Centos 8 отключить firewall
firewalld — программное обеспечение для управления брандмауэрами, поддерживаемое многими дистрибутивами Linux. Выступает в качестве клиентского интерфейса для встроенных в ядро Linux систем фильтрации пакетов nftables и iptables.
В этом обучающем руководстве мы покажем, как настраивать брандмауэр firewalld для сервера CentOS 8 и расскажем об основах управления брандмауэром с помощью административного инструмента firewall-cmd .
Основные концепции в firewalld
Прежде чем обсуждать фактическое использование утилиты firewall-cmd для управления конфигурацией брандмауэра, мы должны познакомиться с несколькими концепциями, которые вводит этот инструмент.
Демон firewalld управляет группами правил, используя элементы, называемые зонами. Зоны представляют собой набор правил, который определяет разрешенный трафик в зависимости от уровня доверия в сети. Зоне назначаются сетевые интерфейсы, определяющие поведение, которое должен разрешать брандмауэр.
Такая гибкость позволяет легко изменять правила в зависимости от среды, особенно в случае с компьютерами, которые часто перемещаются между сетями (например, с ноутбуками). Вы можете использовать более строгие правила, например, запретить большую часть трафика в публичных сетях WiFi и ввести менее строгие ограничения для домашней сети. Для сервера эти зоны не так важны, поскольку его сетевая среда редко изменяется, если это вообще происходит.
Вне зависимости от того, насколько динамична ваша сетевая среда, вам будет полезно познакомиться с общей идеей, лежащей в основе заданных зон firewalld . Заданные зоны в firewalld упорядочены от наименее доверенных к наиболее доверенным:
Для использования брандмауэра можно создавать правила и изменять свойства зон, а также назначать сетевые интерфейсы в наиболее подходящие зоны.
Постоянство правил
В firewalld правила можно применять к текущему набору правил времени исполнения или использовать как постоянные. При добавлении или изменении правила по умолчанию изменяется только работающий брандмауэр. После перезагрузки системы или службы firewalld сохраняются только постоянные правила.
Большинство операций firewall-cmd могут принимать флаг --permanent , указывающий на необходимость применения изменений к постоянной конфигурации. Кроме того, текущую конфигурацию брандмауэра можно сохранить в постоянной конфигурации с помощью команды firewall-cmd --runtime-to-permanent .
Такое разделение конфигурации времени исполнения и постоянной конфигурации позволяет безопасно тестировать правила на активном брандмауэре и просто перезагружать его в случае возникновения проблем.
Установка и активация firewalld
Брандмауэр firewalld установлен по умолчанию в некоторых дистрибутивах Linux, в том числе во многих образах CentOS 8. Однако вам может потребоваться установить firewalld самостоятельно:
После установки firewalld вы можете активировать службу и перезагрузить сервер. Помните, что в случае активации службы firewalld она будет запускаться при загрузке системы. Прежде чем настраивать такое поведение, лучше создать правила брандмауэра и воспользоваться возможностью протестировать их во избежание потенциальных проблем.
После перезагрузки сервера брандмауэр запускается, сетевые интерфейсы помещаются в настроенные зоны (или возвращаются в заданные по умолчанию зоны), и все правила зон применяются к соответствующим интерфейсам.
Чтобы проверить работу и доступность службы, можно использовать следующую команду:
Это показывает, что наш брандмауэр запущен и работает с конфигурацией по умолчанию.
Знакомство с текущими правилами брандмауэра
Прежде чем мы начнем вносить изменения, мы познакомимся со средой и правилами firewalld, используемыми по умолчанию.
Изучение параметров по умолчанию
Чтобы посмотреть, какая зона выбрана по умолчанию, можно использовать следующую команду:
Поскольку мы не отправили firewalld никаких команд для отклонения от основной зоны и никакие наши интерфейсы не настроены на привязку к другой зоне, эта зона будет единственной активной зоной (зоной, контролирующей трафик для наших интерфейсов). Это можно проверить с помощью следующей команды:
Здесь мы видим, что на нашем сервере брандмауэр контролирует два сетевых интерфейса ( eth0 и eth1 ). Управление обоими интерфейсами осуществляется в соответствии с правилами, заданными для зоны public.
