Фаєрвол

Фаєрвол — це система захисту мережі, що керує вхідним і вихідним трафіком. Увімкнення й коректне налаштування фаєрволу знижує ризик інтернетзагроз безпеці.

Вебінтерфейс FreedomBox автоматично керує фаєрволом. Коли ви вмикаєте службу, фаєрвол автоматично надає їй дозволи (відкриває порти); коли ви вимикаєте службу, фаєрвол автоматично відкликає її дозволи. Службам, усталено ввімкненим у FreedomBox, фаєрвол також усталено відкриває порти під час першого запуску.

Фаєрвол

FreedomBox керує фаєрволом за допомогою FirewallD.

Інтерфейси

Кожному інтерфейсу слід призначити одну (й тільки одну) зону. Якщо інтерфейсу явно не призначено зони, йому автоматично призначається зона external. До інтерфейсу застосовуються всі правила, що стають чинними для його зони. Наприклад, якщо в певній зоні дозволено HTTP-трафік, то всі інтерфейси, призначені цій зоні, починають приймати вебзапити до всіх адрес, налаштованих для цієї зони.

Використовуються переважно дві зони фаєрволу. «Внутрішня» зона — internal — стосується служб, доступних усім комп'ютерам у локальній мережі. Наприклад, такими службами є потокове відтворення медіафайлів і просте поширення файлів. «Зовнішня» зона — external — стосується служб, загальнодоступних для всього інтернету. Наприклад, такими службами є вебсайт, блог, вебклієнт е-пошти тощо.

Докладніше про усталені налаштування мережних інтерфейсів ідеться в розділі про ?мережі.

Відкрити нетиповий порт

Застосунок Cockpit надає розширене керування фаєрволом. Як FreedomBox, так і Cockpit є просто оболонками для firewalld і відповідно навзаєм сумісні. Зокрема Cockpit можна використовувати для відкриття нетипових служб чи портів FreedomBox. Це корисно, якщо ви супроводжуєте на одному комп'ютері як FreedomBox, так і вручну налаштовані власні служби.

FreedomBox/Manual/Firewall/firewalld-cockpit.png

Порти/служби FreedomBox

Наступна таблиця намагається документувати порти, служби та їхній усталений стан у FreedomBox. Актуальніший стан описує сторінка фаєрволу безпосередньо у вашому інтерфейсі FreedomBox.

Служба

Порт

external

Усталено ввімкнено

FreedomBox показує стан

FreedomBox керує

Minetest

30000/udp

{*}

{X}

(./)

(./)

XMPP Client

5222/tcp

{*}

{X}

(./)

(./)

XMPP Server

5269/tcp

{*}

{X}

(./)

(./)

XMPP Bosh

5280/tcp

{*}

{X}

(./)

(./)

NTP

123/udp

{o}

(./)

(./)

(./)

Вебінтерфейс FreedomBox (Plinth)

443/tcp

{*}

(./)

(./)

{X}

Quassel

4242/tcp

{*}

{X}

(./)

(./)

SIP

5060/tcp

{*}

{X}

(./)

(./)

SIP

5060/udp

{*}

{X}

(./)

(./)

SIP-TLS

5061/tcp

{*}

{X}

(./)

(./)

SIP-TLS

5061/udp

{*}

{X}

(./)

(./)

RTP

1024-65535/udp

{*}

{X}

(./)

(./)

SSH

22/tcp

{*}

(./)

(./)

{X}

mDNS

5353/udp

{o}

(./)

(./)

(./)

Tor (Socks)

9050/tcp

{o}

{X}

(./)

(./)

Obfsproxy

<random>/tcp

{*}

{X}

(./)

(./)

OpenVPN

1194/udp

{*}

{X}

(./)

(./)

Mumble

64378/tcp

{*}

{X}

(./)

(./)

Mumble

64378/udp

{*}

{X}

(./)

(./)

Privoxy

8118/tcp

{o}

{X}

(./)

(./)

JSXC

80/tcp

{*}

{X}

{X}

{X}

JSXC

443/tcp

{*}

{X}

{X}

{X}

DNS

53/tcp

{o}

{X}

{X}

{X}

DNS

53/udp

{o}

{X}

{X}

{X}

DHCP

67/udp

{o}

(./)

{X}

{X}

Bootp

67/tcp

{o}

{X}

{X}

{X}

Bootp

67/udp

{o}

{X}

{X}

{X}

Bootp

68/tcp

{o}

{X}

{X}

{X}

Bootp

68/udp

{o}

{X}

{X}

{X}

LDAP

389/tcp

{o}

{X}

{X}

{X}

LDAPS

636/tcp

{o}

{X}

{X}

{X}

Керувати вручну

Документація FirewallD докладно описує загальні поняття й заглиблюється в деталі їх роботи.

