{"id":956,"date":"2017-05-03T13:20:42","date_gmt":"2017-05-03T11:20:42","guid":{"rendered":"http:\/\/miroslaw.borodziuk.eu\/?p=956"},"modified":"2017-08-01T09:52:47","modified_gmt":"2017-08-01T07:52:47","slug":"firewall","status":"publish","type":"post","link":"http:\/\/miro.borodziuk.eu\/index.php\/2017\/05\/03\/firewall\/","title":{"rendered":"Firewall"},"content":{"rendered":"

Firewall to warstwa ochronna skonfigurowana pomi\u0119dzy sieci\u0105 prywatn\u0105 i publiczn\u0105 (Internetem). Istnieje wiele rodzaj\u00f3w firewalli, jeden z nich przeprowadza filtrowanie pakiet\u00f3w. Pakiet danych powstaje w procesie zwanym enkapsulacj\u0105<\/em>, polegaj\u0105cym na dodawaniu informacji nag\u0142\u00f3wkowych do komunikatu w czasie formowaniu pakiety. Nag\u0142\u00f3wek zawiera takie informacje jak: \u017ar\u00f3d\u0142owy i docelowy adres IP, port i typ danych. W oparciu o zdefiniowane regu\u0142y firewall przechwytuje wszystkie przychodz\u0105ce i wychodz\u0105ce pakiety, sprawdza nag\u0142\u00f3wek i podejmuje decyzj\u0119 czy pu\u015bci\u0107 pakiet dalej. Porty dla ka\u017cdej us\u0142ugi dost\u0119pnej w systemie zdefiniowane s\u0105 w pliku \/etc\/services<\/code> i s\u0105 takie same we wszystkich systemach operacyjnych \u0142\u0105cznie z RHEL.<\/p>\n

Tworzenie firewalla przy pomocy iptables lub firewalld.<\/span><\/p>\n

Pocz\u0105wszy od RHEL7.0 us\u0142ugi iptables<\/em> i firewall mog\u0105 by\u0107 konfigurowane\u00a0 i zarz\u0105dzane przez demona firewalld<\/em>. G\u0142\u00f3wn\u0105 zalet\u0105 demona firewalld<\/em> jest mo\u017cliwo\u015b\u0107 wprowadzania aktualizacji bez zak\u0142\u00f3cania po\u0142\u0105cze\u0144 sieciowych, restartowania us\u0142ugi czy restartowania systemu. Zarz\u0105dza\u0107 demonem firewalld<\/em> mo\u017cna z poziomu komendy firewall-cmd, graficznie narz\u0119dziem firewall-config lub manualnie poprzez edycj\u0119 odpowiednich plik\u00f3w.<\/p>\n

\"\"<\/p>\n

Iptables bez firewalld przechowuje swoje regu\u0142y w pliku \/etc\/sysconfig\/iptables<\/code>.\u00a0 Iptables z firewalld zapisuje regu\u0142y w katalogu \/etc\/firewalld<\/code> i dostarcza wiele szablon\u00f3w dla r\u00f3\u017cnych us\u0142ug w katalogu \/usr\/lib\/firewalld<\/code>. Te szablony mog\u0105 by\u0107 kopiowane i modyfikowane do wykorzystania dla nowych us\u0142ug.<\/p>\n

W jednym zadanym czasie mo\u017cna zarz\u0105dza\u0107 firewallem tylko w jeden spos\u00f3b: albo metod\u0105 iptables<\/em> albo metod\u0105 firewalld<\/em>, nie mo\u017cna obu tych metod stosowa\u0107 r\u00f3wnolegle.<\/p>\n