Как же узнать, какие правила заданы для зоны public? Конфигурацию зоны по умолчанию можно распечатать с помощью следующей команды:
Из выводимых результатов мы видим, что эта зона активна и используется по умолчанию и что с ней связаны интерфейсы eth0 и eth1 (все это мы уже знали из предыдущих запросов). Также мы видим, что эта зона разрешает трафик клиента DHCP (для назначения IP-адресов), SSH (для удаленного администрирования) и Cockpit (веб-консоль).
Изучение альтернативных зон
Мы получили представление о конфигурации зоны по умолчанию и активной зоны. Также мы можем получить информацию о других зонах.
Чтобы получить список доступных зон, введите команду:
Чтобы посмотреть конкретную конфигурацию, относящуюся к зоне, необходимо добавить параметр --zone= к команде --list-all :
Вы можете вывести все определения зон, используя опцию --list-all-zones . Возможно вы захотите вывести результаты на пейджер для удобства просмотра:
Далее мы узнаем о назначении зон сетевым интерфейсам.
Выбор зон для интерфейсов
Если вы не настроили сетевые интерфейсы иным образом, каждый интерфейс будет помещен в зону по умолчанию при запуске брандмауэра.
Изменение зоны интерфейса
Для перемещения интерфейса между зонами во время сеанса следует использовать параметр --zone= в сочетании с параметром --change-interface= . Как и для всех остальных команд, изменяющих брандмауэр, вам потребуется использовать sudo .
Например, интерфейс eth0 можно переместить в зону home с помощью следующей команды:
Примечание. При перемещении интерфейса в новую зону следует помнить, что это может повлиять на работоспособность служб. Например, в данном случае мы перемещаемся в зону home, в которой поддерживается SSH. Это означает, что наше соединение не должно быть отброшено. В некоторых других зонах SSH по умолчанию не поддерживается, при переходе в такую зону ваше соединение будет разорвано, и вы не сможете снова войти на сервер.
Чтобы убедиться в успешности операции мы можем снова запросить активные зоны:
Изменение зоны по умолчанию
Если все интерфейсы могут быть хорошо обработаны в одной зоне, проще всего определить наиболее подходящую зону как зону по умолчанию, а затем использовать эту зону для конфигурации.
Вы можете изменить зону по умолчанию с помощью параметра --set-default-zone= . При этом немедленно изменятся все интерфейсы, использующие зону по умолчанию:
Установка правил для приложений
Рассмотрим базовый способ определения исключений брандмауэра для служб, которые вы хотите сделать доступными.
Добавление службы к зонам
Самый простой метод заключается в том, чтобы добавлять необходимые службы или порты в используемые зоны. Список доступных определений служб можно получить с помощью опции --get-services :
Примечание. Вы можете получить более подробную информацию о каждой из этих служб, посмотрев соответствующий файл .xml в директории /usr/lib/firewalld/services . Например, служба SSH определяется следующим образом:
Вы можете активировать службу для зоны с помощью параметра --add-service= . Данная операция будет нацелена на зону по умолчанию или на другую зону, заданную параметром --zone= . По умолчанию изменения применяются только к текущему сеансу брандмауэра. Для изменения постоянной конфигурации брандмауэра следует использовать флаг --permanent .
Вы можете опустить флаг --zone= , если хотите внести изменения в зону по умолчанию. Для проверки успешного выполнения операции можно использовать команду --list-all или --list-services :
После подтверждения надлежащей работы всех систем вы можете изменить постоянные правила брандмауэра, чтобы служба была доступна после перезагрузки системы. Чтобы сделать предыдущие изменения постоянными, нужно ввести их повторно и добавить флаг --permanent :
Также можно использовать флаг --runtime-to-permanent для сохранения текущей конфигурации брандмауэра в постоянной конфигурации:
Будьте осторожны, поскольку при этом все изменения в текущей конфигурации брандмауэра сохраняются в постоянной конфигурации.
Если вы хотите убедиться. что изменения успешно сохранены в постоянной конфигурации, добавьте флаг --permanent к команде --list-services . Вам потребуются привилегии sudo для выполнения любых операций с флагом --permanent :
Что делать, если подходящая служба отсутствует?
