سینٹوس 7 پر فائر وال کے ساتھ فائر وال کیسے لگائیں

مناسب طریقے سے تشکیل شدہ فائر وال وال سسٹم کی سکیورٹی کے سب سے اہم پہلوؤں میں سے ایک ہے۔

فائر والڈ ایک مکمل فائر وال حل ہے جو نظام کے iptables اصولوں کا انتظام کرتا ہے اور ان پر کام کرنے کیلئے ڈی بس انٹرفیس فراہم کرتا ہے۔ سینٹوس 7 سے شروع کرتے ہوئے ، فائر وال ڈی آئی ٹیبلز کو ڈیفالٹ فائر وال مینجمنٹ ٹول کی جگہ لے لیتا ہے۔

اس ٹیوٹوریل میں ، ہم آپ کو دکھاتے ہیں کہ آپ اپنے سینٹوس 7 سسٹم پر فائر وال کے ساتھ فائر وال کو کیسے ترتیب دیں اور فائر وال ڈی کے بنیادی تصورات کو آپ کو سمجھائیں۔

شرطیں

اس ٹیوٹوریل کے ساتھ شروع کرنے سے پہلے ، یہ یقینی بنائیں کہ آپ اپنے سرور میں کسی صارف اکاؤنٹ کے ساتھ سوڈو مراعات یا روٹ صارف کے ساتھ لاگ ان ہیں۔ عمدہ عمل یہ ہے کہ جڑ کے بجائے انتظامی احکامات کو بطور سوڈو صارف چلا user۔ اگر آپ کے سینٹوس سسٹم میں سوڈو صارف نہیں ہے تو ، آپ ان ہدایات پر عمل کرکے ایک تشکیل دے سکتے ہیں۔

بنیادی فائر والڈ تصورات

فائر وال ڈی زونوں اور خدمات کے تصورات کو استعمال کرتا ہے ، بجائے اس کے کہ وہ iptables چین اور قواعد کے۔ آپ جن زونوں اور خدمات کو تشکیل دیں گے ان کی بنیاد پر ، آپ اس پر قابو پاسکتے ہیں کہ کون سی ٹریفک کی اجازت ہے یا سسٹم سے اس کی اجازت نہیں ہے۔

فائروال ڈی کو firewall-cmd کمانڈ لائن افادیت کا استعمال کرکے تشکیل اور انتظام کیا جاسکتا ہے۔

فائر والڈ زونز

زونز اصولوں کے طے شدہ سیٹ ہیں جو بتاتے ہیں کہ آپ کے کمپیوٹر سے جڑے نیٹ ورکس پر اعتماد کی سطح کی بنیاد پر کس ٹریفک کی اجازت دی جانی چاہئے۔ آپ کسی زون کو نیٹ ورک انٹرفیس اور ذرائع تفویض کرسکتے ہیں۔

ذیل میں فائر والڈ کے ذریعہ فراہم کردہ زونز کو غیر اعتماد سے لے کر بھروسہ مند تک زون کی ٹرسٹ لیول کے مطابق آرڈر دیا گیا ہے۔

• ڈراپ: آنے والے تمام کنکشن بغیر کسی اطلاع کے چھوڑ دیئے گئے ہیں۔ صرف باہر جانے والے رابطوں کی اجازت ہے۔ بلاک: تمام آنے والے رابطوں کو IPv4 اور IPv4 icmp6-adm-prohibited icmp-host-prohibited IPv4 icmp6-adm-prohibited لئے IPv4 icmp-host-prohibited پیغام کے ساتھ مسترد کردیا گیا ہے۔ صرف باہر جانے والے رابطوں کی اجازت ہے۔ عوامی: عدم اعتماد والے عوامی علاقوں میں استعمال کیلئے۔ آپ کو نیٹ ورک کے دوسرے کمپیوٹرز پر بھروسہ نہیں ہے ، لیکن آپ منتخب آنے والے کنکشن کی اجازت دے سکتے ہیں۔ بیرونی: جب آپ کا سسٹم گیٹ وے یا روٹر کے طور پر کام کرتا ہے تو نیٹ ماسکریڈنگ والے بیرونی نیٹ ورکس پر استعمال کے ل.۔ صرف منتخب کردہ آنے والے رابطوں کی اجازت ہے۔ اندرونی: داخلی نیٹ ورکس پر استعمال کے ل when جب آپ کا سسٹم گیٹ وے یا روٹر کا کام کرتا ہے۔ نیٹ ورک پر موجود دوسرے سسٹم پر عام طور پر اعتماد کیا جاتا ہے۔ صرف منتخب کردہ آنے والے رابطوں کی اجازت ہے۔ ڈی ایم زیڈ: آپ کے غیر عجیب زون میں واقع کمپیوٹرز کے لئے استعمال کیا جاتا ہے جن کے پاس آپ کے بقیہ نیٹ ورک تک محدود رسائی ہے۔ صرف منتخب کردہ آنے والے رابطوں کی اجازت ہے۔ کام: ورک مشینوں کے لئے استعمال کیا جاتا ہے۔ نیٹ ورک پر موجود دوسرے کمپیوٹرز پر عام طور پر اعتماد کیا جاتا ہے۔ صرف منتخب کردہ آنے والے رابطوں کی اجازت ہے۔ گھر: گھریلو مشینوں کے لئے استعمال کیا جاتا ہے۔ نیٹ ورک پر موجود دوسرے کمپیوٹرز پر عام طور پر اعتماد کیا جاتا ہے۔ صرف منتخب کردہ آنے والے رابطوں کی اجازت ہے۔ بھروسہ مند: تمام نیٹ ورک کنکشن قبول ہیں۔ نیٹ ورک میں موجود تمام کمپیوٹرز پر اعتماد کریں۔

