firewall-cmd --reload
これらの永続ルールを適用するには、実行してください。- インターフェイスを変更して
firewall-cmd --zone=drop --add-interface=<interface>
古い領域から削除する必要があるかもしれません。 (firewall-cmd --list-all-zones
firewalldがインターフェイスが複数の領域にあることを許可していることを確認してください。) - SSHアクセスが失われていない場合は、すべてが機能するはずです。最後のコマンドを再実行する必要がありますが、今は --permanent スイッチを使用します。
しかし、Webアプリケーションの特定のユーザーリストへのアクセスをどのように許可しますか?もちろん、私が説明した設定は、各ユーザーが静的IPアドレスを持っている場合にのみ機能します。
編集:以下は、ゾーンの概念の簡単な説明です。この機能は実際にはサーバーにとってあまり役に立ちませんが、より良い例はラップトップです。自宅にいるときは、dlnaを介して自動的に音楽を共有できます。この場合、ホームエリアでdlnaポートを開き、ホームWiFiまたはイーサネットLANにある場合は、ファイアウォールエリアをホームに切り替えるようにNetworkManagerを設定します。ただし、public
パブリックWiFiホットスポットにサインアップすると、パブリックネットワークに対して異なるルールが自動的に適用され、この共有を有効にする必要がないため、デフォルトゾーンにする必要があります。たとえば、ホームネットワークの外部からSSH経由でホームサーバーにアクセスする場合は、ファイアウォールルール以外のセキュリティテクノロジを使用するには、ファイアウォールを「パブリック」に設定し、デフォルトでSSHポートのどこからでも接続を許可する必要があります。 。この非常に脆弱なSSHアクセスを保護するには、クライアント証明書認証とIP移動の変更が発生したときに無差別代入攻撃を識別してブロックできるfall2banというプログラムのみを使用するように構成する必要があります。 Web サーバーには、アクセス制限などの特定の機能もあります。