RHEL, Rocky और AlmaLinux में FirewallD को कैसे कॉन्फ़िगर करें
नेट-फ़िल्टर जैसा कि हम सभी जानते हैं कि यह Linux में फ़ायरवॉल है। Firewalld नेटवर्क ज़ोन के समर्थन के साथ फायरवॉल प्रबंधित करने के लिए एक गतिशील डेमॉन है। पिछले संस्करण में, आरएचईएल और सेंटोस हम पैकेट फ़िल्टरिंग ढांचे के लिए एक डेमन के रूप में iptables का उपयोग कर रहे हैं।
आरएचईएल-आधारित वितरण के नए संस्करणों जैसे कि फेडोरा, रॉकी लिनक्स, सेंटोस स्ट्रीम, अल्मालिनक्स और ओपनएसयूएसई में - iptables इंटरफ़ेस को फ़ायरवॉल द्वारा प्रतिस्थापित किया जा रहा है।
[आप यह भी पसंद कर सकते हैं: लिनक्स सिस्टम के लिए 10 उपयोगी ओपन सोर्स सुरक्षा फ़ायरवॉल]
iptables के बजाय फ़ायरवॉल का उपयोग शुरू करने की अनुशंसा की जाती है क्योंकि यह भविष्य में बंद हो सकता है। हालाँकि, iptables अभी भी समर्थित है और इसे yum कमांड के साथ संस्थापित किया जा सकता है। हम Firewalld और iptables दोनों को एक ही सिस्टम में नहीं रख सकते, जिससे विरोध हो सकता है।
Iptables में, हम INPUT, OUTPUT और FORWARD CHAINS के रूप में कॉन्फ़िगर करते थे लेकिन यहाँ फ़ायरवॉल में, अवधारणा ज़ोन का उपयोग करती है। डिफ़ॉल्ट रूप से, फ़ायरवॉल में विभिन्न क्षेत्र उपलब्ध हैं, जिनकी चर्चा इस लेख में की जाएगी।
बेसिक जोन जो पब्लिक जोन और प्राइवेट जोन की तरह होते हैं। इन क्षेत्रों के साथ काम करने के लिए, हमें निर्दिष्ट ज़ोन समर्थन के साथ इंटरफ़ेस जोड़ने की आवश्यकता है और फिर हम फायरवॉल में सेवाओं को जोड़ सकते हैं।
डिफ़ॉल्ट रूप से, कई सेवाएँ उपलब्ध हैं, फ़ायरवॉल की सबसे अच्छी विशेषताओं में से एक है, यह पूर्व-निर्धारित सेवाओं के साथ आती है और हम इन सेवाओं को केवल कॉपी करके अपनी सेवाओं को जोड़ने के लिए एक उदाहरण के रूप में ले सकते हैं।
फ़ायरवॉल IPv4, IPv6 और ईथरनेट ब्रिज के साथ भी बढ़िया काम करता है। हमारे पास फ़ायरवॉल में एक अलग रन-टाइम और स्थायी कॉन्फ़िगरेशन हो सकता है।
चलिए शुरू करते हैं कि ज़ोन के साथ कैसे काम करें और अपनी खुद की सेवाओं का निर्माण करें और लिनक्स में फ़ायरवॉल का अधिक रोमांचक उपयोग करें।
Operating System : Red Hat Enterprise Linux release 9.0 (Plow) IP Address : 192.168.0.159 Host-name : tecmint-rhel9
चरण 1: आरएचईएल-आधारित सिस्टम में फ़ायरवॉल स्थापित करना
1. फ़ायरवॉल पैकेज RHEL, Fedora, Rocky Linux, CentOS Stream, AlmaLinux, और openSUSE में डिफ़ॉल्ट रूप से स्थापित है। यदि नहीं, तो आप निम्न यम कमांड का उपयोग करके इसे स्थापित कर सकते हैं।
# yum install firewalld -y
2. फ़ायरवॉल पैकेज स्थापित होने के बाद, यह सत्यापित करने का समय है कि iptables सेवा चल रही है या नहीं, यदि चल रही है, तो आपको नीचे दिए गए आदेशों के साथ iptables सेवा को रोकने और मास्क (अब और उपयोग नहीं) करने की आवश्यकता है।
# systemctl status iptables # systemctl stop iptables # systemctl mask iptables
चरण 2: फ़ायरवॉल घटक (क्षेत्र और नियम) को समझना
3. फ़ायरवॉल कॉन्फ़िगरेशन के लिए आगे बढ़ने से पहले, मैं प्रत्येक ज़ोन पर चर्चा करना चाहूंगा। डिफ़ॉल्ट रूप से, कुछ क्षेत्र उपलब्ध हैं। हमें ज़ोन को इंटरफ़ेस असाइन करने की आवश्यकता है। एक ज़ोन उस ज़ोन को परिभाषित करता है जो एक कनेक्शन प्राप्त करने के लिए इंटरफ़ेस पर विश्वसनीय या अस्वीकृत स्तर था। एक ज़ोन में सेवाएँ और पोर्ट हो सकते हैं।