فائر وال خدمات

فائر والڈ خدمات پیش وضاحتی اصول ہیں جو ایک زون کے اندر لاگو ہوتے ہیں اور کسی مخصوص خدمت کے ل for آنے والی ٹریفک کی اجازت کے ل the ضروری ترتیبات کی وضاحت کرتے ہیں۔

فائر والڈ رن ٹائم اور مستقل ترتیبات

فائر والڈ دو الگ الگ ترتیب سیٹ ، رن ٹائم ، اور مستقل تشکیل استعمال کرتا ہے۔

رن ٹائم کنفیگریشن اصل چلانے والی تشکیل ہے ، اور یہ ریبوٹس پر مستقل نہیں ہے۔ جب فائر واللڈ سروس شروع ہوتی ہے تو ، یہ مستقل تشکیل کو بوجھ دیتی ہے ، جو رن ٹائم کنفیگریشن بن جاتی ہے۔

پہلے سے طے شدہ طور پر ، جب firewall-cmd افادیت کا استعمال کرتے ہوئے firewall-cmd ترتیب میں تبدیلیاں کرتے ہیں تو ، تبدیلیوں کا اطلاق رن ٹائم ترتیب پر ہوتا ہے۔ تبدیلیوں کو مستقل کرنے کیلئے آپ کو - --permanent اختیار استعمال کرنے کی ضرورت ہے۔

فائر وال ڈی انسٹال کرنا اور ان کو قابل بنانا

1. فائر والڈ ڈیفالٹ کے ذریعہ سینٹوس 7 پر انسٹال ہے ، لیکن اگر یہ آپ کے سسٹم پر انسٹال نہیں ہے تو ، آپ ٹائپ کرکے پیکیج انسٹال کرسکتے ہیں۔

   sudo yum install firewalld

   فائر والڈ سروس ڈیفالٹ کے ذریعے غیر فعال ہے۔ آپ فائر وال کی حیثیت کو اس کے ساتھ چیک کرسکتے ہیں:

   sudo firewall-cmd --state

   فائر وال ڈی سروس شروع کرنے اور بوٹ ٹائپ پر اس کو فعال کرنے کے لئے:

   sudo systemctl start firewalld sudo systemctl enable firewalld

فائر والڈ زون کے ساتھ کام کرنا

پہلی بار فائروالڈ سروس کو فعال کرنے کے بعد ، public زون کو بطور ڈیفالٹ زون مقرر کیا گیا ہے۔ ٹائپ کرکے آپ پہلے سے طے شدہ زون دیکھ سکتے ہیں۔

sudo firewall-cmd --get-default-zone

public

تمام دستیاب زون کی فہرست حاصل کرنے کے لئے ، ٹائپ کریں:

sudo firewall-cmd --get-zones

block dmz drop external home internal public trusted work

پہلے سے طے شدہ طور پر ، تمام نیٹ ورک انٹرفیس کو ڈیفالٹ زون تفویض کیا جاتا ہے۔ آپ کے نیٹ ورک انٹرفیس (قسم) کے ذریعہ کون سے زون استعمال ہوتے ہیں یہ چیک کرنے کے لئے:

sudo firewall-cmd --get-active-zones

public interfaces: eth0 eth1

اوپر کی آؤٹ پٹ ہمیں بتاتی ہے کہ eth0 اور eth1 1 دونوں کو عوامی زون میں تفویض کیا گیا ہے۔

