הרודפו RHEL, CentOS -ב FirewallD תא רידגהל דציכ

תשר ןוניס סקונילב שא תמוח הזש םיעדוי ונלוכש יפכ. Firewalld תמדוקה הסרגב .תשר ירוזאב הכימת םע שא תומוח לוהינל ימניד דש אוה, RHEL & CentOS 6 ב ונשמתשה- iptables ב .תונמ ןו

.ךוסכסל ליבוהל הלולעה תכרעמ התואב iptables -ו Firewalld תא רומשל םילוכי ונניא .yum הדוקפה תועצמאב םתוא ןיקתהל ןתינו םיכמתנ ןיידע iptables ,תאז םע .דיתעב קספיהל לולע רבדהש

.הז רמאמב ןודנ םהילע ,firewalld -ב םינימזה םינוש םירוזא םנשי ,לדחמ תרירבכ .םירוזאב שמתשמ ןויערה ,Firewalld -ב ןאכ ךא INPUT, OUTPUT & FORWARD CHAINS כ רידגהל ונגהנ iptables -ב

.firewalld -ל םיתורישה תא ףיסוהל לכונ זאו הניוצש רוזאה תכימת םע קשממה תא ףיסוהל ונילע ,הלא םירוזא םע רדתסהל םירבדל םורגל ידכ .יטרפ רוזאו ירוביצ רוזא ומכ אוהש יסיסבה רוזאה

.םתקתעה ידי לע טושפ ונלש םיתורישה תא ףיסוהל ידכ המגודכ הלא םיתוריש תחקל םילוכי ונחנאו שארמ ורדגוהש םיתוריש םע עיגמ הז ,איה firewalld לש רתויב תובוטה תונוכתה תחא ,םינימזה םיבר םיתוריש םנשי

Firewalld םירשג םע םג ןיוצמ תדבוע IPv4, IPv6 ו- Ethernet. ב העובק הרוצתו דרפנ הציר ןמז לבקל לכונ- firewalld.

.firewalld -ב רתוי הברה שגרמ שומישו ונלשמ םיתוריש תריציו םירוזא םע הדובעב ליחתנ ואוב

Operating System :	CentOS Linux release 7.0.1406 (Core)
IP Address       :	192.168.0.55
Host-name	:	server1.tecmintlocal.com

CentOS -ב Firewalld תנקתה :1 בלש

.האבה yum תדוקפ תועצמאב ותוא ןיקתהל לוכי התא ,אל םא .openSUSE -ו RHEL/CentOS 7/8, Fedora -ב לדחמ תרירבכ תנקתומ Firewalld תליבח .1

# yum install firewalld -y

.ןלהלש תודוקפה תועצמאב iptables תורישב (רתוי שמתשהל אל) תווסהלו רוצעל םכילע ,לעופ םא ,אל וא לעופ iptables תוריש םאה אדוול ןמזה עיגה ,firewalld תליבח תנקתה רחאל .2

# systemctl status iptables
# systemctl stop iptables
# systemctl mask iptables

Firewalld יביכר לע ןויד :2 בלש

.תואיציו םיתוריש ליכהל לוכי רוזא .רוביח גישהל ידכ קשממב אוה החדנש וא וילע ךמוסש רוזאהש רידגמ רוזא .רוזאל קשממה תא תוצקהל ונילע .םינימז םירוזא המכ םנשי ,לדחמ תרירבכ .םירוזא לכב ןודל ינוצרב

.Firewalld -ב םינימזה םירוזאה לכ תא םיראתמ ונא ,ןאכ

.תואבה תודוקפה תועצמאב םירוזאה לכ תא הנמנו לדחמ תרירב ירוזא ,םינימז םירוזא הלגנ ואוב וישכע ,םירוזא יבגל רתוי בוט גשומ ךל שי וישכע

# firewall-cmd --get-zones



# firewall-cmd --get-default-zone



# firewall-cmd --list-all-zones

.המאתהב ירוזאה עדימה םע םג ועיפוי םילעפומ תואיצי וא םיתוריש ,םהשלכ םירישע יללכ שי םירוזאל םא .הדובעו ןמיהמ ,ירוביצ ,ימינפ ,יתיב ,ינוציח ,קורז ,dmz ,קולב ומכ םירוזאה לכ תא טרפי הז ןכש דחא ד

לדחמ תרירבכ רדגומה Firewalld רוזא תרדגה :3 בלש

.לדחמ תרירבכ "ימינפה" רוזאב םישמתשמ ונא ןאכ .לדחמה תרירב רוזא תא רידגהל ידכ הטמלש הדוקפב שמתשהל לכות ,רחא רוזא לכ וא הדובע ,הדירי ,ינוציח ,ימינפ חטשכ לדחמה תרירב רוזא תא רידגהל ךנוצרב םא .

