วิธีการติดตั้ง กำหนดค่า และใช้ Firewalld ใน CentOS และ Ubuntu
Firewalld (firewall daemon) เป็นทางเลือกแทนบริการ iptables สำหรับการจัดการไฟร์วอลล์ของระบบแบบไดนามิกด้วยการรองรับโซนเครือข่าย (หรือไฟร์วอลล์) และจัดเตรียมอินเทอร์เฟซ D-Bus สำหรับจัดการการกำหนดค่า ใช้งานง่ายและกำหนดค่า และตอนนี้เป็นเครื่องมือการจัดการไฟร์วอลล์เริ่มต้นบน RHEL/CentOS, Fedora และ Linux อื่นๆ อีกหลายรุ่น
ในบทความนี้ เราจะพูดถึงวิธีกำหนดค่าไฟร์วอลล์ระบบด้วย ไฟร์วอลล์ และใช้การกรองแพ็กเก็ตพื้นฐานใน CentOS/RHEL 7 และ Ubuntu
ข้อมูลพื้นฐานเกี่ยวกับไฟร์วอลล์
ไฟร์วอลล์ประกอบด้วยสามชั้น ซึ่งได้แก่:
- เลเยอร์หลัก: รับผิดชอบในการจัดการการกำหนดค่าและส่วนหลัง (ตามรายการด้านล่าง)
- อินเทอร์เฟซ D-Bus: วิธีหลักในการเปลี่ยนแปลงและสร้างการกำหนดค่าไฟร์วอลล์
- แบ็กเอนด์: สำหรับการโต้ตอบกับ netfilter (โมดูลเคอร์เนลดั้งเดิมที่ใช้สำหรับไฟร์วอลล์) ประกอบด้วย iptables, ip6tables, ebtables, ipset, nft, linnftables; ผู้จัดการเครือข่าย; และโมดูล
จัดการกฎไฟร์วอลล์โดยการใช้โซนเครือข่าย/ไฟร์วอลล์ที่กำหนดระดับความน่าเชื่อถือของการเชื่อมต่อเครือข่ายหรืออินเทอร์เฟซ คุณสมบัติไฟร์วอลล์อื่นๆ ที่รองรับ ได้แก่ บริการ การกำหนดค่าโดยตรง (ใช้เพื่อส่งผ่านไวยากรณ์ iptables แบบดิบโดยตรง) IPSets และประเภท ICMP
ไฟร์วอลล์รองรับสภาพแวดล้อมการกำหนดค่าสองประเภท:
- การกำหนดค่ารันไทม์ซึ่งจะมีผลจนกว่าจะรีบูตเครื่องหรือเริ่มบริการไฟร์วอลล์ใหม่เท่านั้น
- การกำหนดค่าถาวรซึ่งได้รับการบันทึกและทำงานอย่างต่อเนื่อง
เครื่องมือบรรทัดคำสั่ง firewall-cmd ใช้เพื่อจัดการรันไทม์และการกำหนดค่าถาวร หรือคุณสามารถใช้เครื่องมือกำหนดค่าส่วนติดต่อผู้ใช้แบบกราฟิก (GUI) ของไฟร์วอลล์-config เพื่อโต้ตอบกับ daemon
นอกจากนี้ ไฟร์วอลล์ ยังมีอินเทอร์เฟซที่กำหนดไว้อย่างดีสำหรับบริการหรือแอปพลิเคชันภายในเครื่องอื่นๆ เพื่อขอการเปลี่ยนแปลงกฎไฟร์วอลล์โดยตรง หากทำงานโดยใช้สิทธิ์ระดับรูท
ไฟล์การกำหนดค่าส่วนกลางสำหรับไฟร์วอลล์อยู่ที่ /etc/firewalld/firewalld.conf และคุณลักษณะไฟร์วอลล์ได้รับการกำหนดค่าในรูปแบบ XML
ทำความเข้าใจคุณสมบัติที่สำคัญของไฟร์วอลล์
