پیکربندی اولیه فایروال اوبونتو با firewalld

11 خرداد 1401
ارسال شده توسط
اوبونتو، گنو/لینوکس

تمام توزیع‌های لینوکس با راهکارهای فایروال به شکلی ارائه می‌شوند. در مورد اوبونتو این به شکل فایروال کامپایل نشده است که در درس قبل توضیح داده شد. این درس راهکار فایروال پیشرفته‌تری را که برای اوبونتو در قالب firewalld در دسترس است معرفی می‌کند.

مقدمه‌ای بر firewalld

این سرویس firewalld که در اصل برای توزیع‌های لینوکس مبتنی بر Red Hat توسعه داده شد، از مجموعه‌ای از قوانین برای کنترل ترافیک شبکه ورودی استفاده می‌کند و تعریف می‌کند که کدام ترافیک باید مسدود شود و کدامیک باید اجازه عبور از سیستم را داشته باشد و در بالای یک سیستم ساخته شده است. ابزار پیچیده تر فایروال به نام iptables.

سیستم firewalld روشی انعطاف‌پذیر برای مدیریت ترافیک ورودی ارائه می‌کند. برای مثال، فایروال می‌تواند به گونه‌ای پیکربندی شود که ترافیک ورودی از یک آدرس IP خارجی خاص را مسدود کند، یا از ورود همه ترافیک به یک پورت TCP/IP خاص جلوگیری کند. همچنین ممکن است قوانینی برای ارسال ترافیک ورودی به سیستم‌های مختلف یا به عنوان دروازه اینترنتی برای محافظت از رایانه‌های دیگر در شبکه تعریف شوند.

مطابق با شیوه‌های امنیتی رایج، نصب firewalld پیش‌فرض به گونه‌ای پیکربندی شده است که تمام دسترسی‌ها را به استثنای ورود از راه دور SSH و سرویس DHCP که توسط سیستم برای به دست آوردن یک آدرس IP پویا استفاده می‌شود مسدود کند (که هر دوی این موارد ضروری هستند اگر مدیر سیستم بخواهد بتوانید پس از اتمام نصب به سیستم دسترسی پیدا کنید).

عناصر کلیدی پیکربندی فایروال در اوبونتو zones، interfaces، services و ports هستند.

Zones

به طور پیش‌فرض، firewalld با محدوده‌ای از zones از پیش پیکربندی شده نصب می‌شود. Zone مجموعه‌ای از قوانین از پیش تنظیم شده است که می‌تواند در هر زمان برای پیاده‌سازی سریع تنظیمات فایروال برای سناریوهای خاص در سیستم اعمال شود. به عنوان مثال، منطقه block، تمام ترافیک ورودی را مسدود می‌کند، در حالی که منطقه home با این فرض که سیستم در یک محیط امن‌تر اجرا می‌شود که سطح اعتماد بیشتری انتظار می‌رود، قوانین سخت‌گیرانه‌تری را اعمال می‌کند. مناطق جدید ممکن است به سیستم اضافه شوند و مناطق موجود برای افزودن یا حذف قوانین اصلاح شوند. همچنین ممکن است مناطق به طور کامل از سیستم حذف شوند. جدول زیر مجموعه‌ای از مناطق موجود به طور پیش‌فرض در یک سیستم اوبونتو را فهرست می‌کند:

مناطق - Zonesشرح
dropامن‌ترین منطقه فقط اتصالات خروجی مجاز هستند و همه اتصالات ورودی بدون هیچ اطلاع‌رسانی به مشتری در حال اتصال قطع می‌شوند.
blockمشابه منطقه drop با این استثنا که اتصالات ورودی با اعلان icmp-host-hibited یا icmp6-adm-hibited رد می‌شوند.
publicبرای استفاده در هنگام اتصال به شبکه‌های عمومی یا اینترنت که در آن رایانه های دیگر قابل اعتماد نیستند استفاده می‌شود. به انتخاب اتصالات ورودی اجازه می‌دهد.
externalهنگامی که یک سیستم به عنوان دروازه اینترنت برای شبکه‌ای از رایانه‌ها عمل می‌کند، منطقه خارجی به رابط متصل به اینترنت اعمال می‌شود. این منطقه به همراه منطقه internal هنگام اجرای ترجمه آدرس شبکه (NAT) که جلوتر در این درس توضیح داده شد، استفاده می‌شود. به انتخاب اتصالات ورودی اجازه می‌دهد
internalبا منطقه external استفاده می‌شود و برای رابطی که به شبکه داخلی متصل است اعمال می‌گردد. فرض بر این است که کامپیوترهای موجود در شبکه داخلی قابل اعتماد هستند. به انتخاب اتصالات ورودی اجازه می دهد.
dmzبرای استفاده زمانی که سیستم در منطقه demilitarized یا DMZ کار می‌کند. اینها معمولا رایانه‌هایی هستند که برای عموم قابل دسترسی هستند اما از سایر بخش‌های شبکه داخلی شما جدا هستند. به انتخاب اتصالات ورودی اجازه می‌دهد.
workبرای استفاده در هنگام اجرای یک سیستم در شبکه در محیط کاری که رایانه‌های دیگر مورد اعتماد هستند. به انتخاب اتصالات ورودی اجازه می‌دهد.
homeبرای استفاده هنگام اجرای یک سیستم در شبکه خانگی که در آن رایانه‌های دیگر مورد اعتماد هستند. به انتخاب اتصالات ورودی اجازه می‌دهد.
trustedکم‌امن‌ترین منطقه تمام اتصالات ورودی پذیرفته می‌شود.

برای بررسی تنظیمات خاص برای یک منطقه، به فایل پیکربندی XML مربوطه که بر روی سیستم در پوشه /usr/lib/firewalld/zones قرار دارد مراجعه کنید. برای مثال موارد زیر محتوای فایل پیکربندی ناحیه public.xml را فهرست می‌کند:

<?xml version="1.0" encoding="utf-8"?>
<zone>
  <short>Public</short>
  <description>For use in public areas. You do not trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.</description>
  <service name="ssh"/>
  <service name="mdns"/>
  <service name="dhcpv6-client"/>
</zone>

Interfaces

هر سیستم اوبونتو متصل به اینترنت یا شبکه (یا هر دو) حداقل دارای یک رابط در قالب یک دستگاه شبکه فیزیکی یا مجازی خواهد بود. هنگامی که فایروال فعال است، هر یک از این interface ها به منطقه‌ای اختصاص داده می‌شود که اجازه می‌دهد سطوح مختلفی از امنیت فایروال به رابط‌های مختلف اختصاص داده شود. سروری را در نظر بگیرید که شامل دو رابط است، یکی به صورت خارجی به اینترنت و دیگری به یک شبکه داخلی متصل است. در چنین سناریویی، اینترفیس روبروی خارجی به احتمال زیاد به منطقه external محدودتر اختصاص داده می شود در حالی که رابط داخلی ممکن است از منطقه internal استفاده کند.

Services

TCP/IP مجموعه ای از خدمات را تعریف می‌کند که بر روی پورت‌های استاندارد ارتباط برقرار می‌کنند. برای مثال، اتصالات وب HTTPS ایمن از پورت 443 استفاده کنید، در حالی که سرویس ایمیل SMTP از پورت 25 استفاده می‌کند. برای فعال کردن انتخابی ترافیک ورودی برای سرویس‌های خاص، قوانین فایروال را می‌توان به مناطق اضافه کرد. برای مثال، منطقه home، اتصالات HTTPS ورودی را به طور پیش‌فرض مجاز نمی‌داند. این ترافیک را می‌توان با افزودن قوانین به یک منطقه فعال کرد تا اتصالات HTTPS ورودی بدون نیاز به ارجاع به شماره پورت خاص امکان‌پذیر شود.

Ports

اگرچه هنگام افزودن قوانین فایروال می‌توان به سرویس‌های معمول TCP/IP اشاره کرد، اما شرایطی پیش می‌آید که اتصالات ورودی باید در پورت خاصی که به یک سرویس تخصیص داده نشده اجازه داده شود. این را می‌توان با افزودن قوانینی که به پورت‌های خاص به جای سرویس‌ها اشاره می‌کنند، به دست آورد.

بررسی وضعیت firewalld 

سرویس firewalld معمولا به‌طور پیش‌فرض در تمام نصب‌های اوبونتو نصب و فعال نمی‌شود. وضعیت سرویس را می‌توان از طریق فرمان زیر بررسی کرد:

# systemctl status firewalld
● firewalld.service - firewalld - dynamic firewall daemon
   Loaded: loaded (/lib/systemd/system/firewalld.service; enabled; vendor preset: enabled)
   Active: active (running) since Fri 2020-04-10 10:17:54 EDT; 20s ago
     Docs: man:firewalld(1)
 Main PID: 4488 (firewalld)
    Tasks: 2 (limit: 4915)
   CGroup: /system.slice/firewalld.service
           └─4488 /usr/bin/python3 -Es /usr/sbin/firewalld --nofork --nopid
 
Apr 10 10:17:54 demo-server systemd[1]: Starting firewalld - dynamic firewall daemon...
Apr 10 10:17:54 demo-server systemd[1]: Started firewalld - dynamic firewall daemon.