# firewall-cmd --set-default-zone=internal

.ןלהל הדוקפה תועצמאב לדחמה תרירב רוזא תא תמא ,רוזאה תרדגה רחאל .5

# firewall-cmd --get-default-zone



.ןלהלש הדוקפב שמתשהל לכונ לבגומ אוהש קשממב ונלש רוזאה תא קודבל םיכירצ ונחנא םא , enp0s3 אוה ונלש קשממה ,הנה .6

# firewall-cmd --get-zone-of-interface=enp0s3



.האבה הדוקפב שמתשהל םילוכי ונא םיכמתנה ICMP -ה יגוס תמישר תא לבקל ידכ .firewalld ידי לע םיכמתנה icmp -ה יגוסמ דחא אוה 'icmptype' אוה firewalld לש ףסונ ןיינעמ ןייפאמ .7

# firewall-cmd --get-icmptypes

Firewalld -ב ךלשמ םיתוריש תריצי :4 בלש

.לעפי Firewalld תוריש רשאכ תיטמוטוא םינעטנ ,םילעפומה םיתוריש .Firewalld תא תושמשמה תויורשפאו תואיצי םע םיללכ תכרעמ םה םיתוריש .8

.האבה הדוקפב שמתשה ,םינימזה םיתורישה לכ תמישר תא לבקל ידכ ,םינימז םיבר םיתוריש ,לדחמ תרירבכ

# firewall-cmd --get-services



.םיתורישה תמישר תא לבקת ןאכ ,האבה היירפסל רובע ,לדחמ תרירבכ םינימזה םיתורישה לכ תמישר תא לבקל ידכ .9

# cd /usr/lib/firewalld/services/



.םיתורישהמ דחא לכ לש קתוע רוצ תישאר ,RTMP 1935 תאיציל תוריש ףיסוהל הצור ינא ןאכ ,אמגודל .אבה םוקימב ותוא רידגהל ךילע ,ךלשמ תוריש רוציל ידכ .10

# cd /etc/firewalld/services/
# cp /usr/lib/firewalld/services/ssh.xml /etc/firewalld/services/

.הטמל הנומתב גצומש יפכ ,'rtmp.xml' ל 'ssh.xml' ץבוקה םש תא םשו ,ונלש תורישה ץבוק קתעוה ובש םוקימל טוונ ,זאו

# cd /etc/firewalld/services/



.הטמל הנומתב גצומש יפכ RTMP תוריש רובע שמתשהל םיכירצ ונא םהב , האיצי רפסמו לוקוטורפ ,רואית ,תרתוכ כ ץבוקה תא ךורעו חתפ ןכמ רחאל .11



.תורדגהה תא שדחמ ןעט וא firewalld תוריש תא שדחמ לעפה ,הלא םייוניש ליעפהל ידכ .12

# firewall-cmd --reload

.םינימז םיתוריש תמישר לבקל ידכ הטמלש הדוקפה תא לעפה ,אל וא ףסונ תוריש םא ןיב ,רשאל ידכ .13

# firewall-cmd --get-services



Firewalld ירוזאל םיתוריש תאצקה :5 בלש

.האבה הדוקפה תא דלקה ,םיליעפה םירוזאה לכ תאו שאה תמוח לש יחכונה בצמה תא תעדל ידכ .firewall-cmd הדוקפה תועצמאב שאה תמוח תא להנל דציכ תוארל םיכלוה ונא ןאכ .14

# firewall-cmd --state
# firewall-cmd --get-active-zones

. ירוביצ b> DefaultZone => כ /etc/firewalld/firewalld.conf ץבוקב רדגומש ,לדחמה תרירב קשממ והז , enp0s3 קשממל ירוביצה רוזאה תא גישהל ידכ .15