คุณลักษณะหลักของไฟร์วอลล์คือโซนเครือข่าย/ไฟร์วอลล์ คุณสมบัติอื่นๆ ทั้งหมดถูกผูกไว้กับโซน โซนไฟร์วอลล์อธิบายระดับความน่าเชื่อถือสำหรับการเชื่อมต่อ อินเทอร์เฟซ หรือการเชื่อมโยงที่อยู่ต้นทาง
การกำหนดค่าเริ่มต้นมาพร้อมกับโซนที่กำหนดไว้ล่วงหน้าจำนวนหนึ่งซึ่งจัดเรียงตามระดับความน่าเชื่อถือเริ่มต้นของโซนจากที่ไม่น่าเชื่อถือไปจนถึงเชื่อถือได้: ปล่อย บล็อก สาธารณะ ภายนอก dmz ที่ทำงาน บ้าน ภายใน และเชื่อถือได้ สิ่งเหล่านี้ถูกกำหนดไว้ในไฟล์ที่จัดเก็บภายใต้ไดเร็กทอรี /usr/lib/firewalld/zones
คุณสามารถกำหนดค่าหรือเพิ่มโซนที่กำหนดเองโดยใช้ไคลเอ็นต์ CLI หรือเพียงสร้างหรือคัดลอกไฟล์โซนใน /etc/firewalld/zones จากไฟล์ที่มีอยู่แล้วแก้ไข
แนวคิดที่สำคัญอีกประการหนึ่งภายใต้ไฟร์วอลล์คือบริการ บริการถูกกำหนดโดยใช้พอร์ตและโปรโตคอล คำจำกัดความเหล่านี้แสดงถึงบริการเครือข่ายที่กำหนด เช่น เว็บเซิร์ฟเวอร์หรือบริการการเข้าถึงระยะไกล บริการต่างๆ ได้รับการกำหนดไว้ในไฟล์ที่จัดเก็บไว้ในไดเร็กทอรี /usr/lib/firewalld/services/ หรือ /etc/firewalld/services/
หากคุณทราบแนวคิดพื้นฐาน iptables/ip6tables/ebtables คุณยังสามารถใช้อินเทอร์เฟซโดยตรง (หรือการกำหนดค่า) เพื่อเข้าถึงไฟร์วอลล์โดยตรงได้ แต่สำหรับผู้ที่ไม่มีความรู้เกี่ยวกับ iptable คุณสามารถใช้ภาษาที่หลากหลายเพื่อสร้างกฎไฟร์วอลล์ที่ซับซ้อนมากขึ้นสำหรับ IPv4 และ IPv6
วิธีการติดตั้งแพ็คเกจ Firewalld ใน Linux
บน CentOS 7 แพ็คเกจ ไฟร์วอลล์ จะถูกติดตั้งไว้ล่วงหน้า และคุณสามารถตรวจสอบได้โดยใช้คำสั่งต่อไปนี้
rpm -qa firewalld
บน Ubuntu 16.04 และ 18.04 คุณสามารถติดตั้งได้โดยใช้ตัวจัดการแพ็คเกจเริ่มต้นตามที่แสดง
sudo apt install firewalld
วิธีจัดการบริการ Firewalld ใน Linux
Firewalld เป็นบริการ systemd ปกติที่สามารถจัดการได้ผ่านคำสั่ง systemctl
sudo systemctl start firewalld #start the service for the mean time
sudo systemctl enable firewalld #enable the service to auto-start at boot time
sudo systemctl status firewalld #view service status
หลังจากเริ่มบริการ firewalld คุณยังสามารถตรวจสอบได้ว่า daemon ทำงานอยู่หรือไม่ โดยใช้เครื่องมือ firewall-cmd (ในกรณีที่ไม่ได้ใช้งานอยู่ คำสั่งนี้จะส่งออก “ไม่ วิ่ง ").