В базовом комплекте firewalld представлены многие распространенные приложения, к которым вы можете захотеть предоставить доступ. Однако возможны ситуации, когда эти службы не будут соответствовать вашим требованиям.
В этой ситуации у вас будет два варианта.
Открытие порта для зон
Проще всего добавить поддержку определенного приложения можно посредством открытия используемых им портов в соответствующих зонах. Для этого нужно указать порт или диапазон портов, а также протокол (TCP или UDP), связанный с портами.
Например, если наше приложение работает на порту 5000 и использует TCP, мы можем временно добавить его в зону public с помощью параметра --add-port= . Протоколы могут назначаться как tcp или udp :
Мы можем проверить успешность назначения с помощью операции --list-ports :
Также можно указать последовательный диапазон портов, разделив начальный и конечный порты диапазона дефисом. Например, если наше приложение используйте порты UDP с 4990 по 4999, мы можем открыть их на public с помощью следующей команды:
После тестирования мы вероятно захотим добавить это правило в брандмауэр на постоянной основе. Используйте для этого sudo firewall-cmd --runtime-to-permanent или запустите команды снова с флагом --permanent :
Определение службы
Открыть порты для зон довольно просто, но также может быть сложно следить за тем, для чего предназначен каждый порт. Если вы будете выводить из эксплуатации службы на своем сервере, вы можете забыть, какие из открытых портов вам еще нужны. Чтобы избежать подобной ситуации, можно определить новую службу.
Службы представляют собой наборы портов с именем и описанием. Использование служб упрощает администрирование портов, но требует некоторой предварительной подготовки. Проще всего начать с копирования существующего скрипта (из директории /usr/lib/firewalld/services ) в директорию /etc/firewalld/services , где брандмауэр ищет нестандартные определения.
Например, мы можем скопировать определение службы SSH и использовать его для определения службы example. Имя файла без суффикса .xml определяет имя службы в списке служб брандмауэра:
Теперь можно изменить определение в скопированном вами файле. Вначале откройте его в предпочитаемом текстовом редакторе. Здесь мы используем vi :
Вначале файл будет содержать только что скопированное вами определение SSH:
Основная часть этого определения представляет собой метаданные. Вы можете изменить короткое имя службы, заключенное в тегах <short> . Это имя службы, предназначенное для чтения людьми. Также следует добавить описание на случай, если вам потребуется дополнительная информация при проведении аудита службы. Единственное изменение конфигурации, которое вам потребуется, и которое повлияет на функциональность службы, будет заключаться в определении портов, где вы идентифицируете номер порта и протокол, который хотите открыть. Можно указать несколько тегов <port/> .
Представьте, что для нашей службы example нам необходимо открыть порт 7777 для TCP и 8888 для UDP. Мы можем изменить существующее определение примерно так:
Сохраните и закройте файл.
Перезагрузите брандмауэр, чтобы получить доступ к новой службе:
Теперь вы увидите ее в списке доступных служб:
Теперь вы можете использовать эту службу в зонах, как и обычно.
Создание собственных зон
Хотя большинству пользователей будет достаточно заданных зон, иногда может быть полезно определить собственные зоны с названиями, соответствующими их функции.
Например, вы можете захотеть создать для своего веб-сервера зону с именем publicweb. При этом вы можете также захотеть использовать другую зону для службы DNS в вашей частной сети. Эту зону вы можете назвать privateDNS.
При добавлении зоны вы должны добавить ее в постоянную конфигурацию брандмауэра. Затем вы можете произвести перезагрузку для активации конфигурации для текущего сеанса. Например, мы можем создать две описанные выше зоны, введя следующие команды:
Вы можете проверить их наличие в постоянной конфигурации с помощью следующей команды:
Как указывалось ранее, пока они будут недоступны в работающем брандмауэре:
Перезагрузите брандмауэр, чтобы добавить эти зоны в активную конфигурацию:
Для зоны privateDNS можно добавить службу DNS:
Затем мы можем изменить интерфейсы на новые зоны, чтобы протестировать их:
Сейчас вы можете протестировать свою конфигурацию. Если эти значения будут работать, эти правила можно будет добавить в постоянную конфигурацию. Для этого можно снова запустить все команды с флагом --permanent , но в этом случае мы используем флаг --runtime-to-permanent для полного сохранения активной конфигурации как постоянной:
Сохранив правила в постоянной конфигурации, перезагрузите брандмауэр, чтобы проверить сохранение изменений:
Проверьте правильность назначения зон:
Убедитесь, что в обеих зонах доступны соответствующие службы:
Вы успешно настроили собственные зоны! Если вы захотите задать одну из этих зон по умолчанию для других интерфейсов, используйте для настройки параметр --set-default-zone= :
Служба firewalld позволяет настраивать администрируемые правила и наборы правил, учитывающие условия вашей сетевой среды. Она позволяет легко переключаться между разными политиками брандмауэра посредством использования зон и дает администраторам возможность абстрагировать управление портами в более удобную систему определения служб. Умение работать с этой системой позволит вам воспользоваться преимуществами гибкости и функциональности данного инструмента.