آپ اس کے ساتھ زون ترتیب کی ترتیبات پرنٹ کرسکتے ہیں:

sudo firewall-cmd --zone=public --list-all

public (active) target: default icmp-block-inversion: no interfaces: eth0 eth1 sources: services: ssh dhcpv6-client ports: protocols: masquerade: no forward-ports: source-ports: icmp-blocks: rich rules:

مندرجہ بالا آؤٹ پٹ سے ، ہم دیکھ سکتے ہیں کہ عوامی زون متحرک ہے اور بطور ڈیفالٹ سیٹ ہے ، جو eth0 اور eth1 انٹرفیس دونوں کے ذریعہ استعمال ہوتا ہے۔ نیز ، ڈی ایچ سی پی کلائنٹ اور ایس ایس ایچ سے متعلقہ رابطوں کی بھی اجازت ہے۔

sudo firewall-cmd --list-all-zones

کمانڈ تمام دستیاب زون کی ترتیب کے ساتھ ایک بہت بڑی فہرست پرنٹ کرتا ہے۔

انٹرفیس کا زون تبدیل کرنا

آپ --change-interface آپشن کے ساتھ مل کر --change-interface زون کی آپشن کا استعمال کرکے انٹرفیس زون کو آسانی سے تبدیل کرسکتے ہیں۔ درج ذیل کمانڈ eth1 انٹرفیس کو کام کے زون میں تفویض کرے گی۔

sudo firewall-cmd --zone=work --change-interface=eth1

ٹائپ کرکے تبدیلیوں کی تصدیق کریں:

sudo firewall-cmd --get-active-zones

work interfaces: eth1 public interfaces: eth0

ڈیفالٹ زون کو تبدیل کرنا

پہلے سے طے شدہ زون کو تبدیل کرنے کے لئے ، --set-default-zone آپشن کا استعمال کریں جس کے بعد آپ اس زون کا نام لیں جو آپ ڈیفالٹ بنانا چاہتے ہیں۔

مثال کے طور پر ، گھر میں ڈیفالٹ زون تبدیل کرنے کے ل you آپ کو درج ذیل کمانڈ چلانی چاہئے۔

sudo firewall-cmd --set-default-zone=home

تبدیلیوں کی تصدیق اس کے ساتھ کریں:

sudo firewall-cmd --get-default-zone

home

پورٹ یا سروس کھولنا

فائر والڈ کے ذریعہ آپ مخصوص پورٹ کے لئے ٹریفک کی اجازت دے سکتے ہیں جو خدمات کو کہتے ہیں پہلے سے طے شدہ قواعد پر مبنی ہیں۔

سبھی ڈیفالٹ دستیاب سروسز کی فہرست حاصل کرنے کے لئے:

sudo firewall-cmd --get-services

آپ /usr/lib/firewalld/services ڈائرکٹری کے اندر وابستہ.xML فائل کھول کر ہر خدمت کے بارے میں مزید معلومات حاصل کرسکتے ہیں۔ مثال کے طور پر ، HTTP سروس کی تعریف اس طرح کی گئی ہے:

/usr/lib/firewalld/services/http.xml

WWW (HTTP) HTTP is the protocol used to serve Web pages. If you plan to make your Web server publicly available, enable this option. This option is not required for viewing pages locally or developing Web pages. WWW (HTTP) HTTP is the protocol used to serve Web pages. If you plan to make your Web server publicly available, enable this option. This option is not required for viewing pages locally or developing Web pages.

عوامی زون میں انٹرفیس کے لئے آنے والی HTTP ٹریفک (پورٹ 80) کی اجازت دینے کے لئے ، صرف موجودہ سیشن کے لئے (رن ٹائم تشکیل) قسم:

sudo firewall-cmd --zone=public --add-service=http اگر آپ ڈیفالٹ زون میں ترمیم کر رہے ہیں تو آپ - زون آپشن چھوڑ سکتے ہیں۔

اس کی توثیق کرنے کے لئے کہ خدمت کو کامیابی کے ساتھ شامل کیا گیا ہے --list-services آپشن کا استعمال کریں۔

sudo firewall-cmd --zone=public --list-services

ssh dhcpv6-client

sudo firewall-cmd --permanent --zone=public --add-service=http

اپنی تبدیلیوں کی تصدیق کے --permanent --list-services کے ساتھ --list-services --permanent آپشن کا استعمال کریں۔

sudo firewall-cmd --permanent --zone=public --list-services

ssh dhcpv6-client

خدمت کو ہٹانے کے لئے نحو وہی ہے جو خدمت شامل کرتے وقت ہے۔ صرف --remove-service --add-service آپشن کی بجائے --remove-service استعمال کریں۔

sudo firewall-cmd --zone=public --remove-service=http --permanent

مذکورہ کمانڈ عوامی زون مستقل تشکیل سے HTTP سروس کو ہٹا دیتی ہے۔

کیا ہوگا اگر آپ کوئی ایپلی کیشن چلا رہے ہو جیسے پلیکس میڈیا سرور جس کے لئے مناسب سروس دستیاب نہیں ہے؟