Увімкнути/вимкнути фаєрвол

Що вимкнути фаєрвол

service firewalld stop

або за допомогою systemd

systemctl stop firewalld

Щоб увімкнути фаєрвол знову

service firewalld start

або за допомогою systemd

systemctl start firewalld

Змінити службу/порт

Можете вручну додати службу до зони чи вилучити її звідти.

Щоб перелічити увімкнені служби:

firewall-cmd --zone=<зона> --list-services

Наприклад:

firewall-cmd --zone=internal --list-services

Щоб перелічити увімкнені порти:

firewall-cmd --zone=<зона> --list-ports

Наприклад:

firewall-cmd --zone=internal --list-ports

Щоб вилучити службу з зони:

firewall-cmd --zone=<зона> --remove-service=<служба>
firewall-cmd --permanent --zone=<зона> --remove-service=<інтерфейс>

Наприклад:

firewall-cmd --zone=internal --remove-service=xmpp-bosh
firewall-cmd --permanent --zone=internal --remove-service=xmpp-bosh

Щоб вилучити порт із зони:

firewall-cmd --zone=internal --remove-port=<порт>/<протокол>
firewall-cmd --permanent --zone=internal --remove-port=<порт>/<протокол>

Наприклад:

firewall-cmd --zone=internal --remove-port=5353/udp
firewall-cmd --permanent --zone=internal --remove-port=5353/udp

Щоб додати службу до зони:

firewall-cmd --zone=<зона> --add-service=<служба>
firewall-cmd --permanent --zone=<зона> --add-service=<інтерфейс>

Наприклад:

firewall-cmd --zone=internal --add-service=xmpp-bosh
firewall-cmd --permanent --zone=internal --add-service=xmpp-bosh

Щоб додати порт до зони:

firewall-cmd --zone=internal --add-port=<порт>/<протокол>
firewall-cmd --permanent --zone=internal --add-port=<порт>/<протокол>

Наприклад:

firewall-cmd --zone=internal --add-port=5353/udp
firewall-cmd --permanent --zone=internal --add-port=5353/udp

Змінити зону інтерфейсу

Після того, як перший запуск автоматично призначить зону тому чи іншому інтерфейсу, можете вручну перепризначити цьому інтерфейсу іншу зону.

Щоб переглянути поточне призначення зон інтерфейсам:

firewall-cmd --list-all-zones

Щоб вилучити інтерфейс із зони:

firewall-cmd --zone=<зона> --remove-interface=<інтерфейс>
firewall-cmd --permanent --zone=<зона> --remove-interface=<інтерфейс>

Наприклад:

firewall-cmd --zone=external --remove-interface=eth0
firewall-cmd --permanent --zone=external --remove-interface=eth0

Щоб додати інтерфейс до зони:

firewall-cmd --zone=<зона> --add-interface=<інтерфейс>
firewall-cmd --permanent --zone=<зона> --add-interface=<інтерфейс>

Наприклад:

firewall-cmd --zone=internal --add-interface=eth0
firewall-cmd --permanent --zone=internal --add-interface=eth0

Назад до інструкції чи вступу про функції.


Вступ

Інформація

Підтримка

Співпраця

Звіти

Просування

Бачення

Обладнання

Допомога наживо

Звідки почати

Переклад

Виклики

Розмови

Огляд

Завантаження

ПіВ

Треба зробити

Дизайн

Випуски

Преса

Можливості

Посібник

Співрозробники

Код

Блоґ

FreedomBox для спільнот

Посібник розробника FreedomBox

ДОВІДКА ТА ОБГОВОРЕННЯ: Форум для дискусій - Поштова розсилка - #freedombox irc.debian.org | ЗВʼЯЗОК із фундацією | ДОЛУЧИТИСЯ до проєкту

Next call: Saturday, October 08 at 14:00 UTC

Latest news: Help translate freedombox.org - 2020-08-01

Авторські права на дану сторінку належать співрозробникам і знаходяться під ліцензією Creative Commons Attribution-ShareAlike 4.0 International (CC BY-SA 4.0).


CategoryFreedomBox