CentOS এবং উবুন্টুতে ফায়ারওয়াল্ড কীভাবে ইনস্টল, কনফিগার এবং ব্যবহার করবেন
ফায়ারওয়াল্ড (ফায়ারওয়াল ডেমন) iptables পরিষেবার একটি বিকল্প, যা নেটওয়ার্কের (বা ফায়ারওয়াল) জোনগুলির জন্য সমর্থন সহ একটি সিস্টেমের ফায়ারওয়ালকে গতিশীলভাবে পরিচালনার জন্য এবং কনফিগারেশন পরিচালনার জন্য একটি ডি-বাস ইন্টারফেস সরবরাহ করে। এটি ব্যবহার করা ও কনফিগার করা সহজ এবং এটি এখন আরএইচইএল/সেন্টোস, ফেডোরা এবং আরও কয়েকটি লিনাক্স বিতরণে ডিফল্ট ফায়ারওয়াল পরিচালনার সরঞ্জাম management
এই নিবন্ধে, আমরা ফায়ারওয়াল্ডের সাথে সিস্টেম ফায়ারওয়ালকে কীভাবে কনফিগার করব এবং সেন্টোস/আরএইচএল 7 এবং উবুন্টুতে বেসিক প্যাকেট ফিল্টারিং বাস্তবায়ন করব তা নিয়ে আলোচনা করব।
ফায়ারওয়াল্ড সম্পর্কে মূল কথা
ফায়ারওয়াল্ড তিনটি স্তর নিয়ে গঠিত, যা হ'ল:
- মূল স্তর: কনফিগারেশন এবং পিছনের প্রান্তগুলি পরিচালনা করার জন্য দায়ী (নীচে তালিকাভুক্ত)
- ডি-বাস ইন্টারফেস: ফায়ারওয়াল কনফিগারেশন পরিবর্তন এবং তৈরি করার প্রাথমিক উপায়
- ব্যাকেন্ডস: নেটফিল্টার (ফায়ারওয়ালিংয়ের জন্য ব্যবহৃত নেটিভ কার্নেল মডিউল) এর সাথে কথোপকথনের জন্য। এর মধ্যে রয়েছে আইপটিবলস, ip6tables, ebtables, ipset, nft, linnftables; নেটওয়ার্ক ম্যানেজার; এবং মডিউলগুলি।
এটি নেটওয়ার্ক/ফায়ারওয়াল জোনগুলি প্রয়োগ করে যা নেটওয়ার্ক সংযোগ বা ইন্টারফেসের বিশ্বাসের স্তরকে সংজ্ঞায়িত করে ফায়ারওয়াল নিয়ম পরিচালনা করে। অন্যান্য সমর্থিত ফায়ারওয়াল বৈশিষ্ট্যগুলির মধ্যে রয়েছে পরিষেবাদি, সরাসরি কনফিগারেশন (সরাসরি কাঁচা iptables সিনট্যাক্স পাস করার জন্য ব্যবহৃত), আইপিসেটস পাশাপাশি আইসিএমপি প্রকারগুলি।
দুটি ধরণের কনফিগারেশন পরিবেশ ফায়ারওয়াল্ড দ্বারা সমর্থিত:
- রানটাইম কনফিগারেশন যা কেবলমাত্র মেশিনটিকে পুনরায় চালু না করা বা ফায়ারওয়াল্ড পরিষেবা পুনরায় চালু না হওয়া পর্যন্ত কার্যকর
- স্থায়ী কনফিগারেশন যা সংরক্ষণ করা হয় এবং অবিরামভাবে কাজ করে
ফায়ারওয়াল-সিএমডি কমান্ড লাইন সরঞ্জামটি রানটাইম এবং স্থায়ী কনফিগারেশন পরিচালনা করতে ব্যবহৃত হয়। বিকল্পভাবে, আপনি ডেমনের সাথে ইন্টারঅ্যাক্ট করতে ফায়ারওয়াল-কনফিগার গ্রাফিক্যাল ইউজার ইন্টারফেস (জিইউআই) কনফিগারেশন সরঞ্জামটি ব্যবহার করতে পারেন।