यहां, हम फ़ायरवॉल में उपलब्ध प्रत्येक ज़ोन का वर्णन करने जा रहे हैं।
- ड्रॉप ज़ोन: यदि हम ड्रॉप ज़ोन का उपयोग करते हैं तो कोई भी आने वाला पैकेट ड्रॉप हो जाता है। यह वैसा ही है जैसा हम iptables -j drop जोड़ने के लिए उपयोग करते हैं। यदि हम ड्रॉप नियम का उपयोग करते हैं, तो इसका मतलब है कि कोई उत्तर नहीं है, केवल आउटगोइंग नेटवर्क कनेक्शन उपलब्ध होंगे।
- ब्लॉक ज़ोन: ब्लॉक ज़ोन आने वाले नेटवर्क कनेक्शन को icmp-host-निषिद्ध के साथ अस्वीकार कर देगा। सर्वर के भीतर केवल स्थापित कनेक्शन की अनुमति होगी।
- सार्वजनिक क्षेत्र: चयनित कनेक्शनों को स्वीकार करने के लिए हम सार्वजनिक क्षेत्र में नियमों को परिभाषित कर सकते हैं। यह केवल विशिष्ट पोर्ट को हमारे सर्वर में खोलने की अनुमति देगा अन्य कनेक्शन हटा दिए जाएंगे।
- बाहरी क्षेत्र: यह क्षेत्र राउटर विकल्पों के रूप में कार्य करेगा जिसमें मास्करेडिंग सक्षम है, अन्य कनेक्शन हटा दिए जाएंगे और स्वीकार नहीं किए जाएंगे, और केवल निर्दिष्ट कनेक्शनों की अनुमति होगी।
- DMZ क्षेत्र: अगर हमें कुछ सेवाओं तक जनता को पहुंच की अनुमति देने की आवश्यकता है, तो आप इसे DMZ क्षेत्र में परिभाषित कर सकते हैं। इसमें भी केवल चुनिंदा इनकमिंग कनेक्शनों को ही स्वीकार किए जाने की सुविधा है।
- कार्य क्षेत्र: इस क्षेत्र में, हम केवल आंतरिक नेटवर्क को परिभाषित कर सकते हैं अर्थात निजी नेटवर्क यातायात की अनुमति है।
- होम ज़ोन: यह ज़ोन विशेष रूप से घरेलू क्षेत्रों में उपयोग किया जाता है, हम इस ज़ोन का उपयोग नेटवर्क पर अन्य कंप्यूटरों पर भरोसा करने के लिए कर सकते हैं ताकि आपके कंप्यूटर को हर ज़ोन को नुकसान न पहुंचे। यह भी केवल चयनित आने वाले कनेक्शनों की अनुमति देता है।
- आंतरिक क्षेत्र: यह चयनित अनुमत कनेक्शन वाले कार्य क्षेत्र के समान है।
- विश्वसनीय क्षेत्र: यदि हम विश्वसनीय क्षेत्र निर्धारित करते हैं तो सारा ट्रैफ़िक स्वीकार कर लिया जाता है।
अब आपको ज़ोन के बारे में एक बेहतर विचार मिल गया है, अब आइए उपलब्ध ज़ोन और डिफॉल्ट ज़ोन का पता लगाएं और निम्नलिखित कमांड का उपयोग करके सभी ज़ोन को सूचीबद्ध करें।
# firewall-cmd --get-zones
# firewall-cmd --get-default-zone
# firewall-cmd --list-all-zones
नोट: उपरोक्त कमांड का आउटपुट एक पेज में फिट नहीं होगा क्योंकि यह ब्लॉक, डीएमजेड, ड्रॉप, एक्सटर्नल, होम, इंटरनल, पब्लिक, ट्रस्टेड और वर्क जैसे हर जोन को सूचीबद्ध करेगा। यदि ज़ोन के पास कोई समृद्ध नियम हैं, तो संबंधित ज़ोन की जानकारी के साथ सक्षम सेवाओं या बंदरगाहों को भी सूचीबद्ध किया जाएगा।
चरण 3: डिफ़ॉल्ट फ़ायरवॉल ज़ोन सेट करना
4. यदि आप डिफ़ॉल्ट ज़ोन को आंतरिक, बाहरी, ड्रॉप, कार्य या किसी अन्य ज़ोन के रूप में सेट करना चाहते हैं, तो आप डिफ़ॉल्ट ज़ोन सेट करने के लिए नीचे दिए गए आदेश का उपयोग कर सकते हैं। यहां हम आंतरिक क्षेत्र को डिफ़ॉल्ट के रूप में उपयोग करते हैं।
# firewall-cmd --set-default-zone=internal
5. ज़ोन सेट करने के बाद, नीचे दिए गए कमांड का उपयोग करके डिफ़ॉल्ट ज़ोन को सत्यापित करें।
# firewall-cmd --get-default-zone
6. यहां, हमारा इंटरफ़ेस enp0s3 है, अगर हमें उस क्षेत्र की जांच करने की ज़रूरत है जिसमें इंटरफ़ेस घिरा हुआ है तो हम नीचे दिए गए आदेश का उपयोग कर सकते हैं।