Plik konfiguracyjny iptables: \/etc\/sysconfig\/iptables<\/code>.<\/span><\/p>\n

Domy\u015blna zawarto\u015b\u0107 pliku:
\n # cat \/etc\/sysconfig\/iptables<\/code>
\n*filter<\/code><\/span>
\n :INPUT ACCEPT [0:0]<\/code><\/span>
\n :FORWARD ACCEPT [0:0]<\/code><\/span>
\n :OUTPUT ACCEPT [9:1624]<\/code><\/span>
\n -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT<\/code><\/span>
\n -A INPUT -p icmp -j ACCEPT<\/code><\/span>
\n -A INPUT -i lo -j ACCEPT<\/code><\/span>
\n -A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT<\/code><\/span>
\n -A INPUT -j REJECT --reject-with icmp-host-prohibited<\/code><\/span>
\n -A FORWARD -j REJECT --reject-with icmp-host-prohibited<\/code><\/span>
\n COMMIT<\/code><\/span><\/p>\n

iptables pozwala nam definiowa\u0107 tabele zawieraj\u0105ce grupy regu\u0142 zwane \u0142a\u0144cuchami, ka\u017cda tabela powi\u0105zana jest z przetwarzaniem pakiet\u00f3w r\u00f3\u017cnych typ\u00f3w. W przyk\u0142adzie powy\u017cej zdefiniowana zosta\u0142a jedna domy\u015blna tabela nazwana filter<\/em>, kt\u00f3ra zawiera trzy predefiniowane \u0142a\u0144cuchy (INPUT, FORWARD i OUTPUT) z \u0142a\u0144cuchem INPUT zawieraj\u0105cym wiele regu\u0142. Wszystkie przychodz\u0105ce i wychodz\u0105ce pakiety przechodz\u0105 przez co najmniej jeden z tych skonfigurowanych \u0142a\u0144cuch\u00f3w. Pakiety przeznaczone dla lokalnego systemu u\u017cywaj\u0105 \u0142a\u0144cucha INPUT, pakiety wychodz\u0105ce z systemu lokalnego u\u017cywaj\u0105 \u0142a\u0144cucha OUTPUT, pakiety kt\u00f3re maj\u0105 by\u0107 przeroutowane do innej sieci u\u017cywaj\u0105 \u0142a\u0144cucha FORWARD. Ka\u017cdy \u0142a\u0144cuch ma swoj\u0105 polityk\u0105 zwan\u0105 celem (targetem), kt\u00f3ry mo\u017ce przyjmowa\u0107 taki warto\u015bci jak: ACCEPT, REJECT, DROP lub LOG. Polityka ACCEPT pozwala przej\u015b\u0107 pakietowi, polityka REJECT odrzuca pakiet i wysy\u0142a komunikat zwrotny, polityka DROP odrzuca pakiet bez \u017cadnego powiadomienia, polityka LOG wysy\u0142a informacje o pakiecie do demona rsyslogd<\/em> celem logowania. W przyk\u0142adzie powy\u017cej zauwa\u017cy\u0107 mo\u017cna tak\u017ce pozycj\u0119 “state<\/em>“, kt\u00f3ra okre\u015bla ona stan przychodz\u0105cego po\u0142\u0105czenia. Po\u0142\u0105czenie mo\u017ce by\u0107 w stanie: NEW, ESTABILISHED, RELATED lub INVALID. Stan NEW identyfikuje pakiet, kt\u00f3ry nie jest cz\u0119\u015bci\u0105 istniej\u0105cego po\u0142\u0105czenia, stan ESTABILISHED wskazuje, \u017ce pakiet jest cz\u0119\u015bci\u0105 istniej\u0105cego po\u0142\u0105czenia, stan RELATED oznacza, \u017ce pakiet zosta\u0142 wygenerowany w relacji z inn\u0105 istniej\u0105c\u0105 komunikacj\u0105, stan INVALID okre\u015bla \u017ce pakiet nie pasuje do innych stan\u00f3w.<\/p>\n