How to Configure and Manage the Firewall on CentOS 8
В этом руководстве мы поговорим о том, как настроить и управлять брандмауэром в CentOS 8. Мы также объясним основные концепции FirewallD.
Брандмауэр - это метод мониторинга и фильтрации входящего и исходящего сетевого трафика. Он работает путем определения набора правил безопасности, которые определяют, разрешить или заблокировать определенный трафик. Правильно настроенный брандмауэр - один из наиболее важных аспектов общей безопасности системы.
CentOS 8 поставляется с демоном межсетевого экрана с именем firewalld . Это законченное решение с интерфейсом D-Bus, которое позволяет динамически управлять брандмауэром системы.
Прежде чем продолжить
Чтобы настроить службу брандмауэра, вы должны войти в систему как пользователь root или пользователь с привилегиями sudo .
Основные концепции Firewalld
firewalld использует концепции зон и сервисов. В зависимости от зон и служб, которые вы настраиваете, вы можете контролировать, какой трафик разрешен или заблокирован в систему и из нее.
Firewalld можно настроить и управлять им с помощью firewall-cmd утилиты командной строки. В CentOS 8 iptables заменен на nftables в качестве серверной части межсетевого экрана по умолчанию для демона firewalld.
Зоны Firewalld
Зоны - это предопределенные наборы правил, которые определяют уровень доверия сетей, к которым подключен ваш компьютер. Вы можете назначить зоне сетевые интерфейсы и источники.
Ниже приведены зоны, предоставляемые FirewallD, упорядоченные в соответствии с уровнем доверия зоны от ненадежных до доверенных:
Услуги межсетевого экрана
Сервисы Firewalld - это предопределенные правила, которые применяются в зоне и определяют необходимые настройки, чтобы разрешить входящий трафик для конкретной службы. Сервисы позволяют легко выполнять несколько задач за один шаг.
Например, служба может содержать определения об открытии портов, пересылке трафика и т. Д.
Среда выполнения Firewalld и постоянные настройки
Firewalld использует два отдельных набора конфигураций: время выполнения и постоянную конфигурацию.
Конфигурация среды выполнения - это фактическая рабочая конфигурация, которая не сохраняется при перезагрузке. Когда демон firewalld запускается, он загружает постоянную конфигурацию, которая становится конфигурацией времени выполнения.
По умолчанию при внесении изменений в конфигурацию Firewalld с помощью firewall-cmd утилиты изменения применяются к конфигурации среды выполнения. Чтобы сделать изменения постоянными, добавьте --permanent к команде параметр.
Чтобы применить изменения в обоих наборах конфигурации, вы можете использовать один из следующих двух методов:
Измените конфигурацию среды выполнения и сделайте ее постоянной:
Измените постоянную конфигурацию и перезагрузите демон firewalld:
Включение FirewallD
В CentOS 8 firewalld установлен и включен по умолчанию. Если по какой-то причине он не установлен в вашей системе, вы можете установить и запустить демон, набрав:
Вы можете проверить статус службы межсетевого экрана с помощью:
Если брандмауэр включен, команда должна распечатать running . В противном случае вы увидите not running .
Зоны Firewalld
Если вы не меняли его, по умолчанию устанавливается зона public , и все сетевые интерфейсы назначаются этой зоне.
Зона по умолчанию - это зона, которая используется для всего, что явно не назначено другой зоне.