sudo firewall-cmd --state
หากคุณบังเอิญบันทึกการเปลี่ยนแปลงใดๆ อย่างถาวร คุณสามารถโหลดไฟร์วอลล์ใหม่ได้ การดำเนินการนี้จะโหลดกฎไฟร์วอลล์ใหม่และเก็บข้อมูลสถานะ การกำหนดค่าถาวรปัจจุบันจะกลายเป็นการกำหนดค่ารันไทม์ใหม่
sudo firewall-cmd --reload
วิธีทำงานกับโซนไฟร์วอลล์ใน Firewalld
หากต้องการรับรายการโซนไฟร์วอลล์และบริการที่มีอยู่ทั้งหมด ให้รันคำสั่งเหล่านี้
sudo firewall-cmd --get-zones
sudo firewall-cmd --get-services
โซนเริ่มต้นคือโซนที่ใช้สำหรับคุณลักษณะไฟร์วอลล์ทุกอย่างที่ไม่ได้ผูกไว้กับโซนอื่นอย่างชัดเจน คุณสามารถรับโซนเริ่มต้นที่ตั้งค่าไว้สำหรับการเชื่อมต่อเครือข่ายและอินเทอร์เฟซได้โดยการเรียกใช้
sudo firewall-cmd --get-default-zone
หากต้องการตั้งค่าโซนเริ่มต้น เช่น ภายนอก ให้ใช้คำสั่งต่อไปนี้ โปรดทราบว่าการเพิ่มตัวเลือก --permanent จะตั้งค่าการกำหนดค่าอย่างถาวร (หรือเปิดใช้งานการสืบค้นข้อมูลจากสภาพแวดล้อมการกำหนดค่าแบบถาวร)
sudo firewall-cmd --set-default-zone=external
OR
sudo firewall-cmd --set-default-zone=external --permanent
sudo firewall-cmd --reload
ต่อไป มาดูวิธีการเพิ่มอินเทอร์เฟซให้กับโซน ตัวอย่างนี้แสดงวิธีเพิ่มอะแดปเตอร์เครือข่ายไร้สาย (wlp1s0) ลงในโซนบ้าน ซึ่งใช้ในพื้นที่บ้าน
sudo firewall-cmd --zone=home --add-interface=wlp1s0
สามารถเพิ่มอินเทอร์เฟซลงในโซนเดียวเท่านั้น หากต้องการย้ายไปยังโซนอื่น ให้ใช้สวิตช์ --change-interface ตามที่แสดง หรือลบออกจากโซนก่อนหน้าโดยใช้สวิตช์ –remove-interface จากนั้นเพิ่มเข้าไป สู่โซนใหม่
สมมติว่าคุณต้องการเชื่อมต่อกับเครือข่าย WI-FI สาธารณะ คุณควรย้ายอินเทอร์เฟซไร้สายกลับไปยังโซนสาธารณะ เช่นนี้
sudo firewall-cmd --zone=public --add-interface=wlp1s0
sudo firewall-cmd --zone=public --change-interface=wlp1s0
คุณสามารถใช้หลายโซนพร้อมกันได้ หากต้องการรับรายการโซนที่ใช้งานอยู่ทั้งหมดพร้อมฟีเจอร์ที่เปิดใช้งาน เช่น อินเทอร์เฟซ บริการ พอร์ต โปรโตคอล ให้รัน:
sudo firewall-cmd --get-active-zones
ในส่วนที่เกี่ยวข้องกับจุดก่อนหน้า หากคุณต้องการค้นหาข้อมูลเพิ่มเติมเกี่ยวกับโซนใดโซนหนึ่ง เช่น ทุกอย่างที่เพิ่มหรือเปิดใช้งานในนั้น ให้ใช้คำสั่งใดคำสั่งหนึ่งต่อไปนี้:
sudo firewall-cmd --zone=home --list-all
OR
sudo firewall-cmd --info-zone public
อีกตัวเลือกที่มีประโยชน์คือ --get-target ซึ่งจะแสดงเป้าหมายของโซนถาวร เป้าหมายคือหนึ่งใน: ค่าเริ่มต้น, ยอมรับ, วาง, ปฏิเสธ คุณสามารถตรวจสอบเป้าหมายของโซนต่างๆ:
sudo firewall-cmd --permanent --zone=public --get-target
sudo firewall-cmd --permanent --zone=block --get-target
sudo firewall-cmd --permanent --zone=dmz --get-target
sudo firewall-cmd --permanent --zone=external --get-target
sudo firewall-cmd --permanent --zone=drop --get-target
