Firewalld ми дойде с първата инсталация на Цент 7. въпреки че вероятно много отдавна са го използвате. Строго погледнато firewalld не е това, че разработен от земята до защитна стена и само надстройка над IPtables (или по-скоро е като IPTABLES използва за IPTABLES инструмент и работи по същия ред филтър ядрото), но с него, ние имаме някои нови възможности и загуби някои от старите ,

Нека започнем с факта, че тъй като сме свикнали да, вече не е на разположение:

1. Не / и т.н. / sysconfig / IPTABLES. Iptables конфигурация по обичайния преди тяхното място там, firewalld съхранява настройките му в XML файлове ги разпръснати по / ЮЕсАр / ИЪ / firewalld / и / и т.н. / firewalld /
2. Добави правила познати команди като IPTABLES -A INPUT -p ICMP -j ACCEPT няма да успеем, и като цяло, за да се опита да се хареса на IPTABLES, ни бе отказан. Всъщност просто трябва да го конфигурирате с други отбори.

И това, което имаме, не е много полезно или изоставят обичайните методи на управление:

1. Възможност за промяна на правилата, без да се рестартира услугата: Firewalld работи в среда на и дава възможност за конфигурацията и използва само разликите в правилата. Това предполага (или не възниква, но в действителност е) важна характеристика, тъй като може да се променят правилата, без да нарушава съществуващите връзки. Все пак е достоен иновациите. (Получено забележка, че IPtables също не прекъсва връзката при рестартирането на масата, така че възможността за това не е така и иновациите. Въпреки това, тъй krasnogoryachih на сайта този Пънк служил като иновации, докато osavlyu го непроменена, както се изисква да си поиграете и да опише резултата )
2. Концепцията на зони: Fierwalld оперира с понятията мрежови зони. Мрежа зона положен и в спецификацията определя ниво на доверие връзка с мрежата. В руската тя може да се разбира като предварително определен набор от правила, които могат да бъдат причислени към връзката (поне както аз разбирам). Очевидно е, че, за да се избегне конфликт на правила, една връзка може да бъде само в една зона, но зоната, можете да добавите неограничен брой връзки.

• падне - както бихте очаквали входящите пакети на мрежата са отпаднали, без отговор, разрешено само изходящи връзки
• блок - входящи мрежови връзки са отхвърлени с послание ICMP-домакин на забрана за Ipv4 и icmp6-адм-забранено за IPv6, мрежови връзки са разрешени започне само в нашата система.
• публично - за използване в мрежа с ненадеждни компютри (в парка вероятно, вие сте част от продукцията на сървъра до парка на разходка), се разрешава само специфични входящи връзки.
• външен - за използване в външни мрежи разрешено маскиран, особено рутери, може да включва само специфично съединение
• DMZ - за компютри притежават демилитаризирана зона с ограничен достъп до вътрешната мрежа може да се инсталира само на специфични входящи връзки.
• работа / Начало / вътрешен - и за трите зони в описанието за една и съща вода, плюс: максимално доверието в компютрите, с убеждението, че те няма да причини вреда на нашия компютър, трябва само специфични входящи свързвания
• доверен - Специална зона за свекърва, всички мрежови връзки са разрешени.

Общо, добавете връзка към зоната и да получите набор от предварително определени правила. Може би това е полезно, ако направите вашия район и след това за някои правила, за да зададете интерфейси към новите Свързаните компютри, но досега не съм разбрал.

За да управлявате цялото това богатство от функции, има два основни инструмента:

1. защитна стена-довереник GUI, което никога не съм виждал, така че аз не разполагат с никакви кола с firewalld и GUI. Така opsaniyu вярва да обяви, че е много удобен и е в състояние да много неща.
2. защитна стена-ПМС командния ред помощна програма, която не е по-малко полезна, и е в състояние да много неща, но за това по-подробно:

Първият не е от най-основните и правилно, но понякога е по-важно, че бих искал да спомена, е как да се отвори порт. Това ще ви постави на машината само за първия, там да се върти само услуга, например Jabber сървър, като в този случай просто трябва да се отворят някои портове, като всичко останало е затворен (22 по подразбиране TCP отворен)

# Firewall-CMD --zone = [nuzhnaya_zona] --add-порт = 5280 / TCP --permanent
# Firewall-ПМС --reload

В нашия случай това nuzhnaya_zona обществен защото ние отваряме определяне --permanent пристанището добавя към промените се съхранява постоянно, ако се пропусне, след това новите настройки ще бъдат заличени след рестартиране.

И разбира се, само в случай:

# Firewall-CMD [--zone = nuzhnaya_zona] --list пристанища

Ако посочите вместо nuzhnaya_zona обществен тогава можем да получите списък на отворени портове. Ако пишете --list услуги можете да видите списък на пристанищата, които са отворени за услуги (услуги с добавена в обществената зона). Зоната може да бъде добавен като пристанище или услуга (и не само) и ако добавите в обществената зона на услугата, пристанището, на която тя работи, не се показват в списъка на пристанищата.

По принцип, както аз разбирам всички параметри на защитна стена-ПМС prishutsya на с две тирета - напред. Ето списък на полезни основния naryty в Интернет:
защитна стена-ПМС

Добър ден!
Някои критици:
Възможност за промяна на правилата, без да се рестартира услугата: Firewalld работи в среда на и дава възможност за конфигурацията и използва само разликите в правилата. Това предполага (или не възниква, но в действителност е) важна характеристика, тъй като може да се променят правилата, без да нарушава съществуващите връзки.

Когато презаредите IPTABLES съединения също не се счупи, просто препрочитам правилата. systemctl презареждане iptables.service или услуги IPTABLES презареждане. Така че тази функционалност е възможно в firewalld, както в добрите стари IPtables. Лично тествани върху Цент 6 и 7.

Когато презаредите IPTABLES съединения също не се счупи, просто препрочитам правилата. systemctl презареждане iptables.service или услуги IPTABLES презареждане. Така че тази функционалност е възможно в firewalld, както в добрите стари IPtables. Лично тествани върху Цент 6 и 7.

Добавен бе предложено изменение, в зависимост от наличността на време и със сигурност ще се опитат да пренапишат абзац :) Благодаря ви много.

Firewolld разбира динамична услуга, но не - презареждане порт Не отваряйте :)

Презареждане необходима, тъй като отборът, който сте въвели --permanent ключ. В firewalld две, така да се каже, на мястото, където се съхранява конфигурацията - е по време на работа и постоянен (като в хардуера marshrutizatoraz на Cisco, например). --permanent - се съхранява в конфигурационния файл. Ако правилото, без този бутон, той ще се приложи веднага. Но това няма да бъде отразено в конфигурационния файл на текущата Времетраене конфигурирани да се движат в конфигурацията, изпълнете следната команда:

Цитирайте Aleq Qery:

Firewolld разбира динамична услуга, но не - презареждане порт Не отваряйте :)

• Работа с потребители в командния ред на Windows (нето потребител)

Ето информация за нетната прекрасна програма, или по-скоро от работата си с потребителите: нетен потребител. Понякога, например, трябва да активирате сметката, или сметката гост.