Sdílet prostřednictvím

Konfigurace bran firewall v Red Hatu

  • Článek

Komorní virtuální počítače používají Red Hat Enterprise Linux jako operační systém. Ve výchozím nastavení je brána firewall nakonfigurovaná tak, aby odepřela všechna příchozí připojení s výjimkou spravovaných služeb. Aby bylo možné povolit příchozí komunikaci, musí být pravidla přidána do brány firewall, aby umožňovala průchod provozu. Podobně platí, že pokud už pravidlo nepotřebujete, mělo by se odebrat.

Tento článek představuje nejběžnější příkazy konfigurace brány firewall. Úplnou dokumentaci nebo složitější scénáře najdete v kapitole 40. Použití a konfigurace firewalld dokumentace k Red Hat Enterprise Linuxu 8

Všechny zde uvedené operace vyžadují sudo oprávnění, a proto potřebují roli správce komory.

Důležité

Virtuální počítače můžou komunikovat pouze s jinými virtuálními počítači ve stejné komorě. Provoz mezi komorou není nikdy povolen a úpravy pravidel brány firewall neumožňují provoz mezi komorou.

Požadavky

  • Uživatelský účet s rolí Správce komory.

Výpis všech otevřených portů

Zobrazí seznam všech aktuálně otevřených portů a přidruženého protokolu.

$ sudo firewall-cmd --list-all
public (active)
 target: default
 icmp-block-inversion: no
 interfaces: eth0
 sources: 
 services: cockpit dhcpv6-client ssh
 ports: 6817-6819/tcp 60001-63000/tcp
 protocols: 
 forward: no
 masquerade: no
 forward-ports: 
 source-ports: 
 icmp-blocks: 
 rich rules:

Otevření portů pro provoz

Pro síťový provoz můžete otevřít jeden nebo po sobě jdoucí rozsah portů. firewall-d Změny jsou dočasné a neuchovávají se, pokud je služba restartována nebo znovu načtena, pokud není potvrzena.

Otevření jednoho portu

Pomocí této možnosti otevřete jeden port s firewalld daným protokolem --add-port=portnumber/porttype . Tento příklad otevře port 5510/TCP.

$ sudo firewall-cmd --add-port=33500/tcp
success

Potvrďte pravidlo do trvalé sady:

$ sudo firewall-cmd --runtime-to-permanent
success

Otevření rozsahu portů

Otevřete rozsah portů se firewalld zadaným protokolem s možností --add-port=startport-endport/porttype . Tento příkaz je užitečný ve scénářích distribuovaného computingu, kdy se pracovní procesy odesílají do velkého počtu uzlů a více pracovních procesů může být na stejném fyzickém uzlu. Tento příklad otevře 100 po sobě jdoucích portů počínaje portem 5000 s protokolem UDP.

$ sudo firewall-cmd --add-port=5000-5099/udp
success

Potvrďte pravidlo do trvalé sady:

$ sudo firewall-cmd --runtime-to-permanent
success

Odebrání pravidel portů

Pokud už pravidla nepotřebujete, můžete je odebrat se stejným zápisem, jako je přidání a použití --remove-port=portnumber/porttype. Tento příklad odebere jeden port:

$ sudo firewall-cmd --remove-port=33500/tcp
success

Potvrďte pravidlo do trvalé sady:

$ sudo firewall-cmd --runtime-to-permanent
success

Související obsah