Sunday, April 8, 2018

ManagingFirewalld in RHEL7 Part-2


                Firewalld မှာ ကျွန်တော်အရင်က ပြောခဲ့တဲ့ Basic ပုံစံ လိုမျိုး သတ်မှတ်တာအပြင် Rich Rules လိုခေါ်တဲ့ ပုံစံမျိုးနဲ့လည်း rules တွေကို သတ်မှတ်နိုင်ပါတယ်။ Firewalld မှာ သာမန် service တွေကို allow/deny လုပ်တဲ့ Basic Rule အပြင် Direct Rule and Rich Rule ဆိုပြီး ထပ်ရှိပါတယ်။ RHCE objective ထဲမှာတော့ Rich Rule အသုံးပြုနည်းကိုပဲ ပြောထားပြီး Direct Rule ကတော့ Net Filter ကိုတိုက်ရိုက်ထိတွေ့ အသုံးပြုရတဲ့အတွက် ပိုပြီး complex ဖြစ်ပါတယ်။


               Rich Rule မှာ basic firewalld ထက် ပိုပြီး customize လုပ်နိုင်တာတွေပါ၀င်လာပါတယ်။ ဥပမာ IP Address တစ်ခုထဲကိုပဲ Allow(or)Deny Access ပေးချင်တာမျိုး နောက် rich rule ကိုအသုံးပြုပြီးတော့ accepted/deny log တွေကို syslog သို့မဟုတ် auditd ဆီသို့ပေးပို့နိုင်ပါတယ်။ ထို့အပြင် Port Forwarding နှင့် Masquearding တို့ကိုပါလုပ်ဆောင်နိုင်ပါတယ်။ Rich Rule အကြောင်းကိုပိုအသေးစိတ်သိချင်ရင် “man 5 firewalld.language” မှာကြည့်နိုင်ပါတယ်။ Command syntax Examples တွေပါပြထားပါတယ်။

Using Sample Rich Rules

Deny All traffic from single IP Address

#firewall-cmd –permanent –zone=public –add-rich-rule=’rule family=ipv4 source address=192.168.0.1/32 reject’
#firewall-cmd --reload

အပေါ်က rule သည် source address=192.168.0.1 မှလာတဲ့ traffic အားလုံးကို “reject” လုပ်ပေးတဲ့ rule ဖြစ်ပါတယ်။ source address (or) destination address နဲ့ အသုံးပြုချင်ပြီဆိုရင် “family” option ကိုထည့်ပြီး ipv4(or)v6 define လုပ်ပေးရပါမယ်။
                 အခုရေးလိုက်တဲ့ rich rule ကို “/etc/firewalld/zone/public.xml” file မှာ သွားကြည့်လို့ရပါတယ်။ သို့မဟုတ် #firewalld –list-rich-rule command ကိုအသုံ:ပြုပြီး system မှာ rich rule တွေရေးထားတာရှိလား ကြည့်လို့ရပါတယ်။



                Rich Rule မှာ Reject ရယ် Drop ရယ် နှစ်ခုရှိပြီး Reject နဲ့သတ်မှတ်ခဲ့ရင် Rejct information detail ကိုပြမှာဖြစ်ပြီး Drop ဆိုရင် ဘာ information မှမပြတော့ပဲ JUST DROP ပဲဖြစ်သွားမှာဖြစ်ပါတယ်။

Logging with Rich Rule
        Rich Rule နဲ့ firewall မှာ accepted (or) deny ဖြစ်တဲ့ connection log တွေကို syslog (or) auditd သို့ ပေးပို့နိုင်ပါတယ်။ Log တွေကိုလဲ system မှာ storage fill up မဖြစ်စေရန် limit နဲ့ ကန့်သတ်ထားနိုင်ပါတယ်။
 #firewall-cmd –permanent –zone=public –add-rich-rule=’rule family=ipv4 source address=”192.168.0.1/32” service name=“http” log prefix=”http” level=”notice” limit value=”1/m” accept

        အပေါ်မှာရေးထားတဲ့ rule ကျတော့ source ip ဖြစ်တဲ့ 192.168.0.1 ကို http access ပေးပြီး ၄င်းနဲ့ပတ်သက်သော connection accepted or denied log တွေကို syslog မှာရေးပြီး log limit ကို 1 log per minute နဲ့ကန့်သတ်ထားတာဖြစ်ပါတယ်။

အခု Article ကတော့ Firewalld Rich Rule ကိုအသုံးပြုပြီး Firewall rules တွေတည်ဆောက်ပုံဖြစ်ပါတယ်။နောက် Article မှာမှ Port Forwarding နဲ့ Masquerading အကြောင်းကိုရေးပေးပါမယ်။
Enjoy Reading and Thank You!!!
Please also Like and Follow Root Of Info Page




Share:

0 comments:

Post a Comment