এছাড়াও, ফায়ারওয়াল্ড অন্য স্থানীয় পরিষেবাগুলি বা অ্যাপ্লিকেশনগুলির জন্য সরাসরি ফায়ারওয়াল নিয়মে পরিবর্তনের জন্য অনুরোধ করার জন্য একটি ভাল সংজ্ঞায়িত ইন্টারফেস সরবরাহ করে, যদি সেগুলি রুট সুবিধাগুলি দিয়ে চলছে।
ফায়ারওয়াল্ডের জন্য বিশ্বব্যাপী কনফিগারেশন ফাইলটি /etc/firewalld/firewalld.conf এ অবস্থিত এবং ফায়ারওয়াল বৈশিষ্ট্যগুলি এক্সএমএল ফর্ম্যাটে কনফিগার করা হয়েছে।
গুরুত্বপূর্ণ ফায়ারওয়াল্ড বৈশিষ্ট্যগুলি বোঝা
ফায়ারওয়াল্ডের কেন্দ্রীয় বৈশিষ্ট্যটি হল নেটওয়ার্ক/ফায়ারওয়াল অঞ্চল। অন্যান্য প্রতিটি বৈশিষ্ট্য একটি জোনে আবদ্ধ। একটি ফায়ারওয়াল জোন কোনও সংযোগ, ইন্টারফেস বা উত্স ঠিকানা বাঁধাইয়ের জন্য বিশ্বস্ত স্তর বর্ণনা করে।
ডিফল্ট কনফিগারেশনটি অবিশ্বস্ত থেকে বিশ্বাসযোগ্য জোনগুলির ডিফল্ট বিশ্বাসের স্তর অনুসারে সংখ্যক পূর্বনির্ধারিত অঞ্চল অনুসারে আসে: ড্রপ, ব্লক, পাবলিক, বাহ্যিক, ডিএমজেড, কাজ, বাড়ি, অভ্যন্তরীণ এবং বিশ্বস্ত। এগুলি/usr/lib/ফায়ারওয়াল্ড/অঞ্চল ডিরেক্টরি অধীনে সঞ্চিত ফাইলগুলিতে সংজ্ঞায়িত করা হয়।
আপনি সিএলআই ক্লায়েন্ট ব্যবহার করে আপনার কাস্টম অঞ্চলগুলি কনফিগার করতে বা যুক্ত করতে পারেন বা বিদ্যমান ফাইলগুলি থেকে/ইত্যাদি/ফায়ারওয়াল্ড/জোনে একটি জোন ফাইল তৈরি বা অনুলিপি করতে এবং সম্পাদনা করতে পারেন।
ফায়ারওয়াল্ডের অধীনে আরেকটি গুরুত্বপূর্ণ ধারণা হ'ল পরিষেবাগুলি। একটি পরিষেবা বন্দর এবং প্রোটোকল ব্যবহার করে সংজ্ঞায়িত করা হয়; এই সংজ্ঞাগুলি প্রদত্ত একটি নেটওয়ার্ক পরিষেবা যেমন একটি ওয়েব সার্ভার বা রিমোট অ্যাক্সেস পরিষেবা প্রতিনিধিত্ব করে। পরিষেবাগুলি/usr/lib/ফায়ারওয়াল্ড/পরিষেবাদি/বা/ইত্যাদি/ফায়ারওয়াল্ড/পরিষেবাদি/ডিরেক্টরিতে অন্তর্ভুক্ত ফাইলগুলিতে সংজ্ঞায়িত করা হয়।
আপনি যদি বেসিক iptables/ip6tables/ebtables ধারণাগুলি জানেন তবে আপনি ফায়ারওয়ালে সরাসরি অ্যাক্সেস পেতে সরাসরি ইন্টারফেস (বা কনফিগারেশন) ব্যবহার করতে পারেন। তবে, কোনও iptables জ্ঞান নেই তাদের জন্য, আপনি IPv4 এবং IPv6 এর জন্য আরও জটিল ফায়ারওয়াল বিধি তৈরি করার জন্য সমৃদ্ধ ভাষাটি নিয়োগ করতে পারেন।
কীভাবে লিনাক্সে ফায়ারওয়াল্ড প্যাকেজ ইনস্টল করবেন
CentOS 7-এ, ফায়ারওয়াল্ড প্যাকেজটি প্রাক ইনস্টলড আসে এবং আপনি নিম্নলিখিত আদেশটি ব্যবহার করে যাচাই করতে পারেন।
$ rpm -qa firewalld