در صورت لزوم، سرویس firewalld ممکن است به صورت زیر نصب شود:

# apt install firewalld

سرویس firewalld به‌طور پیش‌فرض فعال است، بنابراین هم پس از اتمام نصب و هم هر بار که سیستم بوت می‌شود، به طور خودکار شروع به کار می‌کند.

پیکربندی قوانین فایروال با firewall-cmd

ابزار خط فرمان firewall-cmd اجازه می‌دهد تا اطلاعات مربوط به پیکربندی فایروال مشاهده شود و تغییراتی در مناطق و قوانین از داخل یک پنجره ترمینال ایجاد شود.

هنگام ایجاد تغییرات در تنظیمات firewalld، مهم است که از مفاهیم زمان اجرا و تنظیمات دائمی آگاه باشید. به طور پیش‌فرض، هر تغییر قانون به عنوان تغییرات پیکربندی زمان اجرا در نظر گرفته می‌شود. این بدان معنی است که در حالی که تغییرات بلافاصله اعمال می‌شوند، دفعه بعد که سیستم مجددا راه اندازی می‌شود یا سرویس firewalld مجددا بارگیری می‌شود، از بین می‌روند، به عنوان مثال با صدور فرمان زیر:

# firewall-cmd --reload

برای دائمی کردن یک تغییر، باید از گزینه –permanent command-line استفاده شود. تغییرات دائمی تا زمانی که سرویس firewalld مجددا بارگیری شود اعمال نمی‌شود، اما تا زمانی که به صورت دستی تغییر نکند، در جای خود باقی خواهند ماند.

Identifying and Changing the Default Zone

برای شناسایی منطقه پیش‌فرض (به عبارت دیگر منطقه‌ای که تمام اینترفیس‌ها به آن اختصاص داده می‌شوند مگر اینکه منطقه دیگری به طور خاص انتخاب شده باشد) از ابزار firewall-cmd به صورت زیر استفاده کنید:

# firewall-cmd --get-default-zone public

برای تغییر پیش‌فرض به یک منطقه دیگر:

# firewall-cmd --set-default-zone=home success

نمایش اطلاعات منطقه

برای فهرست کردن تمام مناطق موجود در سیستم:

# firewall-cmd --get-zones
block dmz drop external home internal public trusted work

لیستی از مناطق فعالی که در حال حاضر همراه با رابط هایی که به آن‌ها اختصاص داده شده‌اند، به شرح زیر بدست می‌آید:

# firewall-cmd --get-active-zones external&nbsp;&nbsp; interfaces: eth0 internal&nbsp; interfaces: eth1

تمام قوانینی که در حال حاضر برای یک منطقه خاص پیکربندی شده‌اند ممکن است به صورت زیر فهرست شوند:

# firewall-cmd --get-active-zones
external
  interfaces: eth0
internal
 interfaces: eth1

تمام قوانینی که در حال حاضر برای یک منطقه خاص پیکربندی شده‌اند، ممکن است به صورت زیر فهرست شوند:

# firewall-cmd --zone=home --list-all
home (active)
  target: default
  icmp-block-inversion: no
  interfaces: eth0
  sources: 
  services: cockpit dhcpv6-client http mdns samba-client ssh
  ports: 
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules:

از فرمان زیر برای فهرست کردن خدماتی که در حال حاضر برای گنجاندن در یک قانون فایروال در دسترس هستند استفاده کنید:

# firewall-cmd --get-services
RH-Satellite-6 amanda-client amanda-k5-client amqp amqps apcupsd audit bacula bacula-client bgp bitcoin bitcoin-rpc bitcoin-testnet bitcoin-testnet-rpc ceph ceph-mon cfengine cockpit ...