# firewall-cmd --get-zone-of-interface=enp0s3
7. फ़ायरवॉल की एक और दिलचस्प विशेषता है 'icmptype' फ़ायरवॉल द्वारा समर्थित icmp प्रकारों में से एक है। समर्थित आईसीएमपी प्रकारों की सूची प्राप्त करने के लिए हम नीचे दिए गए आदेश का उपयोग कर सकते हैं।
# firewall-cmd --get-icmptypes
चरण 4: फ़ायरवॉल में स्वयं की सेवाएँ बनाना
8. सेवाएँ पोर्ट और विकल्पों के साथ नियमों का एक सेट है जिसका उपयोग फ़ायरवॉल द्वारा किया जाता है। फ़ायरवॉल सेवा चालू होने और चलने पर सक्षम की गई सेवाएँ स्वचालित रूप से लोड हो जाएँगी।
डिफ़ॉल्ट रूप से, कई सेवाएँ उपलब्ध हैं, सभी उपलब्ध सेवाओं की सूची प्राप्त करने के लिए, निम्नलिखित कमांड का उपयोग करें।
# firewall-cmd --get-services
9. सभी डिफ़ॉल्ट उपलब्ध सेवाओं की सूची प्राप्त करने के लिए, निम्न निर्देशिका पर जाएं, यहां आपको सेवाओं की सूची मिल जाएगी।
# cd /usr/lib/firewalld/services/
10. अपनी स्वयं की सेवा बनाने के लिए, आपको इसे निम्न स्थान पर परिभाषित करने की आवश्यकता है। उदाहरण के लिए, यहाँ मैं RTMP पोर्ट 1935 के लिए एक सेवा जोड़ना चाहता हूँ, पहले किसी एक सेवा की प्रतिलिपि बनाएँ।
# cd /etc/firewalld/services/ # cp /usr/lib/firewalld/services/ssh.xml /etc/firewalld/services/
और फिर, उस स्थान पर नेविगेट करें जहां हमारी सेवा फ़ाइल की प्रतिलिपि बनाई गई थी, अगली बार फ़ाइल का नाम बदलकर 'ssh.xml' से 'rtmp.xml' कर दें, जैसा कि नीचे दी गई तस्वीर में दिखाया गया है।
# cd /etc/firewalld/services/ # mv ssh.xml rtmp.xml # ls -l rtmp.xml
11. अगला फ़ाइल को शीर्षक, विवरण, प्रोटोकॉल और पोर्ट नंबर के रूप में खोलें और संपादित करें, जिसे हमें आरटीएमपी सेवा के लिए उपयोग करने की आवश्यकता है जैसा कि नीचे चित्र में दिखाया गया है।
12. इन परिवर्तनों को सक्रिय करने के लिए, फ़ायरवॉल सेवा को पुनरारंभ करें, या सेटिंग्स को पुनः लोड करें।
# firewall-cmd --reload
13. यह पुष्टि करने के लिए कि कोई सेवा जोड़ी गई है या नहीं, उपलब्ध सेवाओं की सूची प्राप्त करने के लिए निम्न कमांड चलाएँ।
# firewall-cmd --get-services
चरण 5: फ़ायरवॉल ज़ोन को सेवाएँ सौंपना
14. यहां हम यह देखने जा रहे हैं कि फ़ायरवॉल-cmd कमांड का उपयोग करके फ़ायरवॉल को कैसे प्रबंधित किया जाए। फ़ायरवॉल और सभी सक्रिय क्षेत्रों की वर्तमान स्थिति जानने के लिए, निम्न कमांड टाइप करें।
# firewall-cmd --state # firewall-cmd --get-active-zones
15. इंटरफ़ेस enp0s3 के लिए सार्वजनिक क्षेत्र प्राप्त करने के लिए, यह डिफ़ॉल्ट इंटरफ़ेस है, जिसे /etc/firewalld/firewalld.conf फ़ाइल में DefaultZone= के रूप में परिभाषित किया गया है सार्वजनिकख>।
इस डिफ़ॉल्ट इंटरफ़ेस ज़ोन में सभी उपलब्ध सेवाओं को सूचीबद्ध करने के लिए।
# firewall-cmd --get-service
चरण 6: फ़ायरवॉल ज़ोन में सेवाएँ जोड़ना
16. उपरोक्त उदाहरणों में, हमने देखा है कि rtmp सेवा बनाकर अपनी स्वयं की सेवाएँ कैसे बनाई जाती हैं, यहाँ हम देखेंगे कि rtmp सेवा को ज़ोन में कैसे जोड़ा जाए।
# firewall-cmd --add-service=rtmp
17. जोड़े गए क्षेत्र को हटाने के लिए टाइप करें।