Pierwsza regu\u0142a w pliku wy\u017cej powoduje akceptacj\u0119 wszystkich po\u0142\u0105cze\u0144 przychodz\u0105cych, druga regu\u0142a b\u0119dzie zezwala\u0107 na przychodz\u0105ce zapytania ICMP (pingi), trzecia regu\u0142a b\u0119dzie zezwala\u0107 na po\u0142\u0105czenia przychodz\u0105ce na interfejsie loopback (p\u0119tla), czwarta regu\u0142a b\u0119dzie pozwala\u0107 na ruch TCP na porcie 22 (ssh). Ostatnie die regu\u0142y b\u0119d\u0105 odrzuca\u0107 jakiekolwiek pakiety sieciowe z jakiegokolwiek \u017ar\u00f3d\u0142a z komunikatem icmp-host-prohhibited<\/em> odsy\u0142anym z powrotem do systemu \u017ar\u00f3d\u0142owego.<\/p>\n

Plik mo\u017ce by\u0107 edytowany w edytorze tekstu, komend\u0105 iptables<\/em> lub komend\u0105 lokkit<\/em> (cz\u0119\u015b\u0107 pakietu system-config-firewall-base).<\/p>\n

 <\/p>\n

Kontrolowanie us\u0142ug iptables i firewalld.<\/span><\/p>\n

Us\u0142ugi iptables<\/em> i firewalld<\/em> nie mog\u0105 by\u0107 uruchomione r\u00f3wnolegle.<\/p>\n

Automatyczne uruchamianie firewalld<\/em> przy starcie systemu:
\n# systemctl enable firewalld<\/code>
\nln -s '\/usr\/lib\/systemd\/system\/firewalld.service' '\/etc\/systemd\/system\/dbus-org.fedoraproject.FirewallD1.service'<\/code><\/span>
\n ln -s '\/usr\/lib\/systemd\/system\/firewalld.service' \u2018\/etc\/systemd\/system\/basic.target.wants\/firewalld.service'<\/code><\/span><\/p>\n

Uruchamianie us\u0142ugi firewalld:
\n# systemctl start firewalld<\/code><\/p>\n

Sprawdzenie statusu us\u0142ugi firewalld:
\n# systemctl status firewalld \u2013l<\/code>
\n firewalld.service - firewalld - dynamic firewall daemon<\/code><\/span>
\n Loaded: loaded (\/usr\/lib\/systemd\/system\/firewalld.service; enabled)<\/code><\/span>
\n Active: active (running) since Sat 2014-11-08 08:10:31 EST; 1min 27s ago<\/code><\/span>
\n Main PID: 18228 (firewalld)<\/code><\/span>
\n CGroup: \/system.slice\/firewalld.service<\/code><\/span>
\n \u2514\u250018228 \/usr\/bin\/python -Es \/usr\/sbin\/firewalld --nofork --nopid<\/code><\/span>
\n Nov 08 08:10:30 server1.example.com systemd[1]: Starting firewalld - dynamic firewall daemon\u2026<\/code><\/span>
\n Nov 08 08:10:31 server1.example.com systemd[1]: Started firewalld - dynamic firewall daemon.<\/code><\/span><\/p>\n

Zatrzymanie us\u0142ugi:
\n# systemctl stop firewalld<\/code><\/p>\n

Usuni\u0119cie us\u0142ugi firewalld z autostartu:
\n# systemctl disable firewalld<\/code>
\n rm '\/etc\/systemd\/system\/basic.target.wants\/firewalld.service'<\/code><\/span>
\n rm '\/etc\/systemd\/system\/dbus-org.fedoraproject.FirewallD1.service'<\/code><\/span><\/p>\n

Automatyczne uruchamianie iptables<\/em> przy starcie systemu:
\n# systemctl enable iptables<\/code>
\n ln -s '\/usr\/lib\/systemd\/system\/iptables.service' '\/etc\/systemd\/system\/basic.target.wants\/iptables.service'<\/code><\/span><\/p>\n