فهرست کردن خدماتی که در حال حاضر برای یک منطقه فعال هستند:

# firewall-cmd --zone=public --list-services cockpit dhcpv6-client ssh

لیستی از قوانین پورت را می‌توان به صورت زیر بدست آورد:

# firewall-cmd --zone=public --list-ports
9090/tcp

افزودن و حذف سرویس‌های منطقه

برای افزودن یک سرویس به یک منطقه، در این مورد با افزودن HTTPS به منطقه public، از فرمان زیر استفاده می‌شود:

# firewall-cmd --zone=public --add-service=https success

به طور پیش‌فرض این یک تغییر در زمان اجرا است، بنابراین قانون اضافه شده پس از راه‌اندازی مجدد سیستم از بین می‌رود. برای افزودن یک سرویس به طور دائم به طوری که دفعه بعد که سیستم مجددا راه اندازی می‌شود فعال بماند، از –permanent flag استفاده کنید:

# firewall-cmd --zone=public --permanent --add-service=https success

برای تایید اینکه یک سرویس به طور دائم اضافه شده است، هنگام درخواست لیست خدمات، حتما –permanent flag را اضافه کنید:

# firewall-cmd --zone=public --permanent --list-services cockpit dhcpv6-client http https ssh

توجه داشته باشید که به عنوان یک تغییر دائمی، این قانون جدید تا زمانی که سیستم راه‌اندازی مجدد نشود یا فایروال مجددا بارگیری شود، اعمال نخواهد شد:

# firewall-cmd --reload

با استفاده از گزینه –remove-service یک سرویس را از یک منطقه حذف کنید. از آنجایی که این یک تغییر در زمان اجرا است، دفعه بعد که سیستم مجددا راه‌اندازی می‌شود، این قانون دوباره برقرار می‌شود:

# firewall-cmd --zone=public --remove-service=https

برای حذف دائمی یک سرویس، از –permanent flag استفاده کنید، به یاد داشته باشید که اگر تغییر برای اعمال فوری لازم است، فایروال را مجددا بارگیری کنید:

# firewall-cmd --zone=public --permanent --remove-service=https

کار با قوانین مبتنی بر پورت

برای فعال کردن یک پورت خاص، از گزینه –add-port استفاده کنید. توجه داشته باشید که هنگام تعریف دستی پورت، هم شماره پورت و هم پروتکل (TCP یا UDP) باید ارائه شود:

# firewall-cmd --zone=public --permanent --add-port=5000/tcp

همچنین هنگام اضافه کردن یک قانون به یک منطقه، می‌توان محدوده‌ای از پورت‌ها را مشخص کرد:

# firewall-cmd --zone=public --permanent --add-port=5900-5999/udp

ایجاد یک منطقه جدید

ممکن است با اجرای فرمان زیر یک منطقه کاملا جدید ایجاد شود. پس از ایجاد، منطقه ممکن است به همان شیوه هر یک از مناطق از پیش تعریف شده مدیریت شود:

# firewall-cmd --permanent --new-zone=myoffice success

پس از افزودن یک منطقه جدید، فایروال قبل از در دسترس شدن منطقه باید مجددا راه‌اندازی شود:

# firewall-cmd --reload success

تغییر وظایف Zone/Interface

همانطور که قبلاً بحث شد، هر رابط در سیستم باید به یک منطقه اختصاص داده شود. منطقه‌ای که یک رابط به آن اختصاص داده می‌شود نیز می‌تواند با استفاده از ابزار firewall-cmd تغییر یابد. در مثال زیر، رابط eth0 به منطقه عمومی اختصاص داده شده است:

# firewall-cmd --zone=public --change-interface=eth0 success

Masquerading

Masquerading در محافل مدیریت شبکه بیشتر به عنوان ترجمه آدرس شبکه (NAT) شناخته می شود. هنگام استفاده از یک سیستم اوبونتو به عنوان دروازه‌ای به اینترنت برای شبکه‌ای از رایانه‌ها، مخفی کردن به همه سیستم‌های داخلی اجازه می‌دهد تا از آدرس IP آن سیستم اوبونتو هنگام برقراری ارتباط از طریق اینترنت استفاده کنند. این مزیت این است که آدرس‌های IP داخلی هر سیستمی را از نهادهای مخرب خارجی پنهان می‌کند و همچنین از لزوم تخصیص یک آدرس IP عمومی به هر رایانه در شبکه جلوگیری می‌کند.