# firewall-cmd --zone=public --remove-service=rtmp
उपरोक्त चरण केवल एक अस्थायी अवधि थी। इसे स्थायी बनाने के लिए हमें -स्थायी विकल्प के साथ नीचे दिए गए आदेश को चलाने की आवश्यकता है।
# firewall-cmd --add-service=rtmp --permanent # firewall-cmd --reload
18. नेटवर्क सोर्स रेंज के लिए नियमों को परिभाषित करें और किसी एक पोर्ट को खोलें। उदाहरण के लिए, यदि आप एक नेटवर्क रेंज खोलना चाहते हैं तो '192.168.0.0/24' और पोर्ट '1935' निम्न कमांड का उपयोग करें।
# firewall-cmd --permanent --add-source=192.168.0.0/24 # firewall-cmd --permanent --add-port=1935/tcp
किसी सेवा या पोर्ट को जोड़ने या हटाने के बाद फ़ायरवॉल सेवा को पुनः लोड करना सुनिश्चित करें।
# firewall-cmd --reload # firewall-cmd --list-all
चरण 7: नेटवर्क रेंज के लिए फ़ायरवॉल रिच नियम जोड़ना
19. यदि मैं http, https, vnc-server, और PostgreSQL जैसी सेवाओं को अनुमति देना चाहता हूँ, तो मैं निम्नलिखित नियमों का उपयोग करता हूँ। सबसे पहले, नियम जोड़ें और इसे स्थायी बनाएं और नियमों को पुनः लोड करें और स्थिति की जांच करें।
# firewall-cmd --add-rich-rule 'rule family="ipv4" source address="192.168.0.0/24" service name="http" accept' # firewall-cmd --add-rich-rule 'rule family="ipv4" source address="192.168.0.0/24" service name="http" accept' --permanent # firewall-cmd --add-rich-rule 'rule family="ipv4" source address="192.168.0.0/24" service name="https" accept' # firewall-cmd --add-rich-rule 'rule family="ipv4" source address="192.168.0.0/24" service name="https" accept' --permanent # firewall-cmd --add-rich-rule 'rule family="ipv4" source address="192.168.0.0/24" service name="vnc-server" accept' # firewall-cmd --add-rich-rule 'rule family="ipv4" source address="192.168.0.0/24" service name="vnc-server" accept' --permanent # firewall-cmd --add-rich-rule 'rule family="ipv4" source address="192.168.0.0/24" service name="postgresql" accept' # firewall-cmd --add-rich-rule 'rule family="ipv4" source address="192.168.0.0/24" service name="postgresql" accept' --permanent
अब, नेटवर्क रेंज 192.168.0.0/24 मेरे सर्वर से उपरोक्त सेवा का उपयोग कर सकता है। विकल्प –permanent का उपयोग हर नियम में किया जा सकता है, लेकिन हमें नियम को परिभाषित करना होगा और क्लाइंट एक्सेस के साथ जांच करनी होगी उसके बाद हमें इसे स्थायी बनाना होगा।
20. उपरोक्त नियमों को जोड़ने के बाद, फ़ायरवॉल नियमों को पुनः लोड करना न भूलें और नियमों का उपयोग करके सूचीबद्ध करें:
# firewall-cmd --reload # firewall-cmd --list-all
फ़ायरवॉल के बारे में अधिक जानने के लिए।
# man firewalld
यही है, हमने देखा है कि RHEL-आधारित वितरणों जैसे Fedora, Rocky Linux, CentOS Stream, AlmaLinux, और openSUSE में Firewalld का उपयोग करके नेट-फ़िल्टर कैसे सेट किया जाता है।
नेट-फिल्टर प्रत्येक लिनक्स वितरण के लिए फ़ायरवॉल के लिए ढांचा है। हर RHEL और CentOS संस्करण में वापस, हमने iptables का उपयोग किया लेकिन नए संस्करणों में, उन्होंने फ़ायरवॉल पेश किया है। फ़ायरवॉल को समझना और उसका उपयोग करना आसान है। आशा है कि आपने लेखन का आनंद लिया होगा।