Вы можете увидеть зону по умолчанию, набрав:
Чтобы получить список всех доступных зон, введите:
Чтобы увидеть активные зоны и назначенные им сетевые интерфейсы:
Вывод ниже показывает, что интерфейсы eth0 и eth1 назначены public зоне:
Вы можете распечатать настройки конфигурации зоны с помощью:
Из выходных данных выше мы видим, что публичная зона активна и использует цель по умолчанию, которая есть REJECT . Выход также показывает , что зона используется eth0 и eth1 интерфейсов и позволяет DHCP клиент и SSH трафик.
Если вы хотите проверить конфигурации всех доступных типов зон:
Команда выводит на печать огромный список с настройками всех доступных зон.
Изменение целевой зоны
Цель определяет поведение зоны по умолчанию для неуказанного входящего трафика. Он может быть установлен на один из следующих вариантов: default , ACCEPT , REJECT , и DROP .
Чтобы установить цель зоны, укажите зону с --zone опцией и цель с --set-target опцией.
Например, чтобы изменить public цель зоны на DROP вас, нужно запустить:
Назначение интерфейса другой зоне
Вы можете создавать определенные наборы правил для разных зон и назначать им разные интерфейсы. Это особенно полезно, когда на вашем компьютере несколько интерфейсов.
Чтобы назначить интерфейс другой зоне, укажите зону с --zone параметром и интерфейс с --change-interface параметром.
Например, следующая команда назначает eth1 интерфейс work зоне:
Проверьте изменения, набрав:
Изменение зоны по умолчанию
Чтобы изменить зону по умолчанию, используйте --set-default-zone параметр, за которым следует имя зоны, которую вы хотите сделать по умолчанию.
Например, чтобы изменить зону по умолчанию на, home вы должны выполнить следующую команду:
Проверьте изменения с помощью:
Создание новых зон
Firewalld также позволяет создавать свои собственные зоны. Это удобно, когда вы хотите создать правила для каждого приложения.
В следующем примере мы создадим новую зону с именем memcached , откроем порт 11211 и разрешим доступ только с 192.168.100.30 IP-адреса:
Добавьте правила в зону:
Перезагрузите демон firewalld, чтобы изменения вступили в силу:
Услуги Firewalld
С firewalld вы можете разрешить трафик для определенных портов и / или источников на основе предопределенных правил, называемых службами.
Чтобы получить список всех доступных по умолчанию услуг, введите:
Если вы изменяете зону по умолчанию, вы можете не указывать эту --zone опцию.
Чтобы убедиться, что служба была добавлена успешно, используйте --list-services опцию:
Чтобы порт 80 оставался открытым после перезагрузки, выполните ту же команду еще раз с --permanent параметром или выполните:
Используйте --list-services вместе с --permanent опцией для проверки ваших изменений:
Синтаксис удаления службы такой же, как и при ее добавлении. Просто используйте --remove-service вместо --add-service флага:
Создание новой службы FirewallD
Как мы уже упоминали, службы по умолчанию хранятся в /usr/lib/firewalld/services каталоге. Самый простой способ создать новую службу - скопировать существующий файл службы в /etc/firewalld/services каталог, в котором находятся службы, созданные пользователем, и изменить параметры файла.
Например, чтобы создать определение службы для Plex Media Server, вы можете использовать служебный файл SSH:
Откройте вновь созданный plexmediaserver.xml файл и изменить краткое имя и описание службы в пределах <short> и <description> тегов. Самый важный тег, который вам нужно изменить, - это port тег, который определяет номер порта и протокол, который вы хотите открыть.
В следующем примере мы открываем порты 1900 UDP и 32400 TCP.
Сохраните файл и перезагрузите сервис FirewallD:
Теперь вы можете пользоваться plexmediaserver услугой в своих зонах так же, как и любой другой услугой.
Открытие портов и исходных IP-адресов
Firewalld также позволяет быстро включить весь трафик с доверенного IP-адреса или на определенный порт без создания определения службы.
Открытие исходного IP
Чтобы разрешить весь входящий трафик с определенного IP-адреса (или диапазона), укажите зону с --zone параметром и IP-адрес источника с --add-source параметром.