Uruchamianie us\u0142ugi iptables:
\n# systemctl start iptables<\/code><\/p>\n

Sprawdzenie statusu:
\n# systemctl status iptables \u2013l<\/code>
\n iptables.service - IPv4 firewall with iptables<\/code><\/span>
\n Loaded: loaded (\/usr\/lib\/systemd\/system\/iptables.service; enabled)<\/code><\/span>
\n Active: active (exited) since Sat 2014-11-08 08:16:59 EST; 23s ago<\/code><\/span>
\n Process: 18784 ExecStart=\/usr\/libexec\/iptables\/iptables.init start (code=exited, status=0\/SUCCESS)<\/code><\/span>
\n Main PID: 18784 (code=exited, status=0\/SUCCESS)<\/code><\/span>
\n Nov 08 08:16:59 server1.example.com iptables.init[18784]: iptables: Applying firewall rules: [ OK ]<\/code><\/span>
\n Nov 08 08:16:59 server1.example.com systemd[1]: Started IPv4 firewall with iptables.<\/code><\/span><\/p>\n

Komenda iptables.<\/span><\/p>\n

Komenda ta u\u017cywana jest do modyfikowania regu\u0142 firewalla gdy wy\u0142\u0105czony jest demon firewalld<\/em>. Opcje zwi\u0105zane z komend\u0105 iptables<\/em> zawiera tabela poni\u017cej.<\/p>\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n
Opcja<\/em><\/span><\/td>\nOpis<\/em><\/span><\/td>\n<\/tr>\n
-A (append)<\/span><\/code><\/span><\/td>\nDodaje jedn\u0105 lub wi\u0119cej regu\u0142 na koniec \u0142a\u0144cucha.<\/td>\n<\/tr>\n
-I (--insert)<\/span><\/code><\/span><\/td>\nDodaje jedn\u0105 lub wi\u0119cej regu\u0142 na pocz\u0105tek \u0142a\u0144cucha.<\/td>\n<\/tr>\n
-D (--delete)<\/span><\/code><\/span><\/td>\nKasuje jedn\u0105 lub wi\u0119cej regu\u0142 \u0142a\u0144cucha.<\/td>\n<\/tr>\n
-F (--flush)<\/span><\/code><\/span><\/td>\nCzy\u015bci \u0142a\u0144cuch lub tabel\u0119.<\/td>\n<\/tr>\n
-L (--list)<\/span><\/code><\/span><\/td>\nListuje za\u0142adowane regu\u0142y.<\/td>\n<\/tr>\n
-N (--new-chain)<\/span><\/code><\/span><\/td>\nDodaje nowy \u0142a\u0144cuch.<\/td>\n<\/tr>\n
-R (--replace)<\/span><\/code><\/span><\/td>\nZamienia regu\u0142\u0119 w \u0142a\u0144cuchu.<\/td>\n<\/tr>\n
-X (--delete-chain)<\/span><\/code><\/span><\/td>\nKasuje \u0142a\u0144cuch.<\/td>\n<\/tr>\n
-d (--destination)<\/span><\/code><\/span><\/td>\nOkre\u015bla adres przeznaczenia<\/td>\n<\/tr>\n
--dport<\/code><\/span><\/td>\nOkre\u015bla numer portu przeznaczenia<\/td>\n<\/tr>\n
-i (--in-interface)<\/span><\/code><\/span><\/td>\nOkre\u015bla interfejs sieciowy<\/td>\n<\/tr>\n
-j (--jump)<\/span><\/code><\/span><\/td>\nOkre\u015bla gdzie pakiet ma przeskoczy\u0107 je\u017celi regu\u0142a zostanie dopasowana<\/td>\n<\/tr>\n
-m (--match)<\/span><\/code><\/span><\/td>\nOkre\u015bla nazw\u0119 dopasowania<\/td>\n<\/tr>\n
-o (--out-interface)<\/span><\/code><\/span><\/td>\nOkre\u015bla interfejs sieciowy u\u017cywany dla pakiet\u00f3w wychodz\u0105cych.<\/td>\n<\/tr>\n
-p (--protocol)<\/span><\/code><\/span><\/td>\nDefiniuje protok\u00f3\u0142 wg pliku \/etc\/protocols<\/code><\/td>\n<\/tr>\n
-s (--source)<\/span><\/code><\/span><\/td>\nOkre\u015bla adres \u017ar\u00f3d\u0142owy<\/td>\n<\/tr>\n
-t (--table)<\/span><\/code><\/span><\/td>\nOkre\u015bla typ tabeli. Domy\u015blna jest tabela filter.<\/td>\n<\/tr>\n
-v (--verbose)<\/span><\/code><\/span><\/td>\nWy\u015bwietla dok\u0142adniejsze informacje na wyj\u015bciu.<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Wy\u015bwietlanie listy za\u0142adowanych regu\u0142 iptables w systemie:<\/p>\n

