ינואר 13, 2026מדריכים
איך להגדיר חומת אש בשרת לינוקס
מדריך מלא להגדרת חומות האש UFW (אובונטו) ו-Firewalld (CentOS) לאבטחת השרת שלך.
חומת אש חיונית לאבטחת השרת, ושולטת בתעבורת רשת נכנסת ויוצאת. מדריך זה מכסה את הגדרת UFW במערכות אובונטו/דביאן ו-Firewalld במערכות CentOS/RHEL.
התקנת UFW
bash
sudo apt update
sudo apt install ufw -yפקודות בסיסיות של UFW
bash
# בדוק סטטוס
sudo ufw status
# אפשר חומת אש
sudo ufw enable
# אפשר SSH (חשוב!)
sudo ufw allow 22/tcp
# אפשר HTTP ו-HTTPS
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp
# חסום פורט
sudo ufw deny 3306/tcp
# מחק חוק
sudo ufw delete allow 80/tcpשימוש בפרופילי אפליקציה
bash
# רשימת אפליקציות זמינות
sudo ufw app list
# אפשר Nginx
sudo ufw allow 'Nginx Full'
# אפשר OpenSSH
sudo ufw allow 'OpenSSH'התקנת Firewalld
bash
sudo yum install firewalld -y
sudo systemctl start firewalld
sudo systemctl enable firewalldפקודות בסיסיות של Firewalld
bash
# בדוק סטטוס
sudo firewall-cmd --state
# רשימת כל החוקים
sudo firewall-cmd --list-all
# אפשר שירות
sudo firewall-cmd --permanent --add-service=http
sudo firewall-cmd --permanent --add-service=https
sudo firewall-cmd --reload
# אפשר פורט
sudo firewall-cmd --permanent --add-port=8080/tcp
sudo firewall-cmd --reloadעבודה עם אזורים (Zones)
Firewalld משתמש באזורים לניהול אבטחת רשת. אזורים נפוצים:
bash
# רשימת אזורים
sudo firewall-cmd --get-zones
# הגדר אזור ברירת מחדל
sudo firewall-cmd --set-default-zone=public
# הוסף שירות לאזור
sudo firewall-cmd --zone=public --add-service=ssh --permanent
sudo firewall-cmd --reloadשיטות עבודה מומלצות לאבטחה
- אפשר תמיד SSH לפני הפעלת חומת האש כדי להימנע מנעילה בחוץ
- השתמש בכתובות IP ספציפיות במידת האפשר: sudo ufw allow from 192.168.1.100
- סקור באופן קבוע חוקי חומת אש והסר חוקים שאינם בשימוש
- אפשר רישום (logging) לניטור פעילות חומת האש
- בדוק חוקי חומת אש לפני יישום בסביבת ייצור