ان جیسے حالات میں ، آپ کے پاس دو اختیارات ہیں۔ آپ یا تو مناسب بندرگاہیں کھول سکتے ہیں یا نئی فائر والڈ سروس کی وضاحت کرسکتے ہیں۔

مثال کے طور پر ، Plex سرور 32400 پورٹ پر سنتا ہے اور موجودہ سیشن کیلئے عوامی زون میں پورٹ کھولنے کے لئے TCP کا استعمال کرتا ہے ، --add-port= آپشن استعمال کریں۔

sudo firewall-cmd --zone=public --add-port=32400/tcp پروٹوکول یا تو tcp یا udp ہوسکتا ہے۔

اس کی توثیق کرنے کے لئے کہ پورٹ کو کامیابی کے ساتھ شامل کیا گیا تھا --list-ports آپشن کا کامیابی سے استعمال کریں۔

sudo firewall-cmd --zone=public --list-ports

32400/tcp

ریبوٹ کے بعد 32400 بندرگاہ کو کھلا رکھنے کے لئے ، --permanent آپشن کا استعمال کرتے ہوئے ایک ہی کمانڈ چلا کر مستقل ترتیبات میں قاعدہ شامل کریں۔

بندرگاہ کو ہٹانے کے لئے نحو جیسا ہی ہے جب بندرگاہ شامل کرتے وقت۔ --remove-port آپشن کے بجائے --remove-port --add-port کا استعمال کریں۔

sudo firewall-cmd --zone=public --remove-port=32400/tcp

ایک نئی فائر والڈ سروس کی تشکیل

جیسا کہ ہم نے پہلے ہی بتایا ہے ، پہلے سے طے شدہ خدمات /usr/lib/firewalld/services ڈائریکٹری میں محفوظ کی جاتی ہیں۔ نئی سروس تخلیق کرنے کا سب سے آسان طریقہ یہ ہے کہ موجودہ سروس فائل کو /etc/firewalld/services ڈائرکٹری میں کاپی کرنا ہے ، جو صارف کے ذریعہ تیار کردہ خدمات کے ل location محل وقوع ہے اور فائل کی ترتیبات میں ترمیم کرنا ہے۔

مثال کے طور پر ، پلیکس میڈیا سرور کے لئے خدمت کی تعریف بنانے کے ل we ہم SSH سروس فائل استعمال کرسکتے ہیں۔

sudo cp /usr/lib/firewalld/services/ssh.xml /etc/firewalld/services/plexmediaserver.xml

نئی تخلیق شدہ plexmediaserver.xml فائل کھولیں اور کے اندر خدمت کے لئے مختصر نام اور تفصیل کو تبدیل کریں اور ٹیگز آپ کو تبدیل کرنے کے لئے سب سے اہم ٹیگ port ٹیگ ہے ، جو پورٹ نمبر اور پروٹوکول کی وضاحت کرتا ہے جسے آپ کھولنا چاہتے ہیں۔

مندرجہ ذیل مثال میں ، ہم بندرگاہیں کھول رہے ہیں 1900 یو ڈی پی اور 32400 ٹی سی پی۔

/etc/firewalld/services/plexmediaserver.xml

plexmediaserver Plex is a streaming media server that brings all your video, music and photo collections together and stream them to your devices at anytime and from anywhere. plexmediaserver Plex is a streaming media server that brings all your video, music and photo collections together and stream them to your devices at anytime and from anywhere.