উবুন্টু 16.04 এবং 18.04 এ, আপনি প্রদর্শিত হিসাবে এটি ডিফল্ট প্যাকেজ ম্যানেজার ব্যবহার করে ইনস্টল করতে পারেন।
$ sudo apt install firewalld
কীভাবে লিনাক্সে ফায়ারওয়াল্ড পরিষেবা পরিচালনা করবেন
ফায়ারওয়াল্ড একটি নিয়মিত সিস্টেমেড সার্ভিস যা সিস্টেমেটেক্ট কমান্ডের মাধ্যমে পরিচালনা করা যায়।
$ sudo systemctl start firewalld #start the service for the mean time $ sudo systemctl enable firewalld #enable the service to auto-start at boot time $ sudo systemctl status firewalld #view service status
ফায়ারওয়াল্ড পরিষেবা শুরু করার পরে, আপনি ফায়ারওয়াল-সিএমডি সরঞ্জাম ব্যবহার করে (ডিমন চালাচ্ছে কি না তাও পরীক্ষা করতে পারেন (এটি সক্রিয় না হলে, এই কমান্ডটি "চলমান নয়") আউটপুট তৈরি করবে।
$ sudo firewall-cmd --state
যদি আপনি স্থায়ীভাবে কোনও পরিবর্তন সংরক্ষণ করতে চান তবে আপনি ফায়ারওয়াল্ডটি পুনরায় লোড করতে পারেন। এটি ফায়ারওয়াল বিধিগুলি পুনরায় লোড করবে এবং রাষ্ট্রের তথ্য রাখবে। বর্তমান স্থায়ী কনফিগারেশন নতুন রানটাইম কনফিগারেশন হয়ে যাবে।
$ sudo firewall-cmd --reload
ফায়ারওয়াল্ডে ফায়ারওয়াল জোনগুলির সাথে কীভাবে কাজ করবেন
সমস্ত উপলব্ধ ফায়ারওয়াল অঞ্চল এবং পরিষেবাদির একটি তালিকা পেতে, এই আদেশগুলি চালান run
$ sudo firewall-cmd --get-zones $ sudo firewall-cmd --get-services
ডিফল্ট অঞ্চলটি এমন অঞ্চল যা প্রতিটি ফায়ারওয়াল বৈশিষ্ট্যের জন্য ব্যবহৃত হয় যা স্পষ্টভাবে অন্য জোনকে আবদ্ধ করা হয় না। আপনি চলমান হয়ে নেটওয়ার্ক সংযোগ এবং ইন্টারফেসের জন্য ডিফল্ট অঞ্চল সেট পেতে পারেন।
$ sudo firewall-cmd --get-default-zone
ডিফল্ট অঞ্চল সেট করতে, উদাহরণস্বরূপ বাহ্যিক ক্ষেত্রে, নিম্নলিখিত কমান্ডটি ব্যবহার করুন। নোট করুন যে বিকল্পটি - স্থায়ী যুক্ত করার ফলে স্থায়ীভাবে কনফিগারেশন সেট হয়ে যায় (বা স্থায়ী কনফিগারেশন পরিবেশ থেকে তথ্যের সন্ধান করা সক্ষম করে)।
$ sudo firewall-cmd --set-default-zone=external OR $ sudo firewall-cmd --set-default-zone=external --permanent $ sudo firewall-cmd --reload
এর পরে, জোনটিতে একটি ইন্টারফেস যুক্ত করতে কীভাবে তা দেখি। এই উদাহরণটি দেখায় যে কীভাবে আপনার অঞ্চলের ক্ষেত্রে ব্যবহৃত হয় জোন হোমে আপনার ওয়্যারলেস নেটওয়ার্ক অ্যাডাপ্টার (wlp1s0) যুক্ত করতে হয়।