Например, чтобы разрешить весь входящий трафик с 192.168.1.10 в public зоне, запустите:
Сделайте новое правило постоянным:
Проверьте изменения, используя следующую команду:
Синтаксис удаления исходного IP-адреса такой же, как и при его добавлении. Просто используйте --remove-source вместо --add-source опции:
Открытие исходного порта
Чтобы разрешить весь входящий трафик на данный порт, укажите зону с --zone параметром, а также порт и протокол с --add-port параметром.
Например, чтобы открыть порт 8080 в публичной зоне для текущего сеанса, который вы запустили, выполните:
Протокол может быть tcp , udp , sctp или dccp .
Чтобы порт оставался открытым после перезагрузки, добавьте правило к постоянным настройкам, выполнив ту же команду с --permanent флагом или выполнив:
Синтаксис удаления порта такой же, как и при добавлении порта. Просто используйте --remove-port вместо --add-port опции.
Порты пересылки
Перенаправлять трафик с одного порта на другой по IP-адресу
В следующем примере мы перенаправляем трафик с порта 80 на порт 8080 на одном сервере:
В следующем примере мы перенаправляем трафик с порта 80 на порт 80 на сервере с IP 10.10.10.2 :
В следующем примере мы перенаправляем трафик с порта 80 на порт 8080 на сервере с IP 10.10.10.2 :
Чтобы сделать правило пересылки постоянным, используйте:
Заключение
Вы узнали, как настраивать и управлять службой firewalld в вашей системе CentOS 8.
Обязательно разрешите все входящие соединения, которые необходимы для правильного функционирования вашей системы, ограничив при этом все ненужные соединения.
Firewall представляет собой ПО для контроля поступающих и исходящих сетевых подключений портативного компьютера. Для выполнения контроля над трафиком может понадобиться отдельный сервер, но это актуально лишь в случае с большим предприятием. При использовании одного устройства достаточно иметь специальный софт. Программа подобного рода создана для защиты локальных процессов. Если этого не сделать, сторонние пользователи смогут подключиться к ним из сети.
Что касается дистрибутивов CentOS, то в них установлена программа iptables. Данный фаервол встроен в ядро системы.
В этом материале пойдет речь о том, как деактивировать программу на ПК, поскольку многие задаются таким вопросом.
Важное примечание: встроенный модуль невозможно выключить напрямую. Пользователю придется выполнить ряд определенных действий для того, чтобы изменить стандартные параметры. Только так можно частично отключить фаервол.
Отключение в CentOS
В дистрибутивах CentOS стандартный защитный модуль функционирует в оболочке firewalld, что значительно упрощает задачу по управлению системой посредством командной строки. После ознакомления с данным руководством у новичка не должно возникнуть каких-либо затруднений с отключением фаервола.
Чтобы получить правила iptables, введите следующее:
Для устранения текущих параметров программы будет достаточно совершить остановку службы firewalld. Это можно сделать следующим образом:
$ systemctl stop firewalld
Что изменится? Теперь в системном модуле останутся лишь те правила, которые ничего не запрещают.
Важное примечание: для сохранения внесенных изменений в текущие параметры устройства необходимо воспользоваться специальной командой. В ином случае измененные данные обнулятся при первой же перезагрузке компьютера. Чтобы убрать сервис из автозагрузки, выполните следующее:
$ systemctl disable firewalld
Чтобы программа не была запущенна через другие скрипты, необходимо произвести действие по её тотальному сокрытию. Это делается так:
$ systemctl mask firewalld
Если у пользователя появится необходимость в повторной активации фаервола в CentOS, ему понадобится воспользоваться командами, указанными ниже.
$ systemctl unmask firewalld
$ systemctl enable firewalld
$ systemctl start firewalld
Заключение
Как вы уже успели убедиться сами, процедура по отключению фаервола в дистрибутиве CentOS не представляет особых сложностей. Пользователю достаточно следовать указанным инструкциям, чтобы внести нужные коррективы в параметры системы.