.הזה לדחמה תרירב קשממ רוזאב םינימזה םיתורישה לכ תמישרל

# firewall-cmd --get-service

Firewalld ירוזאל םיתוריש תפסוה :6 בלש

.רוזאל םג rtmp תוריש תא ףיסוהל דציכ הארנ ןאכ ,rtmp תוריש תריצי ידי לע ונלשמ םיתוריש רוציל דציכ וניאר ליעל תואמגודב .16

# firewall-cmd --add-service=rtmp

.דלקה ,ףסונ רוזא ריסהל ידכ .17

# firewall-cmd --zone=public --remove-service=rtmp

. –permanent תורשפא םע הטמל הדוקפה תא ליעפהל ונילע עובקל ותוא ךופהל ידכ .דבלב תינמז הפוקת היה ל"נה בלשה

# firewall-cmd --add-service=rtmp --permanent
# firewall-cmd --reload

.תואבה תודוקפב שמתשה '1935' האיציו '192.168.0.0/24' רומא תשר חווט חותפל ךנוצרב םא ,המגודל .תואיציהמ דחא לכ חתפו תשרה תורוקמ חווטל םיללכ רדגה .18

# firewall-cmd --permanent --add-source=192.168.0.0/24
# firewall-cmd --permanent --add-port=1935/tcp

.תואיצי וא םיתוריש לש הרסה וא הפסוה רחאל firewalld תוריש תא שדחמ ןועטל דפקה

# firewall-cmd --reload 
# firewall-cmd --list-all



תשרה חווטל םירישע םיללכ תפסוה :7 בלש

.סוטטסה תא קודבו םיללכה תא שדחמ ןעטו עובקל ותוא ךופהו ללכה תא ףסוה ,תישאר .םיאבה םיללכב שמתשמ התא ,http, https, vnc-server, PostgreSQL ןוגכ םיתוריש רשפאל הצור ינא םא .19

# firewall-cmd --add-rich-rule 'rule family="ipv4" source address="192.168.0.0/24" service name="http" accept' 
# firewall-cmd --add-rich-rule 'rule family="ipv4" source address="192.168.0.0/24" service name="http" accept' --permanent

# firewall-cmd --add-rich-rule 'rule family="ipv4" source address="192.168.0.0/24" service name="https" accept'
# firewall-cmd --add-rich-rule 'rule family="ipv4" source address="192.168.0.0/24" service name="https" accept' --permanent

# firewall-cmd --add-rich-rule 'rule family="ipv4" source address="192.168.0.0/24" service name="vnc-server" accept'
# firewall-cmd --add-rich-rule 'rule family="ipv4" source address="192.168.0.0/24" service name="vnc-server" accept' --permanent

# firewall-cmd --add-rich-rule 'rule family="ipv4" source address="192.168.0.0/24" service name="postgresql" accept'
# firewall-cmd --add-rich-rule 'rule family="ipv4" source address="192.168.0.0/24" service name="postgresql" accept' --permanent

.עובקל ותוא ךופהל ונילע ןכמ רחאל חוקלה תשיג םע קודבלו ללכה תא רידגהל ונילע ךא ,ללכ לכב –permanent היצפואב שמתשהל ןתינ .ילש תרשהמ ל"נה תורישב שמתשהל לוכי 192.168.0.0/24 תשרה חווט ,

:תועצמאב םיללכה תא טרפלו שאה תמוח יללכ תא שדחמ ןועטל חכשת לא ,ל"נה םיללכה תפסוה רחאל .20

# firewall-cmd --reload
# firewall-cmd --list-all



.Firewalld לע ףסונ עדימל

# man firewalld

.Fedora -בו RHEL/CentOS -ב Firewalld תועצמאב תשר ןנסמ םיקהל דציכ וניאר ,והז

Net-filter תורודהמ לכב הרזח .סקונילו הצפה לכל שא תמוחל תרגסמה אוה RHEL ו- CentOS, ב ונשמתשה- iptables תא וגיצה םה ,רתוי תושדח תואסרגב ךא Firewalld. ב שמתשהלו ןיבהל רתוי לק- firewalld. הבית