$ sudo firewall-cmd --zone=home --add-interface=wlp1s0
একটি ইন্টারফেস কেবল একটি একক জোনে যুক্ত করা যায়। এটিকে অন্য জোনে স্থানান্তরিত করতে, - পরিবর্তন-ইন্টারফেস হিসাবে প্রদর্শিত স্যুইচটি ব্যবহার করুন বা পূর্ববর্তী অঞ্চল থেকে oveআরমিও-ইন্টারফেস ব্যবহার করে সরিয়ে ফেলুন, তারপরে নতুন জোনে যুক্ত করুন।
ধরে নিই যে আপনি একটি সর্বজনীন WI-FI নেটওয়ার্কের সাথে সংযোগ স্থাপন করতে চান, আপনার আপনার ওয়্যারলেস ইন্টারফেসটিকে পাবলিক জোনে ফিরে যেতে হবে, এর মতো:
$ sudo firewall-cmd --zone=public --add-interface=wlp1s0 $ sudo firewall-cmd --zone=public --change-interface=wlp1s0
আপনি একই সাথে অনেকগুলি অঞ্চল ব্যবহার করতে পারেন। ইন্টারফেস, পরিষেবাদি, পোর্টস, প্রোটোকল, চালনার মতো সক্ষম বৈশিষ্ট্যযুক্ত সমস্ত সক্রিয় জোনের একটি তালিকা পেতে:
$ sudo firewall-cmd --get-active-zones
পূর্ববর্তী পয়েন্টের সাথে সম্পর্কিত, আপনি যদি কোনও নির্দিষ্ট অঞ্চল সম্পর্কে আরও তথ্য পেতে চান, অর্থাৎ এতে যা কিছু যুক্ত বা সক্ষম করা হয়েছে, এই আদেশগুলির মধ্যে একটি ব্যবহার করুন:
$ sudo firewall-cmd --zone=home --list-all OR $ sudo firewall-cmd --info-zone public
আরেকটি দরকারী বিকল্পটি হ'ল --get-લક્ષ્ય , যা আপনাকে একটি স্থায়ী অঞ্চলের লক্ষ্য দেখায়। একটি লক্ষ্য হ'ল এর মধ্যে একটি: ডিফল্ট, এসিসিপিটি, ড্রপ, বাতিল। আপনি বিভিন্ন অঞ্চল লক্ষ্য নির্ধারণ করতে পারেন:
$ sudo firewall-cmd --permanent --zone=public --get-target $ sudo firewall-cmd --permanent --zone=block --get-target $ sudo firewall-cmd --permanent --zone=dmz --get-target $ sudo firewall-cmd --permanent --zone=external --get-target $ sudo firewall-cmd --permanent --zone=drop --get-target
ফায়ারওয়াল্ডে কীভাবে খুলুন এবং ব্লক পোর্টগুলি
ফায়ারওয়ালে একটি পোর্ট (বা পোর্ট/প্রোটোকল সংমিশ্রণ) খোলার জন্য, কেবল একটি জোনে - অ্যাডডি-পোর্ট বিকল্পের সাথে যুক্ত করুন। আপনি যদি স্পষ্টভাবে জোনটি নির্দিষ্ট না করেন তবে এটি ডিফল্ট জোনে সক্ষম হবে।
নিম্নলিখিত উদাহরণটি এইচটিটিপি এবং এইচটিটিপিএস প্রোটোকলের মাধ্যমে অন্তর্নিহিত ওয়েব ট্র্যাফিকের অনুমতি দেওয়ার জন্য 80 এবং 443 পোর্টটি কীভাবে যুক্ত করবেন তা দেখায়:
$ sudo firewall-cmd --zone=public --permanent --add-port=80/tcp --add-port=443/tcp