# iptables -L -n<\/span>
\nChain INPUT (policy ACCEPT)
\ntarget\u00a0\u00a0\u00a0\u00a0 prot opt source\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 destination
\nACCEPT\u00a0\u00a0\u00a0\u00a0 all\u00a0 --\u00a0 0.0.0.0\/0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 0.0.0.0\/0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 state RELATED,ESTABLISHED
\nACCEPT\u00a0\u00a0\u00a0\u00a0 icmp --\u00a0 0.0.0.0\/0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 0.0.0.0\/0
\nACCEPT\u00a0\u00a0\u00a0\u00a0 all\u00a0 --\u00a0 0.0.0.0\/0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 0.0.0.0\/0
\nACCEPT\u00a0\u00a0\u00a0\u00a0 tcp\u00a0 --\u00a0 0.0.0.0\/0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 0.0.0.0\/0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 state NEW tcp dpt:80
\nACCEPT\u00a0\u00a0\u00a0\u00a0 tcp\u00a0 --\u00a0 10.0.0.0\/8 \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 0.0.0.0\/0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 state NEW tcp dpt:22
\nACCEPT\u00a0\u00a0\u00a0\u00a0 tcp\u00a0 --\u00a0 X.Y.Z.0\/24\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 0.0.0.0\/0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 state NEW tcp dpt:22
\nREJECT\u00a0\u00a0\u00a0\u00a0 all\u00a0 --\u00a0 0.0.0.0\/0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 0.0.0.0\/0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 reject-with icmp-host-prohibited<\/code><\/span><\/p>\n

Chain FORWARD (policy ACCEPT)<\/span><\/code>
\n target\u00a0\u00a0\u00a0\u00a0 prot opt source\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 destination<\/span><\/code>
\n REJECT\u00a0\u00a0\u00a0\u00a0 all\u00a0 --\u00a0 0.0.0.0\/0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 0.0.0.0\/0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 reject-with icmp-host-prohibited<\/span><\/code><\/p>\n

Chain OUTPUT (policy ACCEPT)<\/span><\/code>
\n target\u00a0\u00a0\u00a0\u00a0 prot opt source\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 destination<\/span><\/code><\/p>\n

 <\/p>\n

\u0106wiczenie 1. Dodawanie i aktywacja regu\u0142 iptables.
\nUruchamiamy iptables z opcj\u0105 -F \u017ceby wykasowa\u0107 wszystkie istniej\u0105ce regu\u0142y:
\n# iptables \u2013F<\/code><\/p>\n

Dodajemy regu\u0142\u0119 do tabeli filter aby pozwoli\u0107 na ruch przychodz\u0105cy na porcie 80:
\n# iptables \u2013t filter \u2013A INPUT \u2013p tcp --dport 80 \u2013j ACCEPT<\/code><\/p>\n

Dodajemy regu\u0142\u0119 aby odrzuci\u0107 ruch wychodz\u0105cy ICMP bez wysy\u0142ania komunikat\u00f3w zwrotnych:
\n# iptables \u2013A OUTPUT \u2013p icmp \u2013j DROP<\/code><\/p>\n