فائل کو محفوظ کریں اور فائر والڈ سروس کو دوبارہ لوڈ کریں:

sudo firewall-cmd --reload

اب آپ اپنے علاقوں میں plexmediaserver سروس کو کسی دوسری سروس کی طرح استعمال کرسکتے ہیں۔

فائر والڈ کے ساتھ فارورڈنگ پورٹ

ایک بندرگاہ سے دوسرے بندرگاہ یا پتے پر ٹریفک آگے بڑھانے کے لئے ، پہلے --add-masquerade سوئچ کا استعمال کرتے ہوئے مطلوبہ زون کے لئے --add-masquerade فعال کریں۔ مثال کے طور پر external زون کی قسم کیلئے ماسکریڈنگ کو اہل بنانا:

sudo firewall-cmd --zone=external --add-masquerade

• اسی سرور پر ایک بندرگاہ سے دوسری بندرگاہ تک ٹریفک آگے بڑھائیں

مندرجہ ذیل مثال میں ہم اسی سرور پر ٹریفک کو پورٹ 80 سے پورٹ 8080 بھیج رہے ہیں۔

sudo firewall-cmd --zone=external --add-forward-port=port=80:proto=tcp:toport=8080

• دوسرے سرور پر ٹریفک آگے بھیجیں

مندرجہ ذیل مثال میں ہم IP 10.10.10.2 سرور پر پورٹ 80 سے پورٹ 80 تک ٹریفک آگے بھیج رہے ہیں۔

sudo firewall-cmd --zone=external --add-forward-port=port=80:proto=tcp:toaddr=10.10.10.2

• مختلف پورٹ پر دوسرے سرور پر ٹریفک آگے بھیجیں

مندرجہ ذیل مثال میں ہم IP 10.10.10.2 سرور پر پورٹ 80 سے پورٹ 8080 تک ٹریفک آگے بھیج رہے ہیں۔

sudo firewall-cmd --zone=external --add-forward-port=port=80:proto=tcp:toport=8080:toaddr=10.10.10.2

فائر والڈ کے ساتھ رولسیٹ تشکیل دینا

مندرجہ ذیل مثال میں ، ہم دکھائیں گے کہ اگر آپ ویب سرور چلا رہے تھے تو اپنے فائر وال کو کس طرح تشکیل دیں۔ ہم فرض کر رہے ہیں کہ آپ کے سرور کے پاس صرف ایک انٹرفیس eth0 ، اور آپ آنے والے ٹریفک کو صرف ایس ایس ایچ ، ایچ ٹی ٹی پی ، اور ایچ ٹی ٹی پی ایس پورٹس پر ہی اجازت دینا چاہتے ہیں۔

1. ڈیفالٹ زون کو dmz میں تبدیل کریں

   ہم dmz (demilitarized) زون استعمال کریں گے کیونکہ بطور ڈیفالٹ یہ صرف SSH ٹریفک کی اجازت دیتا ہے۔ ڈیفالٹ زون کو dmz میں تبدیل کرنے اور اسے E0 انٹرفیس کو تفویض کرنے کے لئے ، درج ذیل کمانڈز چلائیں:

   sudo firewall-cmd --set-default-zone=dmz sudo firewall-cmd --zone=dmz --add-interface=eth0 sudo firewall-cmd --set-default-zone=dmz sudo firewall-cmd --zone=dmz --add-interface=eth0

   HTTP اور HTTPS بندرگاہیں کھولیں:

   HTTP اور HTTPS بندرگاہوں کو کھولنے کے لئے dmz زون میں مستقل خدمت کے قواعد شامل کریں:

   sudo firewall-cmd --permanent --zone=dmz --add-service=http sudo firewall-cmd --permanent --zone=dmz --add-service=https

   فائر وال کو دوبارہ لوڈ کرکے فوری طور پر تبدیلیوں کو موثر بنائیں:

   sudo firewall-cmd --reload

   تبدیلیوں کی تصدیق کریں

   dmz زون کی ترتیب کی ترتیبات کو جانچنے کے لئے ٹائپ کریں:

   sudo firewall-cmd --zone=dmz --list-all

   dmz (active) target: default icmp-block-inversion: no interfaces: eth0 sources: services: ssh http https ports: protocols: masquerade: no forward-ports: source-ports: icmp-blocks: rich rules:

   اوپر کی آؤٹ پٹ ہمیں بتاتی ہے کہ dmz ڈیفالٹ زون ہے ، اسے E00 انٹرفیس پر لاگو کیا جاتا ہے اور ssh (22) HTTP (80) اور https (443) پورٹس کھلی ہوئی ہیں۔

نتیجہ اخذ کرنا

آپ نے اپنے سینٹوس سسٹم میں فائر وال ڈی سروس کی تشکیل اور ان کا نظم کرنے کا طریقہ سیکھ لیا ہے۔

تمام غیر ضروری رابطوں کو محدود کرتے ہوئے ، آنے والے تمام رابطوں کی اجازت دینا یقینی بنائیں جو آپ کے سسٹم کے مناسب کام کے لئے ضروری ہیں۔

فائروالڈ فائر وال وال iptables سینٹوس سیکیورٹی