এরপরে, ফায়ারওয়াল্ড পুনরায় লোড করুন এবং পাবলিক জোনে সক্ষম বৈশিষ্ট্যগুলি আরও একবার যাচাই করুন, আপনার সবেমাত্র যুক্ত পোর্টগুলি দেখতে সক্ষম হবেন।
$ sudo firewall-cmd --reload $ sudo firewall-cmd --info-zone public
ফায়ারওয়ালে কোনও পোর্ট ব্লক করা বা বন্ধ করা সমান সহজ, কেবলমাত্র একটি কোড থেকে - রেমোভ-পোর্ট বিকল্পের সাথে সরিয়ে ফেলুন। উদাহরণস্বরূপ, পাবলিক জোনে 80 এবং 443 বন্দর বন্ধ করতে।
$ sudo firewall-cmd --zone=public --permanent --remove-port=80/tcp --remove-port=443/tcp
পোর্ট বা পোর্ট/প্রোটোকল সংমিশ্রণটি ব্যবহার করার পরিবর্তে, আপনি যে বিভাগের নামটি পরের অংশে বর্ণিত হয়েছে তার পরবর্তী নামটিতে বর্ণিত সেবার নামটি ব্যবহার করতে পারেন।
ফায়ারওয়াল্ডে কীভাবে ওপেন এবং ব্লক পরিষেবাদি করবেন
ফায়ারওয়ালে একটি পরিষেবা খোলার জন্য, --add-service বিকল্পটি ব্যবহার করে এটি সক্ষম করুন। অঞ্চল বাদ দিলে ডিফল্ট অঞ্চল ব্যবহার করা হবে।
নিম্নলিখিত কমান্ডটি সর্বজনীন অঞ্চলে http পরিষেবা স্থায়ীভাবে সক্ষম করবে।
$ sudo firewall-cmd --zone=public --permanent --add-service=http $ sudo firewall-cmd --reload
- সরানো-পরিষেবা বিকল্পটি কোনও পরিষেবা অক্ষম করতে ব্যবহার করা যেতে পারে।
$ sudo firewall-cmd --zone=public --permanent --remove-service=http $ sudo firewall-cmd --reload
ফায়ারওয়াল্ড ব্যবহার করে কীভাবে আইপি মাস্ক্রেডিং সক্ষম ও অক্ষম করবেন
আইপি মাস্ক্রেডিং (আইপিএমএএসকিউ বা এমএএসকিউ হিসাবে পরিচিত) লিনাক্স নেটওয়ার্কিংয়ের একটি নেট (নেটওয়ার্ক অ্যাড্রেস ট্রান্সলেশন) মেকানিজম যা আপনার হোস্টকে কোনও নেটওয়ার্কে আপনার লিনাক্স সার্ভারের (আইপিএমএএসকিউ গেটওয়ে) নির্ধারিত পাবলিক আইপি ব্যবহার করে ইন্টারনেটের সাথে যোগাযোগ করার অনুমতি দেয় IP ঠিকানা।
এটি এক থেকে বহু ম্যাপিং। আপনার অদৃশ্য হোস্টগুলির ট্র্যাফিক ইন্টারনেটে অন্য কম্পিউটারগুলিতে উপস্থিত হবে যেন এটি আপনার লিনাক্স সার্ভার থেকে এসেছে।
আপনি কাঙ্ক্ষিত জোনে আইপি মাস্ক্রেডিং সক্ষম করতে পারেন, উদাহরণস্বরূপ পাবলিক জোন। তবে এটি করার আগে, প্রথমে পরীক্ষা করুন যে মাস্ক্রেডিং সক্রিয় আছে কি না ("" না "এর অর্থ এটি অক্ষম এবং" হ্যাঁ "এর অর্থ অন্যথায়)।