از فرمان زیر برای بررسی اینکه آیا Masquerading از قبل در فایروال فعال است یا خیر استفاده کنید:

# firewall-cmd --zone=external --query-masquerade

از فرمان زیر برای فعال کردن maskareding استفاده کنید (به یاد داشته باشید که اگر تغییر دائمی باشد، از –permanent flag استفاده کنید):

# firewall-cmd --zone=external --add-masquerade

اضافه کردن قوانین ICMP

پروتکل ICMP توسط سیستم‌های کلاینت در شبکه‌ها برای ارسال اطلاعاتی مانند پیام‌های خطا به یکدیگر استفاده می‌شود. همچنین پایه و اساس دستور ping است که توسط مدیران شبکه و کاربران به طور یکسان برای تشخیص زنده بودن یک کلاینت خاص در شبکه استفاده می‌شود. دسته ICMP امکان مسدود کردن انواع خاص پیام ICMP را فراهم می‌کند. به عنوان مثال، یک مدیر ممکن است برای جلوگیری از احتمال حمله DoS مبتنی بر پینگ (که در آن سرور به طور مخرب با پیام‌های پینگ زیادی بمباران می‌شود که قادر به پاسخگویی نیست) پیام‌های ICMP ورودی (درخواست Echo) را مسدود کند).

برای مشاهده انواع ICMP موجود برای گنجاندن در قوانین firewalld، دستور زیر را اجرا کنید:

# firewall-cmd --get-icmptypes address-unreachable bad-header beyond-scope communication-prohibited destinationunreachable echo-reply ...

برای مثال، دستور زیر به طور دائم یک قانون برای مسدود کردن پیام‌های پاسخ Echo (درخواست پینگ) برای منطقه Public اضافه می‌کند:

# firewall-cmd --zone=public --permanent --add-icmp-block=echo-reply

پیاده‌سازی Port Forwarding

هنگامی که سیستم اوبونتو به عنوان دروازه‌ای به اینترنت برای یک شبکه داخلی از سیستم‌های کامپیوتری عمل می‌کند، از انتقال پورت در ارتباط با ماسکه کردن (masquerading) استفاده می‌شود. حمل و نقل پورت اجازه می‌دهد تا ترافیک وارد شده به فایروال از طریق اینترنت در یک پورت خاص به یک سیستم خاص در شبکه داخلی هدایت شود. این شاید به بهترین شکل از طریق یک مثال توصیف شود.

فرض کنید که یک سیستم اوبونتو به عنوان فایروال برای یک شبکه داخلی از رایانه‌ها عمل می‌کند و یکی از سیستم‌های موجود در شبکه به عنوان یک وب‌سرور پیکربندی شده است. فرض کنید سیستم وب سرور دارای آدرس آی‌پی 192.168.2.20 است. رکورد دامنه برای وب‌سایت میزبانی شده در این سیستم با آدرس IP عمومی که سیستم فایروال اوبونتو پشت آن قرار دارد پیکربندی شده است. هنگامی که یک درخواست صفحه وب HTTP به پورت 80 می‌رسد، سیستم اوبونتو که به عنوان فایروال عمل می‌کند باید بداند که با آن چه کاری انجام دهد. با پیکربندی ارسال پورت، می‌توان تمام ترافیک وب را به سیستم داخلی میزبان وب سرور هدایت کرد (در این مورد، آدرس آی‌پی 192.168.2.20)، یا با ادامه استفاده از پورت 80 یا هدایت ترافیک به پورت دیگری در سرور مقصد. در واقع، حمل و نقل پورت حتی می‌تواند به گونه‌ای پیکربندی شود که ترافیک را به یک پورت دیگر در همان سیستم فایروال هدایت کند (مفهومی به نام حمل و نقل محلی یا local forwarding شناخته می‌شود).

برای استفاده از port forwarding، با فعال کردن maskareding به صورت زیر شروع کنید (در این مورد فرض بر این است که رابط متصل به اینترنت به منطقه External اختصاص داده شده است):

# firewall-cmd --zone=external --add-masquerade

برای ارسال از یک پورت به یک پورت محلی دیگر، از فرمانی شبیه به زیر استفاده می شود:

# firewall-cmd --zone=external --add-forward-port=port=22:proto=tcp:toport=2750

در مثال بالا، هر ترافیک TCP وارد شده به پورت 22 به پورت 2750 در سیستم لوکال ارسال می‌شود. از طرف دیگر، فرمان زیر پورت 20 را در سیستم لوکال به پورت 22 سیستم با آدرس آی‌پی 192.168.0.19 ارسال می‌کند:

# firewall-cmd --zone=external \
          --add-forward-port=port=20:proto=tcp:toport=22:toaddr=192.168.0.19

به طور مشابه، فرمان زیر پورت محلی 20 را به پورت 2750 سیستم با آدرس آی‌پی 92.168.0.18 ارسال می‌کند:

# firewall-cmd --zone=external --add-forward-port=port=20:proto=tcp:toport=2750:to addr=192.168.0.18

مدیریت فایروال با استفاده از firewall-config

اگر به محیط گرافیکی دسکتاپ دسترسی دارید، فایروال نیز ممکن است با استفاده از ابزار firewall-config پیکربندی شود. اگرچه به طور پیش‌فرض نصب نشده است، پیکربندی فایروال ممکن است به صورت زیر نصب شود:

# apt install firewall-config

هنگامی که راه‌اندازی می‌شود، صفحه اصلی پیکربندی فایروال همانطور که در تصویر زیر نشان داده شده است ظاهر می‌شود:

  • A – تمام رابط‌های فعال فعلی و مناطقی که به آن‌ها اختصاص داده شده‌اند را نمایش می‌دهد. برای اختصاص دادن یک رابط به یک منطقه دیگر، آن را از این پانل انتخاب کنید، بر روی دکمه Change Zone کلیک کنید و منطقه مورد نیاز را از پنجره حاصل انتخاب کنید.
  • B – کنترل می‌کند که آیا اطلاعات نمایش داده شده و تغییرات ایجاد شده در ابزار برای زمان اجرا یا قوانین دائمی اعمال می‌شود یا خیر.
  • C – لیست مناطق، سرویس‌ها یا مجموعه‌های IPS پیکربندی شده روی سیستم. اطلاعات فهرست شده در این پانل به انتخاب انجام شده از نوار ابزار F بستگی دارد. انتخاب یک مورد از لیست موجود در این پانل، پانل اصلی با علامت D را به روز می‌کند.
  • D – پانل اصلی حاوی اطلاعات مربوط به انتخاب دسته فعلی در نوار ابزار E. در این مثال، پانل خدمات منطقه عمومی را نمایش می‌دهد. چک‌باکس‌های کنار هر سرویس کنترل می‌کنند که آیا سرویس در فایروال فعال است یا نه. در این پانل‌های دسته‌بندی است که می‌توان قوانین جدید اضافه کرد یا قوانین موجود را پیکربندی یا حذف کرد.
  • E – محتوای نمایش داده شده در پانل D را کنترل می‌کند. با انتخاب موارد از این نوار، قانون فعلی برای دسته انتخابی نمایش داده می‌شود.
  • F – لیست نمایش داده شده در پانل C را کنترل می‌کند.

ابزار firewall-config ساده و بصری برای استفاده است و اجازه می‌دهد تا بسیاری از کارهای موجود با firewall-cmd در یک محیط بصری انجام شود.

خلاصه

یک فایروال با دقت برنامه‌ریزی و پیاده‌سازی شده جزء حیاتی هر سیستم ایمن است. در مورد اوبونتو، سرویس فایروال یک سیستم فایروال را ارائه می‌دهد که هم انعطاف‌پذیر است و هم مدیریت آن آسان است.

سرویس firewalld از مفهوم مناطق برای گروه‌بندی مجموعه‌ای از قوانین فایروال استفاده می‌کند و شامل مجموعه‌ای از مناطق از پیش تعریف شده است که برای برآورده کردن طیف وسیعی از الزامات حفاظت از فایروال طراحی شده‌اند. این مناطق ممکن است برای افزودن یا حذف قوانین، یا ایجاد و پیکربندی مناطق کاملا جدید اصلاح شوند. دستگاه‌های شبکه موجود در سیستم که به شبکه‌ها یا اینترنت متصل می‌شوند، interface یا رابط نامیده می‌شوند. هر رابط به نوبه خود به یک منطقه اختصاص داده می‌شود. ابزارهای اولیه برای کار با firewalld، ابزار خط فرمان firewall-cmd و ابزار گرافیکی Firewall-config می‌باشند.

منبع: answertopia.com

درباره فرشید نوتاش حقیقت

همیشه نیازمند یک منبع آموزشی فارسی در حوزه نرم‌افزارهای آزاد/ متن‌باز و سیستم‌عامل گنو/لینوکس بودم. از این رو این رسالت رو برای خودم تعریف کردم تا رسانه «محتوای باز» رو بوجود بیارم.

دیدگاهتان را بنویسید

این سایت از اکیسمت برای کاهش جفنگ استفاده می‌کند. درباره چگونگی پردازش داده‌های دیدگاه خود بیشتر بدانید.