English - Español - Українська - (+)
Contents
Фаєрвол
Фаєрвол — це система захисту мережі, що керує вхідним і вихідним трафіком. Увімкнення й коректне налаштування фаєрволу знижує ризик інтернетзагроз безпеці.
Вебінтерфейс FreedomBox автоматично керує фаєрволом. Коли ви вмикаєте службу, фаєрвол автоматично надає їй дозволи (відкриває порти); коли ви вимикаєте службу, фаєрвол автоматично відкликає її дозволи. Службам, усталено ввімкненим у FreedomBox, фаєрвол також усталено відкриває порти під час першого запуску.
FreedomBox керує фаєрволом за допомогою FirewallD.
1. Інтерфейси
Кожному інтерфейсу слід призначити одну (й тільки одну) зону. Якщо інтерфейсу явно не призначено зони, йому автоматично призначається зона external. До інтерфейсу застосовуються всі правила, що стають чинними для його зони. Наприклад, якщо в певній зоні дозволено HTTP-трафік, то всі інтерфейси, призначені цій зоні, починають приймати вебзапити до всіх адрес, налаштованих для цієї зони.
Використовуються переважно дві зони фаєрволу. «Внутрішня» зона — internal — стосується служб, доступних усім комп'ютерам у локальній мережі. Наприклад, такими службами є потокове відтворення медіафайлів і просте поширення файлів. «Зовнішня» зона — external — стосується служб, загальнодоступних для всього інтернету. Наприклад, такими службами є вебсайт, блог, вебклієнт е-пошти тощо.
Докладніше про усталені налаштування мережних інтерфейсів ідеться в розділі про ?мережі.
2. Відкрити нетиповий порт
Застосунок Cockpit надає розширене керування фаєрволом. Як FreedomBox, так і Cockpit є просто оболонками для firewalld і відповідно навзаєм сумісні. Зокрема Cockpit можна використовувати для відкриття нетипових служб чи портів FreedomBox. Це корисно, якщо ви супроводжуєте на одному комп'ютері як FreedomBox, так і вручну налаштовані власні служби.
3. Порти/служби FreedomBox
Наступна таблиця намагається документувати порти, служби та їхній усталений стан у FreedomBox. Актуальніший стан описує сторінка фаєрволу безпосередньо у вашому інтерфейсі FreedomBox.
Служба |
Порт |
external |
Усталено ввімкнено |
FreedomBox показує стан |
FreedomBox керує |
Minetest |
30000/udp |
|
|
|
|
XMPP Client |
5222/tcp |
|
|
|
|
XMPP Server |
5269/tcp |
|
|
|
|
XMPP Bosh |
5280/tcp |
|
|
|
|
NTP |
123/udp |
|
|
|
|
Вебінтерфейс FreedomBox (Plinth) |
443/tcp |
|
|
|
|
Quassel |
4242/tcp |
|
|
|
|
SIP |
5060/tcp |
|
|
|
|
SIP |
5060/udp |
|
|
|
|
SIP-TLS |
5061/tcp |
|
|
|
|
SIP-TLS |
5061/udp |
|
|
|
|
RTP |
1024-65535/udp |
|
|
|
|
SSH |
22/tcp |
|
|
|
|
mDNS |
5353/udp |
|
|
|
|
Tor (Socks) |
9050/tcp |
|
|
|
|
Obfsproxy |
<random>/tcp |
|
|
|
|
OpenVPN |
1194/udp |
|
|
|
|
Mumble |
64378/tcp |
|
|
|
|
Mumble |
64378/udp |
|
|
|
|
Privoxy |
8118/tcp |
|
|
|
|
JSXC |
80/tcp |
|
|
|
|
JSXC |
443/tcp |
|
|
|
|
DNS |
53/tcp |
|
|
|
|
DNS |
53/udp |
|
|
|
|
DHCP |
67/udp |
|
|
|
|
Bootp |
67/tcp |
|
|
|
|
Bootp |
67/udp |
|
|
|
|
Bootp |
68/tcp |
|
|
|
|
Bootp |
68/udp |
|
|
|
|
LDAP |
389/tcp |
|
|
|
|
LDAPS |
636/tcp |
|
|
|
|
4. Керувати вручну
Документація FirewallD докладно описує загальні поняття й заглиблюється в деталі їх роботи.
