Firewalld မှာ ကျွန်တော်အရင်က ပြောခဲ့တဲ့ Basic ပုံစံ လိုမျိုး သတ်မှတ်တာအပြင် Rich Rules လိုခေါ်တဲ့ ပုံစံမျိုးနဲ့လည်း rules တွေကို သတ်မှတ်နိုင်ပါတယ်။ Firewalld မှာ သာမန် service တွေကို allow/deny လုပ်တဲ့ Basic Rule အပြင် Direct Rule and Rich Rule ဆိုပြီး ထပ်ရှိပါတယ်။ RHCE objective ထဲမှာတော့ Rich Rule အသုံးပြုနည်းကိုပဲ ပြောထားပြီး Direct Rule ကတော့ Net Filter ကိုတိုက်ရိုက်ထိတွေ့ အသုံးပြုရတဲ့အတွက် ပိုပြီး complex ဖြစ်ပါတယ်။
Rich Rule မှာ basic firewalld ထက် ပိုပြီး customize လုပ်နိုင်တာတွေပါ၀င်လာပါတယ်။ ဥပမာ IP Address တစ်ခုထဲကိုပဲ Allow(or)Deny Access ပေးချင်တာမျိုး နောက် rich rule ကိုအသုံးပြုပြီးတော့ accepted/deny log တွေကို syslog သို့မဟုတ် auditd ဆီသို့ပေးပို့နိုင်ပါတယ်။ ထို့အပြင် Port Forwarding နှင့် Masquearding တို့ကိုပါလုပ်ဆောင်နိုင်ပါတယ်။ Rich Rule အကြောင်းကိုပိုအသေးစိတ်သိချင်ရင် “man 5 firewalld.language” မှာကြည့်နိုင်ပါတယ်။ Command syntax Examples တွေပါပြထားပါတယ်။
Using Sample Rich Rules
Deny All traffic from single IP Address
#firewall-cmd –permanent –zone=public –add-rich-rule=’rule family=ipv4 source address=192.168.0.1/32 reject’
#firewall-cmd --reload
အပေါ်က rule သည် source address=192.168.0.1 မှလာတဲ့ traffic အားလုံးကို “reject” လုပ်ပေးတဲ့ rule ဖြစ်ပါတယ်။ source address (or) destination address နဲ့ အသုံးပြုချင်ပြီဆိုရင် “family” option ကိုထည့်ပြီး ipv4(or)v6 define လုပ်ပေးရပါမယ်။
အခုရေးလိုက်တဲ့ rich rule ကို “/etc/firewalld/zone/public.xml” file မှာ သွားကြည့်လို့ရပါတယ်။ သို့မဟုတ် #firewalld –list-rich-rule command ကိုအသုံ:ပြုပြီး system မှာ rich rule တွေရေးထားတာရှိလား ကြည့်လို့ရပါတယ်။
Logging with Rich Rule
Rich Rule နဲ့ firewall မှာ accepted (or) deny ဖြစ်တဲ့ connection log တွေကို syslog (or) auditd သို့ ပေးပို့နိုင်ပါတယ်။ Log တွေကိုလဲ system မှာ storage fill up မဖြစ်စေရန် limit နဲ့ ကန့်သတ်ထားနိုင်ပါတယ်။
#firewall-cmd –permanent –zone=public –add-rich-rule=’rule family=ipv4 source address=”192.168.0.1/32” service name=“http” log prefix=”http” level=”notice” limit value=”1/m” accept
အပေါ်မှာရေးထားတဲ့ rule ကျတော့ source ip ဖြစ်တဲ့ 192.168.0.1 ကို http access ပေးပြီး ၄င်းနဲ့ပတ်သက်သော connection accepted or denied log တွေကို syslog မှာရေးပြီး log limit ကို 1 log per minute နဲ့ကန့်သတ်ထားတာဖြစ်ပါတယ်။
အခု Article ကတော့ Firewalld Rich Rule ကိုအသုံးပြုပြီး Firewall rules တွေတည်ဆောက်ပုံဖြစ်ပါတယ်။နောက် Article မှာမှ Port Forwarding နဲ့ Masquerading အကြောင်းကိုရေးပေးပါမယ်။
Enjoy Reading and Thank You!!!
Enjoy Reading and Thank You!!!
Please also Like and Follow Root Of Info Page
0 comments:
Post a Comment
Note: Only a member of this blog may post a comment.