$ sudo firewall-cmd --zone=public --query-masquerade $ sudo firewall-cmd --zone=public --add-masquerade
মাস্ক্রেডিংয়ের জন্য একটি সাধারণ ব্যবহারের ক্ষেত্রটি হল পোর্ট ফরওয়ার্ডিং করা perform ধরে নিই যে আপনি আইপি 10.20.1.3 এর মাধ্যমে আপনার অভ্যন্তরীণ নেটওয়ার্কের কোনও রিমোট মেশিন থেকে কোনও হোস্টের কাছে এসএসএইচ করতে চান, যার উপর এসএসডি ডিমন পোর্ট 5000 শুনছে।
আপনি আপনার লিনাক্স সার্ভারের 22 পোর্টে সমস্ত সংযোগগুলি আপনার টার্গেট হোস্টের উদ্দেশ্যে পোর্টে ফরোয়ার্ড করতে পারেন:
$ sudo firewall-cmd --zone=public --add-forward-port=port=22=proto=tcp:toport=5000:toaddr=10.20.1.3
কোন জোনে মাস্ক্রেডিং অক্ষম করতে, - রেমোভ-মাস্কেরিয়েড স্যুইচটি ব্যবহার করুন।
$ sudo firewall-cmd --zone=public --remove-masquerade
ফায়ারওয়াল্ডে কীভাবে আইএমসিপি বার্তা সক্ষম ও অক্ষম করবেন
আইসিএমপি (ইন্টারনেট কন্ট্রোল মেসেজ প্রোটোকল) বার্তা হ'ল তথ্য অনুরোধ বা তথ্য অনুরোধের জবাব বা ত্রুটি অবস্থায়।
আপনি ফায়ারওয়ালে আইসিএমপি বার্তাগুলি সক্ষম বা অক্ষম করতে পারেন, তবে তার আগে সমস্ত সমর্থিত আইসিএমপি ধরণের তালিকা তৈরি করুন।
$ sudo firewall-cmd --get-icmptypes
আপনি চান এমন একটি ব্লক টাইপ যুক্ত করতে বা মুছতে।
$ sudo firewall-cmd --zone=home --add-icmp-block=echo-reply OR $ sudo firewall-cmd --zone=home --remove-icmp-block=echo-reply
<জোড় কোড - লিস্ট-আইসিএমপি-ব্লকস স্যুইচ ব্যবহার করে আপনি একটি জোনে যুক্ত সমস্ত আইএমপি প্রকারগুলি দেখতে পারেন।
$ sudo firewall-cmd --zone=home --list-icmp-blocks
কাঁচা iptables কমান্ডগুলি পাস করার জন্য ডাইরেক্ট ইন্টারফেস কীভাবে ব্যবহার করতে হয়
ফায়ারওয়াল-সিএমডি এছাড়াও ফায়ারওয়ালে আরও সরাসরি অ্যাক্সেস পাওয়ার জন্য সরাসরি বিকল্পগুলি ( - ডাইরেক্ট ) সরবরাহ করে। এটি iptables এর প্রাথমিক জ্ঞান যারা তাদের জন্য দরকারী।
গুরুত্বপূর্ণ: উপরে বর্ণিত নিয়মিত ফায়ারওয়াল-সেন্টিমিডি বিকল্পগুলি ব্যবহার করা সম্ভব না হলে আপনার কেবলমাত্র সর্বশেষ অবলম্বন হিসাবে সরাসরি বিকল্পগুলি ব্যবহার করা উচিত।
- অ্যাড-বিধি স্যুইচ ব্যবহার করে কাঁচা iptables নিয়ম কীভাবে পাস করবেন তার একটি উদাহরণ এখানে। আপনি এই কোডগুলি --এডডি-রুল - সরানো-বিধি এর সাথে প্রতিস্থাপন করে সহজেই মুছে ফেলতে পারেন:
$ sudo firewall-cmd --direct --add-rule ipv4 filter IN_public_allow 0 -m tcp -p tcp --dport 80 -j ACCEPT
Iptables সম্পর্কে আরও তথ্যের জন্য, এই গাইডটি দেখুন: লিনাক্সের পরিষেবাগুলিতে রিমোট অ্যাক্সেস সক্ষম করতে একটি Iptables ফায়ারওয়াল কীভাবে সেটআপ করবেন।
আপনি যদি iptables সিনট্যাক্সের সাথে পরিচিত না হন, আপনি পরবর্তী ব্যাখ্যা অনুসারে বোঝার সহজ পদ্ধতিতে আরও জটিল ফায়ারওয়াল নিয়ম তৈরির জন্য ফায়ারওয়াল্ডের "সমৃদ্ধ ভাষা" বেছে নিতে পারেন।
ফায়ারওয়াল্ডে কীভাবে সমৃদ্ধ ভাষা ব্যবহার করবেন
সমৃদ্ধ ভাষা (সমৃদ্ধ বিধি হিসাবেও পরিচিত) আইপিভি 4 এবং আইপিভি 6 এর জন্য আরও জটিল ফায়ারওয়াল বিধি যুক্ত করতে আইপ্যাবটিস সিনট্যাক্সের জ্ঞান ছাড়াই যুক্ত হয়।
এটি জোন বৈশিষ্ট্যগুলি (পরিষেবা, পোর্ট, আইসিএমপি-ব্লক, মাস্ক্রেড এবং ফরোয়ার্ড-পোর্ট) প্রসারিত করে যা আমরা .েকে রেখেছি। এটি উত্স এবং গন্তব্য ঠিকানা, লগিং, লগ এবং ক্রিয়াগুলির জন্য ক্রিয়া এবং সীমাটিকে সমর্থন করে।
- অ্যাড-সমৃদ্ধ-বিধি সমৃদ্ধ নিয়ম যুক্ত করতে ব্যবহৃত হয়। এই উদাহরণটি দেখায় যে কীভাবে পরিষেবা HTTP- র জন্য নতুন IPv4 এবং IPv6 সংযোগের অনুমতি দেওয়া যায় এবং নিরীক্ষণ ব্যবহার করে প্রতি মিনিটে লগ করুন:
$ sudo firewall-cmd --add-rich-rule='rule service name="http" audit limit value="1/m" accept'
যুক্ত নিয়মটি সরাতে --rev- সমৃদ্ধ-বিধি - অ্যাড-সমৃদ্ধ-নিয়ম বিকল্পটি প্রতিস্থাপন করুন।
$ sudo firewall-cmd --remove-rich-rule='rule service name="http" audit limit value="1/m" accept'
এই বৈশিষ্ট্যটি নির্দিষ্ট আইপি ঠিকানা থেকে ট্র্যাফিক ব্লক বা অনুমতি দেওয়ার অনুমতি দেয়। নিম্নলিখিত উদাহরণটি দেখায় যে কীভাবে আইপি 10.20.1.20 থেকে সংযোগগুলি প্রত্যাখ্যান করতে হয়।
$ sudo firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" source address="192.168.0.254" reject'
কীভাবে ফায়ারওয়াল্ডে প্যানিক মোড সক্ষম ও অক্ষম করবেন
প্যানিক মোড ফায়ারওয়াল্ডের অধীনে একটি বিশেষ মোড যেখানে সমস্ত ইন-বাউন্ড এবং আউট-বাউন্ড প্যাকেটগুলি ফেলে দেওয়া হয় এবং সক্রিয় সংযোগগুলি একবার সক্রিয় হওয়ার পরে শেষ হবে
আপনার নেটওয়ার্ক পরিবেশের জন্য হুমকির বাইরে থাকা জরুরি পরিস্থিতিতে আপনি এই মোডটি সক্ষম করতে পারেন।
প্যানিক মোডটি জিজ্ঞাসা করতে, - ক্যুরি-প্যানিক বিকল্পটি ব্যবহার করুন।
