Перейти до змісту

Графічний інтерфейс брандмауера

Вступ

Хочете керувати брандмауером без усього цього командного рядка? Існує чудова програма, спеціально створена для firewalld, брандмауера, який використовується в Rocky Linux, і вона доступна на Flathub. У цьому посібнику ви дізнаєтеся, як його швидко налаштувати та запустити, а також ознайомтеся з основами інтерфейсу.

Ми не будемо охоплювати все, що може виконати firewalld або графічний інтерфейс користувача, але цього має бути достатньо, щоб почати.

Припущення

Для цього посібника ми припускаємо, що у вас є:

  • Інсталяція Rocky Linux з будь-яким графічним середовищем робочого столу
  • sudo або доступ адміністратора
  • Фундаментальне розуміння того, як працює firewalld

Примітка

Пам’ятайте, що хоча ця програма полегшує ваше життя, якщо ви віддаєте перевагу використанню графічного інтерфейсу користувача, вам все одно потрібно буде зрозуміти основні поняття, що стоять за `firewalld`. Ви повинні знати про порти, зони, служби, джерела тощо.

Якщо вам щось із цього не зрозуміло, перегляньте [посібник для початківців із `firewalld`](../../guides/security/firewalld-beginners.md) і прочитайте, зокрема, про зони, щоб зрозуміти за те, що вони роблять.

Встановлення програми

Зайдіть у програму Software Center і знайдіть «Firewall». Це рідний пакет у сховищі Rocky Linux, і він називатиметься «Брандмауер», тому його має бути легко знайти.

Firewall in the Software Center

Це firewall-config у репозиторії, і його можна встановити за допомогою звичайної команди:

sudo dnf install firewall-config

Коли ви відкриєте програму, вона запитає ваш пароль. Він також запитає ще раз перед виконанням конфіденційних операцій.

Режими конфігурації

Перше, про що слід знати, це режим конфігурації, у якому ви перебуваєте, який можна вибрати у спадному меню у верхній частині вікна. Ваш вибір: Runtime та Permanent.

the configuration mode dropdown menu is near the top of the window

Відкриття портів, додавання дозволених служб і будь-які інші зміни, зроблені в режимі Runtime, є тимчасовими і не дають вам доступу до всіх функцій. Після перезавантаження або перезавантаження брандмауера вручну ці зміни зникнуть. Це чудово, коли вам потрібно лише швидко внести зміни, щоб виконати одне завдання, або якщо ви хочете перевірити свої зміни, перш ніж зробити їх постійними.

Наприклад, коли ви відкрили порт у публічній зоні, ви можете перейти до Параметри > Час виконання до постійного, щоб зберегти зміни.

Постійний режим більш ризикований, але він відкриває всі функції. Це дозволяє створювати нові зони, індивідуальну конфігурацію служб, керувати мережевими інтерфейсами та додавати набори IPS (іншими словами, набори IP-адрес, яким дозволено або заборонено зв’язуватися з вашим комп’ютером або сервером).

Після внесення постійних змін перейдіть до Параметри > Перезавантажити Firewalld, щоб увімкнути їх належним чином.

Керування інтерфейсами/підключеннями

На крайній лівій панелі з написом «Активні прив’язки» можна знайти свої мережеві підключення та вручну додати мережевий інтерфейс. Якщо ви прокрутите вгору, ви побачите моє Ethernet-підключення (eno1). За замовчуванням «публічна» зона добре захищена та включає ваше мережеве підключення.

У нижній частині панелі ви знайдете кнопку «Змінити зону», яка дозволяє призначити ваше підключення до іншої зони. У постійному режимі ви також можете створювати власні зони.

a screenshot featuring the Active Bindings panel on the left of the window

Управління зонами

У першій вкладці правої панелі ви знайдете меню «Зона». Тут ви можете відкривати та закривати порти, вмикати та вимикати служби, додавати надійні IP-адреси для вхідного трафіку (наприклад, локальні мережі), увімкнути переадресацію портів, додавати розширені правила тощо.

Для більшості звичайних користувачів настільного комп’ютера саме тут ви проводите більшу частину свого часу, а найціннішими підвкладками на цій панелі будуть вкладки для налаштування служб і портів.

Примітка

Встановіть програми та служби зі сховища. Деякі з них (зазвичай призначені для використання на робочому столі) автоматично вмикають відповідні служби або відкривають відповідні порти. Однак якщо цього не сталося, ви можете виконати наведені нижче дії, щоб зробити все вручну.

Додавання послуги в зону

Служби – це популярні програми та фонові служби, які firewalld підтримує за замовчуванням. Ви можете швидко та легко ввімкнути їх, прокрутивши список і натиснувши відповідний прапорець.

Тепер, якщо ви встановили KDE Connect* для синхронізації робочого столу з іншими пристроями, і ви хочете дозволити його через брандмауер, щоб він справді працював, ви:

  1. Спочатку виберіть зону, яку потрібно редагувати. Для цього прикладу просто виберіть загальнодоступну зону за замовчуванням.
  2. Прокрутіть список вниз і виберіть «kdeconnect».
  3. Якщо ви перебуваєте в режимі налаштування Runtime, не забудьте натиснути «Runtime To Permanent» і «Reload Firewalld» у меню параметрів.

* Доступно в репозиторії EPEL.

a screenshot featuring the Zones tab in the right panel, and the Services sub-panel

Інші популярні служби в списку включають HTTP і HTTPS для розміщення веб-сайтів, SSH для надання доступу через термінал з інших пристроїв, samba для розміщення сумісних з Windows спільних файлів і багато інших.

Однак не кожна програма є в списку, і вам може знадобитися відкрити порт вручну.

Відкриття портів у зоні

Відкрити порти для певних програм досить просто. Просто прочитайте документацію, щоб дізнатися, які порти вам потрібні.

  1. Знову виберіть зону, яку потрібно редагувати.
  2. Перейдіть на вкладку «Порти» на панелі праворуч.
  3. Натисніть кнопку Додати.
  4. Заповніть текстове поле портами, які потрібно відкрити. Перевірте, який протокол потрібен програмі та мережевий протокол, який вона використовує (іншими словами, TCP/UDP тощо).
  5. Натисніть OK і скористайтеся параметрами «Runtime To Permanent» і «Reload Firewalld».

a screenshot featuring the Ports subpanel, and the popup window where you can enter the port number as needed

Висновок

Що ж, я сказав, що цей посібник буде простим. Ви також можете скористатися вкладкою «Служби» у верхній частині правої панелі (поруч із «Зонами»), щоб точно налаштувати роботу ваших служб або контролювати доступ інших комп’ютерів, яким дозволено спілкуватися з вашим за допомогою наборів IPS і джерел.

Або ви можете відкрити порт для свого сервера Jellyfin і продовжувати свій день. firewalld — це неймовірно потужний інструмент, і додаток Firewall може допомогти вам відкрити його можливості у зручний для початківців спосіб.

Author: Ezequiel Bruni

Contributors: Steven Spencer, Ganna Zhyrnova