فایروال لینوکس کجاست؟
فایروال در لینوکس
دیوار آتش یا Firewall به ۲ دستۀ نرم افزاری و سخت افزاری تقسیم می شود. ما در این مقاله با فایروال های سخت افزاری کار چندانی نداریم. چون که به حیطۀ کاریِ مورد بحث ما زیاد مرتبط نیست. و بیشتر اساس این مقاله آموزش کار با فایروال یا همان دیوار های آتش نرم افزاری است. فایروال هایی که شما باید توانایی پیکربندی آن ها را داشته باشید. فایروال بین رایانه یا شبکه ای از سیستم شما با یک شبکۀ ناامن همانند نت قرار می گیرد. تا همه ی درخواست های وارده و خروجی را مورد بررسی قرار دهد و اگر یک مورد برخلاف بر آن چیز که برای آن پیکربندی شده باشد اتفاق بیوفتد دهد، ان را بلاک کند. برای مثال اگر مجوز دسترسی به سرویس SSH از راه یک IP خاص داده شده است، دیگر دسترسی ها را بلاک کند.
صحبت روشن کردن فایروال روی توزیع CentOS است که از آن جایی که این توزیع هم زیرمجموعه ای از RedHat به حساب می آید، پس برای RedHat هم قابلیت تعمیم دارد. اما از آن جایی که در نسخه های گوناگون توزیع های لینوکس تغییراتی در قسمت های متفاوت به وجود می آید، در آپدیت ترین ورژن از این توزیع ها، یعنی ورژن ۷، هم ما یک تغییر اساسی در بخش دیوار آتش CentOS روبرو هستیم، بحث آموزش آن را مقداری پیچیده می کند.
ولی برای این مسئله هم راه حل خیلی جذابی و شنیدنی ای وجود دارد. و آن هم استفاده از یک پکیج نرم افزاریِ ثالث است که میان ما و رابط های نرم افزاری فایروال لینوکس قرار گرفته و دستور ها را از ما گرفته و خود او دست به کار می شود. بدون اینکه ما درگیر مشکلات بیشتری شویم. از این گونه نرم افزارها چندین نسخه و نمونه گوناگون وجود دارد که ما در این بحث روی CSF بیشتر تمرکز می کنیم. پس ما اگر CSF را یاد بگیریم، به طور تقریبی کار تمام است. البته باز هم بهتره که با نحوه کار کردن فایروال CentOS کاملا آشنا شویم. پس ادامۀ مقاله ی”فایروال لینوکس کجاست “را حتماً دنبال کنید.
Netfilter بخش اصلیِ دیوار آتش لینوکس
انواع گوناگون فایروال به سه دستۀ متفاوت تقسیم می شوند که بشکل زیر هستند:
Network Address Translation (NAT)
Packet Filter
Proxy firewall
Netfilter نام یک دیوارآتش است که قابلیت های نوع اول و دوم دیوار اتش ها را دارد. یعنی از نوع NAT و Packet Filter است. Netfilter در هستۀ لینوکس قرار گرفته و مستقیما ما نمی توانیم با آن ارتباط برقرار کنیم. در این قسمت یک واسط وجود دارد که در ورژن های ۶ و قبل تر CentOS با عنوان IPTables شناخته می شد که اگر می خواستیم فایروال سرورمان را تنظیم کنیم باید با دستور iptables این کار را می کردیم. اما در CentOS 7 یا RedHat 7 ما با یک پکیج نرم افزاریِ جدیدی با عنوان Firewalld طرف هستیم.
Firewalld هنوز از دستورات iptables استفاده می کند، ولی خبری از سرویس های iptables نیست. برای ساده سازی پیکربندیِ دیوارآتش لینوکس Firewalld معرفی شده که در عمل هم همین طور شده است. اما برای خبره هایی که از نسخه های قبلیِ CentOS استفاده می کردند، کوچ کردن به دستورات Firewalld امکان دارد کمی سخت باشد. البته برای این گونه از افراد هم قابلیت برگشت به همان IPTables روی نسخه های ۷ هست. تنها مشکلی که کاملاً واضح و قابل درک است این مورد است که قابلیت فعال بودن هر دو سرویس IPTables و Firewalld به طور همزمان وجود ندارد و شما باید فقط از بین آنها یک مورد را اتنخاب کنید.کار کردن با Firewalld برای افراد تازه کار خیلی ساده تر از IPTables است.
رابط سوم فایروال لینوکس
ما از رابط های Firewalld و IPTables که بین ما و NetFilter (بخش اصلیِ دیوار آتش لینوکس) واقع می شوند، مطالبی را بیان کردیم. اما بهتر است بدانید که باز پکیج های نرم افزاریِ دیگری وجود دارد که کار را برای ما راحت تر از قبل می کنند. یعنی فقط کافیه که پروندۀ پیکربندیِ آنها را باز کنیم، ستینگ مد نظر خود را انجام دهیم و یک بار آن را Restart کنیم. به همین آسانی بدون اینکه از دستورات Firewalld و IPTables سر در بیاوریم، سرور سیستم خود را ایمن کردیم.
از بهترین رابط های سوم فایروال لینوکس، می توان به CSF اشاره کرد. CSF را همه به عنوان دیوارآتش می شناسند. اما در اصل این اپلیکیشک خود یک رابط است و عمل اصلی را انجام نمی دهد.
در ادامه مقاله همراه ما باشید…
خب در اینجا نتیجه گیری میکنیم که بهترین راهکار برای کار را دیوار آتش لینوکس و پیکربندیِ آن استفاده از پکیج نرم افزارهای ثالث مثل CSF است که کار ما را خیلی راحت و ساده می کنند. اما همچنان با عنوان یک مدیر حرفه ای سرور باید با دستورات IPTables و Firewalld هم کاملا آشنایی داشته باشید.
نکتۀ مهم!!
در هنگام کار کردن با فایروال لینوکس این نکته را همواره در ذهن خود نگه دارید که جزئی ترین خطایی امکان دارد سبب مسائل بزرگی برای سایت و سرور های شما گردد. پس همواره از عملکرد دستوری که قصد اعمال آن را دارید، کاملا مطلع شوید و حدالمقدور در محیط مجازی و آموزشی، عمل آزمون و خطا را انجام دهید.
ویژگی ها و قابلیت های CSF:
- Login failure daemon آن مشکلات لاگین در سرورهای مهمی همچون SSH را بررسی می کند
- پیکربندی Alart های ایمیلی
- می توان این گزینه را با کنترل پنل های معروفی مثل سی پنل، دایرکت ادمین و Webmin ادغام نمود
- با هشدارهای ایمیلی، فرایندهای مشکوک و استفاده زیاد از منابع را نشان می دهد
- سیستمپیشرفته Intrusion detection
- حفاظت از لینوکس باکس
- بررسی سوء استفاده از سرور
- راحت بودن استارت، ریستارت و متوقف کردن