วิธีเปิดและบล็อกพอร์ตใน Firewalld
หากต้องการเปิดพอร์ต (หรือการรวมพอร์ต/โปรโตคอล) ในไฟร์วอลล์ เพียงเพิ่มพอร์ตนั้นในโซนด้วยตัวเลือก --add-port หากคุณไม่ระบุโซนอย่างชัดเจน โซนนั้นจะถูกเปิดใช้งานในโซนเริ่มต้น
ตัวอย่างต่อไปนี้แสดงวิธีเพิ่มพอร์ต 80 และ 443 เพื่ออนุญาตการรับส่งข้อมูลเว็บขาเข้าผ่าน HTTP และ HTTPS โปรโตคอล ตามลำดับ:
sudo firewall-cmd --zone=public --permanent --add-port=80/tcp --add-port=443/tcp
ถัดไป รีโหลดไฟร์วอลล์และตรวจสอบคุณสมบัติที่เปิดใช้งานในโซนสาธารณะอีกครั้ง คุณควรจะเห็นพอร์ตที่เพิ่งเพิ่มเข้ามา
sudo firewall-cmd --reload
sudo firewall-cmd --info-zone public
การบล็อกหรือการปิดพอร์ตในไฟร์วอลล์ก็ทำได้ง่ายไม่แพ้กัน เพียงลบพอร์ตออกจากโซนด้วยตัวเลือก --remove-port ตัวอย่างเช่น เมื่อต้องการปิดพอร์ต 80 และ 443 ในโซนสาธารณะ
sudo firewall-cmd --zone=public --permanent --remove-port=80/tcp --remove-port=443/tcp
แทนที่จะใช้พอร์ตหรือพอร์ต/โปรโตคอลรวมกัน คุณสามารถใช้ชื่อบริการที่กำหนดพอร์ตตามที่อธิบายไว้ในส่วนถัดไป
วิธีเปิดและบล็อกบริการใน Firewalld
หากต้องการเปิดบริการในไฟร์วอลล์ ให้เปิดใช้งานโดยใช้ตัวเลือก --add-service หากละเว้นโซน ระบบจะใช้โซนเริ่มต้น
คำสั่งต่อไปนี้จะเปิดใช้บริการ http ในโซนสาธารณะอย่างถาวร
sudo firewall-cmd --zone=public --permanent --add-service=http
sudo firewall-cmd --reload
ตัวเลือก --remove-service สามารถใช้เพื่อปิดใช้งานบริการได้
sudo firewall-cmd --zone=public --permanent --remove-service=http
sudo firewall-cmd --reload
วิธีเปิดใช้งานและปิดใช้งานการปลอมแปลง IP โดยใช้ Firewalld
การปลอมแปลง IP (หรือที่เรียกว่า IPMASQ หรือ MASQ) คือ NAT (การแปลที่อยู่เครือข่าย กลไกที่แข็งแกร่ง>) ในระบบเครือข่าย Linux ซึ่งอนุญาตให้โฮสต์ของคุณในเครือข่ายด้วยที่อยู่ IP ส่วนตัวเพื่อสื่อสารกับอินเทอร์เน็ตโดยใช้เซิร์ฟเวอร์ Linux ของคุณ (เกตเวย์ IPMASQ) ที่กำหนดที่อยู่ IP สาธารณะ
เป็นการแมปแบบหนึ่งต่อกลุ่ม การรับส่งข้อมูลจากโฮสต์ที่มองไม่เห็นของคุณจะปรากฏต่อคอมพิวเตอร์เครื่องอื่นบนอินเทอร์เน็ตราวกับว่ามาจากเซิร์ฟเวอร์ Linux ของคุณ
คุณสามารถเปิดใช้งานการปลอมแปลง IP ในโซนที่ต้องการได้ เช่น โซนสาธารณะ แต่ก่อนที่จะดำเนินการดังกล่าว ก่อนอื่นให้ตรวจสอบก่อนว่าการปลอมตัวทำงานอยู่หรือไม่ (“ไม่ ” หมายถึงปิดการใช้งาน และ “ใช่ ” หมายถึงอย่างอื่น)
sudo firewall-cmd --zone=public --query-masquerade
sudo firewall-cmd --zone=public --add-masquerade
กรณีการใช้งานทั่วไปสำหรับการปลอมแปลงคือการส่งต่อพอร์ต สมมติว่าคุณต้องการ SSH จากเครื่องระยะไกลไปยังโฮสต์ในเครือข่ายภายในของคุณด้วย IP 10.20.1.3 ซึ่ง sshd daemon กำลังฟังบนพอร์ต 5000
คุณสามารถส่งต่อการเชื่อมต่อทั้งหมดไปยังพอร์ต 22 บนเซิร์ฟเวอร์ Linux ของคุณไปยังพอร์ตที่ต้องการบนโฮสต์เป้าหมายของคุณโดยออก:
sudo firewall-cmd --zone=public --add-forward-port=port=22=proto=tcp:toport=5000:toaddr=10.20.1.3
หากต้องการปิดใช้งานการปลอมตัวในโซน ให้ใช้สวิตช์ --remove-masquerade
sudo firewall-cmd --zone=public --remove-masquerade
วิธีเปิดใช้งานและปิดใช้งานข้อความ IMCP ใน Firewalld
ข้อความ ICMP (Internet Control Message Protocol) เป็นการร้องขอข้อมูลหรือการตอบกลับการร้องขอข้อมูล หรืออยู่ในสภาวะข้อผิดพลาด
คุณสามารถเปิดหรือปิดใช้งานข้อความ ICMP ในไฟร์วอลล์ได้ แต่ก่อนหน้านั้นรายการแรกจะแสดงประเภท icmp ที่รองรับทั้งหมด
sudo firewall-cmd --get-icmptypes
หากต้องการเพิ่มหรือลบประเภทบล็อกที่คุณต้องการ
sudo firewall-cmd --zone=home --add-icmp-block=echo-reply
OR
sudo firewall-cmd --zone=home --remove-icmp-block=echo-reply
คุณสามารถดูประเภท icmp ทั้งหมดที่เพิ่มในโซนได้โดยใช้สวิตช์ --list-icmp-blocks
sudo firewall-cmd --zone=home --list-icmp-blocks
วิธีใช้อินเทอร์เฟซโดยตรงเพื่อส่งคำสั่ง Raw iptables
firewall-cmd ยังมีตัวเลือกโดยตรง (--direct) เพื่อให้คุณสามารถเข้าถึงไฟร์วอลล์ได้โดยตรงมากขึ้น สิ่งนี้มีประโยชน์สำหรับผู้ที่มีความรู้พื้นฐานเกี่ยวกับ iptables
ข้อสำคัญ: คุณควรใช้ตัวเลือกโดยตรงเป็นทางเลือกสุดท้ายเท่านั้น เมื่อไม่สามารถใช้ตัวเลือก firewall-cmd ปกติที่อธิบายไว้ข้างต้นได้
นี่คือตัวอย่างวิธีการส่งกฎ iptables แบบดิบ โดยใช้สวิตช์ --add-rules คุณสามารถลบกฎเหล่านี้ได้อย่างง่ายดายโดยแทนที่ --add-rule ด้วย --remove-rule:
sudo firewall-cmd --direct --add-rule ipv4 filter IN_public_allow 0 -m tcp -p tcp --dport 80 -j ACCEPT
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับ iptables โปรดดูคู่มือนี้: วิธีการตั้งค่าไฟร์วอลล์ Iptables เพื่อเปิดใช้งานการเข้าถึงบริการระยะไกลใน Linux
หากคุณไม่คุ้นเคยกับไวยากรณ์ iptables คุณสามารถเลือก “ภาษาที่หลากหลาย ” ของไฟร์วอลล์เพื่อสร้างกฎไฟร์วอลล์ที่ซับซ้อนมากขึ้นในลักษณะที่เข้าใจง่ายตามที่อธิบายไว้ถัดไป
วิธีใช้ Rich Language ใน Firewalld
ภาษาที่หลากหลาย (หรือที่เรียกว่า กฎที่หลากหลาย) ใช้เพื่อเพิ่มกฎไฟร์วอลล์ที่ซับซ้อนมากขึ้นสำหรับ IPv4 และ IPv6 ไม่มีความรู้เกี่ยวกับไวยากรณ์ iptables
โดยจะขยายคุณสมบัติของโซน (บริการ, พอร์ต, icmp-block, masquerade และพอร์ตส่งต่อ) ที่เรากล่าวถึง รองรับที่อยู่ต้นทางและปลายทาง การบันทึก การดำเนินการ และขีดจำกัดสำหรับบันทึกและการดำเนินการ
--add-rich-rule ใช้เพื่อเพิ่มกฎที่หลากหลาย ตัวอย่างนี้แสดงวิธีอนุญาตการเชื่อมต่อ IPv4 และ IPv6 ใหม่สำหรับบริการ http และบันทึก 1 ต่อนาทีโดยใช้การตรวจสอบ:
sudo firewall-cmd --add-rich-rule='rule service name="http" audit limit value="1/m" accept'