4.1. Увімкнути/вимкнути фаєрвол
Що вимкнути фаєрвол
service firewalld stop
або за допомогою systemd
systemctl stop firewalld
Щоб увімкнути фаєрвол знову
service firewalld start
або за допомогою systemd
systemctl start firewalld
4.2. Змінити службу/порт
Можете вручну додати службу до зони чи вилучити її звідти.
Щоб перелічити увімкнені служби:
firewall-cmd --zone=<зона> --list-services
Наприклад:
firewall-cmd --zone=internal --list-services
Щоб перелічити увімкнені порти:
firewall-cmd --zone=<зона> --list-ports
Наприклад:
firewall-cmd --zone=internal --list-ports
Щоб вилучити службу з зони:
firewall-cmd --zone=<зона> --remove-service=<служба> firewall-cmd --permanent --zone=<зона> --remove-service=<інтерфейс>
Наприклад:
firewall-cmd --zone=internal --remove-service=xmpp-bosh firewall-cmd --permanent --zone=internal --remove-service=xmpp-bosh
Щоб вилучити порт із зони:
firewall-cmd --zone=internal --remove-port=<порт>/<протокол> firewall-cmd --permanent --zone=internal --remove-port=<порт>/<протокол>
Наприклад:
firewall-cmd --zone=internal --remove-port=5353/udp firewall-cmd --permanent --zone=internal --remove-port=5353/udp
Щоб додати службу до зони:
firewall-cmd --zone=<зона> --add-service=<служба> firewall-cmd --permanent --zone=<зона> --add-service=<інтерфейс>
Наприклад:
firewall-cmd --zone=internal --add-service=xmpp-bosh firewall-cmd --permanent --zone=internal --add-service=xmpp-bosh
Щоб додати порт до зони:
firewall-cmd --zone=internal --add-port=<порт>/<протокол> firewall-cmd --permanent --zone=internal --add-port=<порт>/<протокол>
Наприклад:
firewall-cmd --zone=internal --add-port=5353/udp firewall-cmd --permanent --zone=internal --add-port=5353/udp
4.3. Змінити зону інтерфейсу
Після того, як перший запуск автоматично призначить зону тому чи іншому інтерфейсу, можете вручну перепризначити цьому інтерфейсу іншу зону.
Щоб переглянути поточне призначення зон інтерфейсам:
firewall-cmd --list-all-zones
Щоб вилучити інтерфейс із зони:
firewall-cmd --zone=<зона> --remove-interface=<інтерфейс> firewall-cmd --permanent --zone=<зона> --remove-interface=<інтерфейс>
Наприклад:
firewall-cmd --zone=external --remove-interface=eth0 firewall-cmd --permanent --zone=external --remove-interface=eth0
Щоб додати інтерфейс до зони:
firewall-cmd --zone=<зона> --add-interface=<інтерфейс> firewall-cmd --permanent --zone=<зона> --add-interface=<інтерфейс>
Наприклад:
firewall-cmd --zone=internal --add-interface=eth0 firewall-cmd --permanent --zone=internal --add-interface=eth0
Назад до інструкції чи вступу про функції.
Вступ |
Інформація |
Підтримка |
Співпраця |
Звіти |
Просування |
|
|
|
|||||
|
|
|
||||
ДОВІДКА ТА ОБГОВОРЕННЯ: Форум для дискусій - Поштова розсилка - #freedombox irc.debian.org | ЗВʼЯЗОК із фундацією | ДОЛУЧИТИСЯ до проєкту
Next call: Saturday, October 14 at 14:00 UTC
Latest news: Help translate freedombox.org - 2020-08-01
Авторські права на дану сторінку належать співрозробникам і знаходяться під ліцензією Creative Commons Attribution-ShareAlike 4.0 International (CC BY-SA 4.0).