Dodajemy regu\u0142\u0119 do forwardowania ca\u0142ego ruchu przychodz\u0105cego do sieci 192.168.0.0\/24:
\n# iptables \u2013A FORWARD \u2013d 192.168.0.0\/24 \u2013j ACCEPT<\/code><\/p>\n

Dodajemy regu\u0142\u0119 na pocz\u0105tku wszystkich regu\u0142 aby zezwoli\u0107 na pierwszy i wszystkie nast\u0119pne przychodz\u0105ce po\u0142\u0105czenia FTP na porcie 21:
\n# iptables \u2013I INPUT \u2013m state --state NEW \u2013p tcp --dport 21 \u2013j ACCEPT<\/code><\/p>\n

Dodajemy regu\u0142\u0119 aby zabroni\u0107 ruchu istniej\u0105cym i nowym wychodz\u0105cym po\u0142\u0105czeniom na porcie 25:
\n# iptables \u2013A OUTPUT \u2013m state --state NEW,ESTABLISHED \u2013p tcp --dport 25 \u2013j DROP<\/code><\/p>\n

Zapisanie zmian w pliku \/etc\/sysconfig\/iptables<\/code>:
\n# service iptables save<\/code>
\n iptables: Saving firewall rules to \/etc\/sysconfig\/iptables: [ OK ]<\/code><\/span><\/p>\n

Dodanie us\u0142ugi iptables<\/em> do autostartu:
\n# systemctl enable iptables<\/code><\/p>\n

Sprawdzamy list\u0119 za\u0142adowanych regu\u0142 iptables<\/em>:
\n# iptables -L<\/code><\/p>\n

 <\/p>\n

\u0106wiczenie 2. Dodawanie i usuwanie regu\u0142 iptables.
\nDodajemy regu\u0142\u0119 aby zezwoli\u0107 na ruch przychodz\u0105cy na porcie 90 z podsieci 192.168.1.0\/24:
\n# iptables \u2013I INPUT \u2013s 192.168.1.0\/24 \u2013p tcp --dport 90 \u2013j ACCEPT<\/code><\/p>\n

Dodajemy regu\u0142\u0119 aby odrzuca\u0107 ca\u0142y przychodz\u0105cy ruch z podsieci 192.168.3.0\/24 na interfejsie eth1:
\n# iptables \u2013A INPUT \u2013s 192.168.3.0\/24 \u2013i eth1 \u2013j DROP<\/code><\/p>\n

Dodajemy regu\u0142\u0119 aby odrzuca\u0107 ruch wychodz\u0105cy ICMP do wszystkich system\u00f3w z podsieci 192.168.3.0\/24 za wyj\u0105tkiem adresu IP 192.168.3.3\/24:
\n# iptables \u2013I INPUT ! \u2013d 192.168.3.3\/24 \u2013p icmp \u2013j DROP<\/code><\/p>\n

Dodajemy regu\u0142\u0119 aby forwardowa\u0107 ca\u0142y ruch przychodz\u0105cy z 192.168.1.0\/24 do 192.168.2.0\/24:
\n# iptables \u2013A FORWARD \u2013s 192.168.1.0\/24 \u2013d 192.168.2.0\/24 \u2013j ACCEPT<\/code><\/p>\n

Kasujemy powy\u017csz\u0105 regu\u0142\u0119:
\n# iptables \u2013D FORWARD \u2013s 192.168.1.0\/24 \u2013d 192.168.2.0\/24 \u2013j ACCEPT<\/code><\/p>\n

Zapisujemy wszystkie regu\u0142y w pliku \/etc\/sysconfig\/iptables<\/code>:
\n# service iptables save<\/code><\/p>\n

Sprawdzamy list\u0119 za\u0142adowanych regu\u0142 iptables<\/em>:
\n# iptables -L<\/code><\/p>\n