หากต้องการลบกฎที่เพิ่ม ให้แทนที่ตัวเลือก --add-rich-rule ด้วย --remove-rich-rule
sudo firewall-cmd --remove-rich-rule='rule service name="http" audit limit value="1/m" accept'
คุณลักษณะนี้ยังช่วยให้สามารถบล็อกหรืออนุญาตการรับส่งข้อมูลจากที่อยู่ IP ที่ระบุได้ ตัวอย่างต่อไปนี้แสดงวิธีการปฏิเสธการเชื่อมต่อจาก IP 10.20.1.20
sudo firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" source address="192.168.0.254" reject'
วิธีเปิดใช้งานและปิดใช้งานโหมด Panic ใน Firewalld
โหมดตื่นตระหนกเป็นโหมดพิเศษภายใต้ไฟร์วอลล์ซึ่งแพ็กเก็ตขาเข้าและขาออกทั้งหมดจะถูกทิ้ง และการเชื่อมต่อที่ใช้งานอยู่จะหมดอายุเมื่อเปิดใช้งาน
คุณสามารถเปิดใช้งานโหมดนี้ได้ในสถานการณ์ฉุกเฉินที่มีการคุกคามต่อสภาพแวดล้อมเครือข่ายของคุณ
หากต้องการค้นหาโหมดตื่นตระหนก ให้ใช้ตัวเลือก --query-panic
sudo firewall-cmd --query-panic
หากต้องการเปิดใช้งานโหมดตื่นตระหนก ให้ใช้ตัวเลือก --panic-on คุณสามารถทดสอบได้ว่าใช้งานได้หรือไม่โดยใช้คำสั่ง ping ดังที่แสดง เนื่องจากแพ็กเก็ตหลุด ชื่อ www.google.com ไม่สามารถแก้ไขได้ จึงมีข้อผิดพลาดปรากฏขึ้น
sudo firewall-cmd --panic-on
ping -c 2 www.google.com
หากต้องการปิดใช้งานโหมดตื่นตระหนก ให้ใช้ตัวเลือก --panic-off
sudo firewall-cmd --panic-off
วิธีล็อคดาวน์ไฟร์วอลล์
โปรดจำไว้ว่า เราได้กล่าวถึงภายใต้ข้อมูลพื้นฐานเกี่ยวกับไฟร์วอลล์ว่าแอปพลิเคชันหรือบริการในเครื่องสามารถเปลี่ยนแปลงการกำหนดค่าไฟร์วอลล์ได้หากทำงานด้วยสิทธิ์ระดับรูท คุณสามารถควบคุมได้ว่าแอปพลิเคชันใดที่สามารถร้องขอการเปลี่ยนแปลงไฟร์วอลล์ได้โดยระบุในรายการที่อนุญาตพิเศษสำหรับการล็อค
คุณลักษณะนี้ปิดอยู่ตามค่าเริ่มต้น คุณสามารถเปิดหรือปิดใช้งานได้ด้วยสวิตช์ --lockdown-on หรือ --lockdown ตามลำดับ
sudo firewall-cmd --lockdown-on
OR
sudo firewall-cmd --lockdown-off
โปรดทราบว่าขอแนะนำให้เปิดหรือปิดใช้งานคุณลักษณะนี้โดยการแก้ไขไฟล์กำหนดค่าหลัก เนื่องจาก firewall-cmd อาจไม่อยู่ในรายการที่อนุญาตพิเศษสำหรับการล็อกเมื่อคุณเปิดใช้งานการล็อกดาวน์
sudo vim /etc/firewalld/firewalld.conf
ค้นหาพารามิเตอร์ Lockdown และเปลี่ยนค่าจาก no (หมายถึงปิด) เป็น yes (หมายถึงเปิด)
Lockdown=yes
เพื่อให้การตั้งค่านี้โหลดไฟร์วอลล์ใหม่อย่างถาวร
sudo firewall-cmd --reload
สรุป
ไฟร์วอลล์เป็นการแทนที่บริการ iptables ที่ใช้งานง่าย ซึ่งใช้ iptables เป็นแบ็กเอนด์ ในบทความนี้ เราได้แสดงวิธีการติดตั้งแพ็คเกจไฟร์วอลล์ อธิบายคุณสมบัติที่สำคัญของไฟร์วอลล์ และกล่าวถึงวิธีการกำหนดค่าในสภาพแวดล้อมรันไทม์และการกำหนดค่าถาวร
หากคุณมีคำถามหรือความคิดเห็นใด ๆ โปรดติดต่อเราผ่านแบบฟอร์มความคิดเห็นด้านล่าง คุณสามารถดูหน้าคู่มือ firewalld (man firewalld) หรือเอกสารประกอบ firewalld ในเว็บไซต์โครงการสำหรับข้อมูลเพิ่มเติม