FirewallD е мощен инструмент за управление на защитата на вашия Linux сървър чрез правила за филтриране на мрежовия трафик. Един от най-честите сценарии за използване на FirewallD е блокирането на определени IP адреси или IP range, които представляват потенциална заплаха за вашата система. В тази статия ще разгледаме как да блокираме IP range в FirewallD, използвайки примерната команда и обяснение на следния пример:
sudo firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='192.168.1.0/24' reject" sudo firewall-cmd --reload
Как действа командата?
Представената команда използва firewall-cmd, което е основната команда за управление на FirewallD във вашата система. Ето какво прави всяка част от командата:
sudo: Тази дума пред командата означава, че ще бъде изпълнена като администратор, което е необходимо за промяна на настройките на защитната стена.firewall-cmd: Това е командата, която извиква инструмента FirewallD за управление на правилата на защитната стена.--permanent: Тази опция указва на FirewallD да запази промените и след рестартиране на службата. Без това, промените ще бъдат изгубени при рестартиране на системата.--add-rich-rule: Това е опцията за добавяне на правило към FirewallD, като използва богат формат на правила за по-сложни филтриращи правила."rule family='ipv4' source address='192.168.1.0/24' reject": Това е самото правило, което добавяме. Тукfamily='ipv4'указва, че правилото е за IPv4 адреси,source address='192.168.1.0/24'задава източника на трафика като IP диапазон, който искаме да блокираме, аrejectуказва, че пакетите, произлизащи от този източник, ще бъдат отхвърлени.--reload: Тази команда презарежда настройките на FirewallD, което е необходимо след добавяне на нови правила, за да бъдат приложени промените.
Как да разберем дадения IP range?
В примера, представен по-горе, 192.168.1.0/24 е пример за IP range. Този формат, наречен CIDR нотация, представлява начален IP адрес (в този случай 192.168.1.0) и битова маска (/24), която указва броят на битовете, които са фиксирани в мрежата. В този случай /24 означава, че първите 24 бита от адреса са фиксирани, а останалите 8 бита могат да бъдат вариращи, което съответства на диапазона от 192.168.1.0 до 192.168.1.255.
Заключение
Използвайки примерната команда, описана по-горе, можете лесно да блокирате определени IP адреси или диапазони във вашия FirewallD на Linux система. Това е мощен инструмент за подобряване на сигурността на вашия сървър, като се предпазвате от потенциални заплахи от определени мрежови източници. Не забравяйте да промените адреса и параметрите според вашите нужди и сценарии.