 <\/p>\n

Pliki konfiguracyjne demona firewalld<\/em>.<\/span><\/p>\n

Demon firewalld sk\u0142aduje regu\u0142y firewalla z pliku XML w dw\u00f3ch r\u00f3\u017cnych lokalizacjach:\u00a0 \/usr\/lib\/firewalld<\/code> oraz\u00a0 \/etc\/firewalld<\/code>.\u00a0 Pliki z katalogu \/usr\/lib\/firewalld\/services<\/code> mog\u0105 by\u0107 wykorzystane jako szablony i przekopiowane do katalogu \/etc\/firewalld\/services<\/code>. Demon firewalld<\/em> czyta pliki zlokalizowane w katalogu \/etc\/firewalld<\/code> i stosuje regu\u0142y w nich zawarte.
\n <\/i><\/p>\n

Przyk\u0142adowy plik XML z szablonem dla us\u0142ugi SSH:<\/p>\n

# cat \/usr\/lib\/systemd\/services\/ssh.xml<\/code>
\n<?xml version=\"1.0\" encoding=\"utf-8\"?><\/code><\/span>
\n<service><\/code><\/span>
\n<short>SSH<\/short><\/code><\/span>
\n<description>Secure Shell (SSH) is a protocol for logging into and executing commands on remote machines. It provides secure<\/code><\/span>
\nencrypted communications. If you plan on accessing your machine remotely via SSH over a firewalled interface, enable this option.<\/code><\/span>
\nYou need the openssh-server package installed for this option to be useful.<\/description><\/code><\/span>
\n<port protocol=\"tcp\" port=\"22\"\/><\/code><\/span>
\n<\/service><\/code><\/span><\/p>\n","protected":false},"excerpt":{"rendered":"

Firewall to warstwa ochronna skonfigurowana pomi\u0119dzy sieci\u0105 prywatn\u0105 i publiczn\u0105 (Internetem). Istnieje wiele rodzaj\u00f3w firewalli, jeden z nich przeprowadza filtrowanie pakiet\u00f3w. Pakiet danych powstaje w procesie zwanym enkapsulacj\u0105, polegaj\u0105cym na dodawaniu informacji nag\u0142\u00f3wkowych do komunikatu w czasie formowaniu pakiety. Nag\u0142\u00f3wek zawiera takie informacje jak: \u017ar\u00f3d\u0142owy i docelowy adres IP, port i typ danych. W oparciu … <\/p>\n

Continue reading “Firewall”<\/span><\/a><\/p>\n","protected":false},"author":1,"featured_media":998,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[46,49],"tags":[],"_links":{"self":[{"href":"http:\/\/miro.borodziuk.eu\/index.php\/wp-json\/wp\/v2\/posts\/956"}],"collection":[{"href":"http:\/\/miro.borodziuk.eu\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/miro.borodziuk.eu\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/miro.borodziuk.eu\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"http:\/\/miro.borodziuk.eu\/index.php\/wp-json\/wp\/v2\/comments?post=956"}],"version-history":[{"count":35,"href":"http:\/\/miro.borodziuk.eu\/index.php\/wp-json\/wp\/v2\/posts\/956\/revisions"}],"predecessor-version":[{"id":1196,"href":"http:\/\/miro.borodziuk.eu\/index.php\/wp-json\/wp\/v2\/posts\/956\/revisions\/1196"}],"wp:featuredmedia":[{"embeddable":true,"href":"http:\/\/miro.borodziuk.eu\/index.php\/wp-json\/wp\/v2\/media\/998"}],"wp:attachment":[{"href":"http:\/\/miro.borodziuk.eu\/index.php\/wp-json\/wp\/v2\/media?parent=956"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/miro.borodziuk.eu\/index.php\/wp-json\/wp\/v2\/categories?post=956"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/miro.borodziuk.eu\/index.php\/wp-json\/wp\/v2\/tags?post=956"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}