$ sudo firewall-cmd --query-panic
প্যানিক মোড সক্ষম করতে, --প্যানিক-অন বিকল্পটি ব্যবহার করুন। এটি টেস্ট করতে পারেন যদি এটি পিং কমান্ডটি দেখানো হিসাবে ব্যবহার করে কাজ করছে কিনা। প্যাকেটটি ফেলে দেওয়া হওয়ায়, www.google.com নামটি সমাধান করা যায় না, সুতরাং ত্রুটিটি প্রদর্শিত হয়।
$ sudo firewall-cmd --panic-on $ ping -c 2 www.google.com
প্যানিক মোডটি অক্ষম করতে, --প্যানিক-অফ বিকল্পটি ব্যবহার করুন।
$ sudo firewall-cmd --panic-off
কীভাবে লকডাউন ফায়ারওয়াল্ড
মনে রাখবেন, আমরা ফায়ারওয়াল্ড সম্পর্কে বেসিকগুলির নীচে উল্লেখ করেছি যে স্থানীয় অ্যাপ্লিকেশন বা পরিষেবাগুলি ফায়ারওয়াল কনফিগারেশন পরিবর্তন করতে সক্ষম হয় যদি তারা রুট সুবিধাগুলি নিয়ে চলছে। কোন লকডাউন হোয়াইটলিস্টে নির্দিষ্ট করে কোন অ্যাপ্লিকেশনগুলি ফায়ারওয়াল পরিবর্তনের জন্য অনুরোধ করতে সক্ষম তা নিয়ন্ত্রণ করতে পারেন।
এই বৈশিষ্ট্যটি ডিফল্টরূপে বন্ধ করা আছে, আপনি এটি - લોકডাউন অন বা - লকডাউন সাদরে গ্রহণযোগ্যভাবে সক্রিয় বা অক্ষম করতে পারেন।
$ sudo firewall-cmd --lockdown-on OR $ sudo firewall-cmd --lockdown-off
নোট করুন যে মূল কনফিগারেশন ফাইলটি সম্পাদনা করে এই বৈশিষ্ট্যটি সক্ষম বা অক্ষম করার জন্য সুপারিশ করা হয়েছে, কারণ আপনি যখন লকডাউন সক্ষম করবেন তখন ফায়ারওয়াল-সিএমডি লকডাউন হোয়াইটলিস্টে থাকতে পারে না।
$ sudo vim /etc/firewalld/firewalld.conf
প্যারামিটার লকডাউনটি সন্ধান করুন এবং এর মানটি ন (অফ অফ) থেকে হ > (মানে) তে পরিবর্তন করুন।
Lockdown=yes
এই সেটিংটি স্থায়ীভাবে পুনরায় লোড ফায়ারওয়াল্ড করতে।
$ sudo firewall-cmd --reload
ফায়ারওয়াল্ড iptables পরিষেবার জন্য প্রতিস্থাপন ব্যবহার করা সহজ, যা ব্যাকএন্ড হিসাবে আইপটবেবল ব্যবহার করে। এই নিবন্ধে, আমরা কীভাবে ফায়ারওয়াল্ড প্যাকেজ ইনস্টল করতে হবে, ফায়ারওয়াল্ডের গুরুত্বপূর্ণ বৈশিষ্ট্য ব্যাখ্যা করেছি এবং রানটাইম এবং স্থায়ী কনফিগারেশন পরিবেশে সেগুলি কীভাবে কনফিগার করতে হবে তা নিয়ে আলোচনা করেছি।
আপনার যদি কোনও প্রশ্ন বা মন্তব্য থাকে তবে নীচে মন্তব্য ফর্মের মাধ্যমে নির্দ্বিধায় আমাদের সাথে যোগাযোগ করুন। আরও তথ্যের জন্য আপনি প্রকল্পের ওয়েবসাইটে ফায়ারওয়াল্ড ম্যানুয়াল পৃষ্ঠা (ম্যান ফায়ারওয়াল্ড) বা ফায়ারওয়াল্ড ডকুমেন্টেশন উল্লেখ করতে পারেন।