Способы отключения брандмауэра в CentOS 8
Брандмауэр в CentOS 8 может быть отключен временно или навсегда. Ниже мы по очереди поделимся с вами обоими методами:
Метод временного отключения брандмауэра в CentOS 8
В этом методе мы научимся временно отключать брандмауэр в CentOS 8. Это означает, что после выполнения этого метода наш брандмауэр немедленно перестанет работать; однако, как только вы перезагрузите систему, она снова будет включена. Для временного отключения брандмауэра в CentOS 8 вам необходимо выполнить следующие действия:
Шаг 1. Проверка состояния демона брандмауэра
Сначала мы запустим терминал в CentOS 8, найдя его в строке поиска Действия. Терминал CentOS 8 показан на изображении ниже:
Прежде чем отключать наш брандмауэр, нам нужно в первую очередь убедиться, работает он или нет. Это можно сделать, проверив его статус с помощью следующей команды:
Поскольку наш брандмауэр был запущен по умолчанию, поэтому статус «запущен» показан на изображении ниже :
Шаг 2. Временное отключение Брандмауэр в CentOS 8
Убедившись, что наш брандмауэр работает, мы можем легко попытаться временно отключить его, выполнив следующую команду в терминале:
Выполнение этой команды не приведет к отображению вывода на терминале; вместо этого управление терминалом будет передано вам, как показано на изображении ниже:
Шаг 3. Проверка, был ли наш брандмауэр временно отключен
Поскольку вышеупомянутая команда не отображала никаких выходных данных, это поэтому мы до сих пор не уверены, был ли наш брандмауэр временно отключен или нет.. Мы можем проверить это, проверив статус нашей службы межсетевого экрана следующим образом:
Если ваш брандмауэр был отключен (временно) успешно, вы увидите «неактивный (мертв) »на вашем терминале, как показано на изображении ниже:
Теперь, когда вы перезагружаете систему, ваш брандмауэр будет включаться автоматически; однако для того же сеанса он останется отключенным, пока вы не включите его явно.
Метод постоянного отключения брандмауэра в CentOS 8
В этом методе мы научимся постоянно отключать брандмауэр в CentOS 8. Это означает, что после этого метода наш брандмауэр не перестанет работать сразу; скорее, мгновенно появится статус «отключено». Кроме того, при перезапуске системы после выполнения этого метода брандмауэр по-прежнему не будет включен до тех пор, пока вы не включите его явно. Чтобы навсегда отключить брандмауэр в CentOS 8, вам необходимо выполнить следующие шаги:
Шаг 1. Окончательное отключение брандмауэра в CentOS 8
Даже в этом методе вы можете проверить состояние вашего демона брандмауэра так же, как мы объяснили в методе № 1. После этого вы можете навсегда отключить брандмауэр в CentOS 8, выполнив команду, указанную ниже, в вашем терминале:
Шаг 2. Проверка, был ли наш брандмауэр отключен навсегда
Теперь нам нужно проверить был ли наш брандмауэр отключен навсегда или нет. Это можно сделать, выполнив указанную ниже команду в вашем терминале CentOS 8:
Выполнение этой команды отобразит на вашем терминале статус «активен (работает)», в отличие от метода временного отключение брандмауэра, но ваш брандмауэр будет отключен, как показано на следующем изображении:
Шаг 3. Маскирование службы демона межсетевого экрана
К настоящему времени наш межсетевой экран отключен навсегда, что означает, что он не будет включен автоматически даже после перезапуска. ваша система; скорее, вам придется вручную включить его; однако иногда бывает, что любой другой процесс или служба, запущенная в вашей системе CentOS 8, может включить ваш брандмауэр.. Вы можете предотвратить это, замаскировав демон брандмауэра, выполнив в терминале CentOS 8 команду, указанную ниже:
Теперь ваша служба демона брандмауэра замаскирована, а это означает, что вы не сможете снова включить ее, если сначала не разоблачаете ее. Это также означает, что ни один другой процесс или служба теперь не будет иметь привилегий включения вашего брандмауэра.
Заключение
В зависимости от вашего конкретного сценария вы можете выбрать либо временно или навсегда отключите брандмауэр в вашей системе CentOS 8, следуя одному из двух методов, описанных в этой статье. Однако настоятельно рекомендуется, чтобы, как только вы закончили выполнение задачи, для которой вы пытались отключить брандмауэр, вы снова включили его, чтобы он мог легко защитить вашу систему от всех вирусов и вредоносных программ, а также от любых несанкционированных попытки доступа.
Читайте также: