コミュニティ
学ぶ
ツールライブラリ
AIツール
レジャー
検索
日本語
ホームページ 運用・保守 Linuxの運用と保守 Linuxにはファイアウォールがありますか?

Linuxにはファイアウォールがありますか?

青灯夜游
青灯夜游
Apr 11, 2023 pm 05:25 PM
linux

Linux にはファイアウォールがあり、公共のインターネット上の Linux サーバーにはほぼ必須のソフトウェアです。多くの Linux ディストリビューションにはすでにファイアウォール (通常は iptables) が付属しています。Fedora、CentOS、および Red Hat ディストリビューションでは、デフォルトでインストールされるファイアウォール ソフトウェアは firewalld であり、「firewall-cmd」コマンドで構成および制御できます。

Linuxにはファイアウォールがありますか?

#このチュートリアルの動作環境: linux7.3 システム、Dell G3 コンピューター。

Linux にはファイアウォールとウイルス対策ソフトウェアが備わっています。 ファイアウォールは、パブリック ネットワーク上の Linux サーバーにとってほぼ必須のソフトウェアです。さらに、ほぼすべてのコンピュータ室には、侵入検知、攻撃保護などのためのハードウェア ファイアウォールが設置されています。

適切なファイアウォールは、コンピュータのネットワーク侵入を防ぐ最初の障壁です。自宅でインターネットを閲覧する場合、通常、インターネット サービス プロバイダーはルーティングにファイアウォールを構築します。家から離れているときは、コンピューター上のファイアウォールが唯一のファイアウォールとなるため、Linux コンピューター上でファイアウォールを構成して制御することが重要です。 Linux サーバーを保守している場合は、ローカルまたはリモートを問わず、違法なトラフィックからサーバーを保護できるようにファイアウォールを管理する方法を知ることも同様に重要です。

Linuxにはファイアウォールがありますか?

Linux インストール ファイアウォール

多くの Linux ディストリビューションには、すでに独自のファイアウォール (通常は iptables) が付属しています。強力でカスタマイズ可能ですが、設定が少し複雑です。幸いなことに、一部の開発者は、ユーザーが長い iptables ルールを記述せずにファイアウォールを制御できるようにするフロントエンド プログラムを作成しました。

Fedora、CentOS、Red Hat、およびいくつかの同様のディストリビューションでは、デフォルトでインストールされるファイアウォール ソフトウェアは firewalld であり、firewall-cmd コマンドによって構成および制御されます。 Debian およびその他のほとんどのディストリビューションでは、firewalld をリポジトリからインストールできます。 Ubuntu にはシンプルなファイアウォール Uncomplicated Firewall (ufw) が付属しているため、firewalld を使用するには、universe ソフトウェア リポジトリを有効にする必要があります: 

$ sudo add-apt-repository universe
$ sudo apt install firewalld
ログイン後にコピー

ufw も無効にする必要があります: 

$ sudo systemctl disable ufw
ログイン後にコピー

理由はありませんufw を使用しないでください。これは強力なファイアウォール フロントエンドです。ただし、ほとんどのディストリビューションが firewalld をサポートしており、ほぼすべてのディストリビューションに付属する systemd に統合されているため、この記事では firewalld に焦点を当てます。

どのディストリビューションを使用している場合でも、有効にするにはまずファイアウォールをアクティブにする必要があり、起動時にファイアウォールをロードする必要があります: 

$ sudo systemctl enable --now firewalld
ログイン後にコピー

ドメインについて理解するファイアウォールの

Firewalld は、ファイアウォールの設定をできるだけ簡単にするように設計されています。この目標は、ドメイン ゾーンを確立することで達成されます。ドメインは、ほとんどのユーザーの日常的なニーズに適応する合理的な一般ルールのセットです。デフォルトでは 9 つのドメインがあります。

  • trusted: すべての接続を受け入れます。これは最も偏執的なファイアウォール設定ではなく、ネットワーク上の全員が他の全員を知っているテスト ラボやホーム ネットワークなど、完全に信頼できる環境でのみ使用する必要があります。

  • 自宅、職場、内部: これら 3 つのドメインでは、ほとんどの受信接続が受け入れられます。これらはそれぞれ、アクティブになることが予想されないポートからの受信トラフィックを除外します。ポートが不確実なネットワーク トラフィックがなく、一般にホーム ネットワーク上の他のユーザーを信頼できるため、3 つはすべてホーム環境での使用に適しています。

  • #public: 公共エリアで使用されます。これは、ネットワーク上の他のコンピュータを信頼しない場合に使用される偏執的な設定です。選択された一般的で最も安全な受信接続のみを受け入れることができます。

  • dmz: DMZ は非武装地帯の略です。このドメインは主に、組織の外部ネットワーク上にあり、内部ネットワークへのアクセスが制限されている、公的にアクセス可能なコンピュータに使用されます。パーソナル コンピュータの場合はあまり役に立ちませんが、特定の種類のサーバーでは重要なオプションになる可能性があります。

  • external: 外部ネットワークに使用すると、マスカレードが有効になります (プライベート ネットワークのアドレスは外部 IP アドレスにマッピングされ、非表示になります)。 DMZ と同様に、SSH を含む選択された受信接続のみが受け入れられます。

  • ブロック: このシステムで初期化されたネットワーク接続のみを受け入れます。受信したネットワーク接続はすべて、icmp-host-prohibited メッセージで拒否されます。これは非常に偏執的な設定であり、信頼できない環境またはセキュリティで保護されていない環境にある特定の種類のサーバーまたはパーソナル コンピュータにとって重要です。

  • drop: 受信したネットワーク パケットはすべて応答なしでドロップされます。送信ネットワーク接続のみが使用可能です。この設定よりも極端な解決策は、WiFi をオフにしてネットワーク ケーブルを抜くことです。

ディストリビューションのすべてのゾーンを表示したり、構成ファイル /usr/lib/firewalld/zones を通じて管理者設定を表示したりできます。例: 以下は、Fedora 31 に付属する FedoraWorkstation ドメインです: 

$ cat /usr/lib/firewalld/zones/FedoraWorkstation.xml
<?xml version="1.0" encoding="utf-8"?>
<zone>
  <short>Fedora Workstation</short>
  <description>Unsolicited incoming network packets are rejected from port 1 to 1024, except for select network services. Incoming packets that are related to outgoing network connections are accepted. Outgoing network connections are allowed.</description>
  <service name="dhcpv6-client"/>
  <service name="ssh"/>
  <service name="samba-client"/>
  <port protocol="udp" port="1025-65535"/>
  <port protocol="tcp" port="1025-65535"/>
</zone>
ログイン後にコピー

現在のドメインを取得します

いつでも渡せます。 - -get-active-zones オプションを使用して、現在いるゾーンを確認します: 

$ sudo firewall-cmd --get-active-zones
ログイン後にコピー

输出结果中,会有当前活跃的域的名字和分配给它的网络接口。笔记本电脑上,在默认域中通常意味着你有个 WiFi 卡:

FedoraWorkstation
  interfaces: wlp61s0
ログイン後にコピー

修改你当前的域

要更改你的域,请将网络接口重新分配到不同的域。例如,把例子中的 wlp61s0 卡修改为 public 域:

$ sudo firewall-cmd --change-interface=wlp61s0 --zone=public
ログイン後にコピー

你可以在任何时候、任何理由改变一个接口的活动域 —— 无论你是要去咖啡馆,觉得需要增加笔记本的安全策略,还是要去上班,需要打开一些端口进入内网,或者其他原因。在你凭记忆学会 firewall-cmd 命令之前,你只要记住了关键词 change 和 zone,就可以慢慢掌握,因为按下 Tab 时,它的选项会自动补全。

相关推荐:《Linux视频教程

以上がLinuxにはファイアウォールがありますか?の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。

このウェブサイトの声明
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。

ホットAIツール

Undresser.AI Undress

Undresser.AI Undress

リアルなヌード写真を作成する AI 搭載アプリ

AI Clothes Remover

AI Clothes Remover

写真から衣服を削除するオンライン AI ツール。

Undress AI Tool

Undress AI Tool

脱衣画像を無料で

Clothoff.io

Clothoff.io

AI衣類リムーバー

AI Hentai Generator

AI Hentai Generator

AIヘンタイを無料で生成します。

もっと見る

人気の記事

R.E.P.O.説明されたエネルギー結晶と彼らが何をするか(黄色のクリスタル)
3週間前 By 尊渡假赌尊渡假赌尊渡假赌
R.E.P.O.最高のグラフィック設定
3週間前 By 尊渡假赌尊渡假赌尊渡假赌
アサシンのクリードシャドウズ:シーシェルリドルソリューション
2週間前 By DDD
R.E.P.O.誰も聞こえない場合はオーディオを修正する方法
3週間前 By 尊渡假赌尊渡假赌尊渡假赌
WWE 2K25:Myriseのすべてのロックを解除する方法
3週間前 By 尊渡假赌尊渡假赌尊渡假赌
もっと見る

ホットツール

メモ帳++7.3.1

メモ帳++7.3.1

使いやすく無料のコードエディター

SublimeText3 中国語版

SublimeText3 中国語版

中国語版、とても使いやすい

ゼンドスタジオ 13.0.1

ゼンドスタジオ 13.0.1

強力な PHP 統合開発環境

ドリームウィーバー CS6

ドリームウィーバー CS6

ビジュアル Web 開発ツール

SublimeText3 Mac版

SublimeText3 Mac版

神レベルのコード編集ソフト(SublimeText3)

もっと見る

ホットトピック

Gmailメールのログイン入り口はどこですか?
7467
15
CakePHP チュートリアル
1376
52
Steamのアカウント名の形式は何ですか
77
11
Win11 Activation Key Permanent
45
19
NYTの接続はヒントと回答です
18
19
もっと見る
Related knowledge
Linux端末でPython -versionコマンドを使用する場合、許可の問題を解決する方法は? Linux端末でPython -versionコマンドを使用する場合、許可の問題を解決する方法は? Apr 02, 2025 am 06:36 AM

LinuxターミナルでPythonを使用...

APSChedulerタイミングタスクをMACOSのサービスとして構成する方法は? APSChedulerタイミングタスクをMACOSのサービスとして構成する方法は? Apr 01, 2025 pm 06:09 PM

nginと同様に、APSChedulerタイミングタスクをサービスとして構成する場合、APSChedulerタイミングタスクをMACOSプラットフォームでサービスとして構成します...

マルチスレッドをC言語で実装する4つの方法 マルチスレッドをC言語で実装する4つの方法 Apr 03, 2025 pm 03:00 PM

言語のマルチスレッドは、プログラムの効率を大幅に改善できます。 C言語でマルチスレッドを実装する4つの主な方法があります。独立したプロセスを作成します。独立して実行される複数のプロセスを作成します。各プロセスには独自のメモリスペースがあります。擬似マルチスレッド:同じメモリ空間を共有して交互に実行するプロセスで複数の実行ストリームを作成します。マルチスレッドライブラリ:pthreadsなどのマルチスレッドライブラリを使用して、スレッドを作成および管理し、リッチスレッド操作機能を提供します。 Coroutine:タスクを小さなサブタスクに分割し、順番に実行する軽量のマルチスレッド実装。

web.xmlを開く方法 web.xmlを開く方法 Apr 03, 2025 am 06:51 AM

web.xmlファイルを開くには、次の方法を使用できます。テキストエディター(メモ帳やテキストエディットなど)を使用して、統合開発環境(EclipseやNetBeansなど)を使用してコマンドを編集できます(Windows:Notepad web.xml; Mac/Linux:Open -A Textedit Web.xml)

PythonインタープリターはLinuxシステムで削除できますか? PythonインタープリターはLinuxシステムで削除できますか? Apr 02, 2025 am 07:00 AM

Linux Systemsに付属するPythonインタープリターを削除する問題に関して、多くのLinuxディストリビューションは、インストール時にPythonインタープリターをプリインストールし、パッケージマネージャーを使用しません...

Linuxは何に最適なものですか? Linuxは何に最適なものですか? Apr 03, 2025 am 12:11 AM

Linuxは、サーバー管理、組み込みシステム、デスクトップ環境として最適です。 1)サーバー管理では、LinuxはWebサイト、データベース、アプリケーションをホストするために使用され、安定性と信頼性を提供します。 2)組み込みシステムでは、Linuxは柔軟性と安定性のため、スマートホームおよび自動車電子システムで広く使用されています。 3)デスクトップ環境では、Linuxは豊富なアプリケーションと効率的なパフォーマンスを提供します。

Debian Hadoopの互換性はどうですか Debian Hadoopの互換性はどうですか Apr 02, 2025 am 08:42 AM

DebianLinuxは、その安定性とセキュリティで知られており、サーバー、開発、デスクトップ環境で広く使用されています。現在、DebianとHadoopとの直接的な互換性に関する公式の指示が不足していますが、この記事では、DebianシステムにHadoopを展開する方法について説明します。 Debianシステムの要件:Hadoop構成を開始する前に、DebianシステムがHadoopの最小動作要件を満たしていることを確認してください。これには、必要なJavaランタイム環境(JRE)とHadoopパッケージのインストールが含まれます。 Hadoop展開手順:Hadoopをダウンロードして解凍:公式ApachehadoopのWebサイトから必要なHadoopバージョンをダウンロードして解決します

Debian文字列は、複数のブラウザと互換性があります Debian文字列は、複数のブラウザと互換性があります Apr 02, 2025 am 08:30 AM

「DebianStrings」は標準的な用語ではなく、その特定の意味はまだ不明です。この記事は、ブラウザの互換性について直接コメントすることはできません。ただし、「DebianStrings」がDebianシステムで実行されているWebアプリケーションを指す場合、そのブラウザの互換性はアプリケーション自体の技術アーキテクチャに依存します。ほとんどの最新のWebアプリケーションは、クロスブラウザーの互換性に取り組んでいます。これは、次のWeb標準と、適切に互換性のあるフロントエンドテクノロジー(HTML、CSS、JavaScriptなど)およびバックエンドテクノロジー(PHP、Python、Node.jsなど)を使用することに依存しています。アプリケーションが複数のブラウザと互換性があることを確認するには、開発者がクロスブラウザーテストを実施し、応答性を使用する必要があることがよくあります

See all articles