Menggunakan FirewallD untuk Mengelola Firewall Anda di CentOS 7

• Mengelola layanan
• Manajemen pelabuhan
• Mengaktifkan FirewallD
• Kesimpulan

FirewallD adalah firewall yang dikelola secara dinamis yang menyediakan dukungan untuk aturan firewall dan zona firewall IPv4 dan IPv6 yang tersedia di server berbasis RHEL 7. Ini adalah pengganti langsung untuk iptablesdan bekerja dengan netfilterkode kernel .

Pada artikel ini akan melihat secara singkat mengelola firewall pada CentOS 7 menggunakan firewall-cmdperintah.

Memeriksa apakah FirewallD sedang berjalan

Langkah pertama adalah memeriksa apakah FirewallD diinstal dan berjalan. Ini dapat dilakukan melalui systemddengan menjalankan yang berikut ini:

$ systemctl status firewalld
● firewalld.service - firewalld - dynamic firewall daemon
   Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled; vendor preset: enabled)
   Active: active (running) since Thu 2016-03-10 15:07:00 UTC; 1min 30s ago
   ...

Atau, Anda dapat memeriksa menggunakan firewall-cmdalat:

$ firewall-cmd --state
running

Mengelola zona

FirewallD beroperasi menggunakan konsep di zonesmana zona menentukan tingkat kepercayaan yang digunakan untuk koneksi. Anda dapat membagi antarmuka jaringan yang berbeda menjadi zona yang berbeda untuk menerapkan aturan firewall spesifik per antarmuka atau Anda dapat menggunakan satu zona untuk semua antarmuka.

Di luar kotak, semuanya dilakukan pada publiczona default , tetapi ada beberapa zona pra-konfigurasi lain yang dapat diterapkan juga.

Cantumkan semua zona yang tersedia

Anda mungkin perlu mendapatkan daftar semua zona yang tersedia, yang ada beberapa di luar kotak. Sekali lagi, ini dapat dilakukan dengan menggunakan firewall-cmd:

$ firewall-cmd --get-zones
block dmz drop external home internal public trusted work

Memeriksa zona default

Anda dapat menemukan zona default yang saat ini dikonfigurasi menggunakan firewall-cmd:

$ firewall-cmd --get-default-zone
public

Jika Anda ingin mengubah zona default (misalnya, ke home), ini dapat dilakukan dengan menjalankan:

$ firewall-cmd --set-default-zone=home
success

Informasi ini akan tercermin dalam file konfigurasi utama /etc/firewalld/firewalld.conf,. Namun, Anda disarankan untuk tidak secara manual memodifikasi file ini dan malah menggunakannya firewall-cmd.

Memeriksa zona yang saat ini ditugaskan

Anda bisa mendapatkan daftar zona yang ditugaskan untuk antarmuka Anda dengan menjalankan:

$ firewall-cmd --get-active-zones
public
  interfaces: eth0

Anda juga dapat memeriksa zona satu antarmuka ( eth0dalam hal ini) dengan menjalankan:

$  firewall-cmd --get-zone-of-interface=eth0
public

Membuat zona

Jika zona pra-konfigurasi default tidak cukup sesuai dengan kebutuhan Anda, cara termudah untuk membuat zona baru ( zone1) kembali melalui firewall-cmd:

$ firewall-cmd --permanent --new-zone=zone1
success

Setelah pembuatan, Anda perlu memuat ulang:

$ firewall-cmd --reload
success

Menerapkan zona ke antarmuka

Untuk menetapkan antarmuka jaringan ke zona secara permanen , Anda dapat menggunakan firewall-cmdmeskipun ingat untuk menyertakan --permanentbendera untuk mempertahankan perubahan. Jika menggunakan NetworkManager, Anda juga harus memastikan untuk menggunakan nmclizona koneksi.

$ firewall-cmd --permanent --zone=internal --change-interface=eth1`
success

Mendapatkan konfigurasi permanen suatu zona

Untuk memeriksa konfigurasi permanen suatu zona ( publicdalam hal ini) termasuk antarmuka yang ditetapkan, layanan yang diizinkan, pengaturan port, dan lainnya, jalankan:

$ firewall-cmd --permanent --zone=public --list-all
public (default)
  interfaces:
  sources:
  services: dhcpv6-client ssh
  ports:
  masquerade: no
  forward-ports:
  icmp-blocks:
  rich rules:

Mengelola layanan

Setelah Anda menetapkan dan mengkonfigurasi zona yang diperlukan, Anda dapat mulai menambahkan layanan ke zona. Layanan menggambarkan protokol dan port yang dapat diakses untuk suatu zona.

Mendaftar layanan yang ada

Sejumlah layanan umum sudah dipra-konfigurasi dalam firewalld. Ini dapat dicantumkan:

$ firewall-cmd --get-services
RH-Satellite-6 amanda-client bacula bacula-client dhcp dhcpv6 dhcpv6-client dns freeipa-ldap freeipa-ldaps freeipa-replication ftp high-availability http https imaps ipp ipp-client ipsec iscsi-target kerberos kpasswd ldap ldaps libvirt libvirt-tls mdns mountd ms-wbt mysql nfs ntp openvpn pmcd pmproxy pmwebapi pmwebapis pop3s postgresql proxy-dhcp radius rpc-bind rsyncd samba samba-client smtp ssh telnet tftp tftp-client transmission-client vdsm vnc-server wbem-https

Anda juga bisa mendapatkan daftar layanan yang diaktifkan untuk zona default:

$ firewall-cmd --list-services
dhcpv6-client ssh

Menambahkan layanan ke zona

Anda dapat mengaktifkan layanan yang diberikan untuk zona ( public) secara permanen menggunakan --add-servicebendera:

$ firewall-cmd --permanent --zone=public --add-service=http
success

Dan kemudian memuat kembali sesi firewall saat ini:

$ firewall-cmd --reload
success

Kemudian, untuk memverifikasi ditambahkan:

$ firewall-cmd --zone=public --list-services
dhcpv6-client http ssh

Menghapus layanan dari zona

Anda dapat menghapus layanan yang diberikan untuk zona ( public) secara permanen menggunakan --remove-servicebendera:

$ firewall-cmd --permanent --zone=public --remove-service=http
success

Dan kemudian memuat kembali sesi firewall saat ini:

$ firewall-cmd --reload
success

Kemudian, untuk memverifikasi ditambahkan:

$ firewall-cmd --zone=public --list-services
dhcpv6-client ssh

Menambah / menghapus beberapa layanan dari suatu zona

Anda dapat menambah atau menghapus beberapa layanan (misalnya, httpdan https) dari zona satu per satu, atau sekaligus dengan membungkus nama layanan yang diinginkan dalam kurung kurawal ( {, }):

$ firewall-cmd --permanent --zone=public --add-service=
success

$ firewall-cmd --permanent --zone=public --list-services
dhcpv6-client http https ssh

Menciptakan layanan baru

Terkadang Anda mungkin perlu menambahkan layanan kustom baru - misalnya jika Anda telah mengubah port untuk daemon SSH. Layanan didefinisikan menggunakan file XML sepele, dengan file default ditemukan di /usr/lib/firewalld/services:

$  tree /usr/lib/firewalld/services
/usr/lib/firewalld/services
├── amanda-client.xml
├── bacula-client.xml
├── bacula.xml
├── dhcpv6-client.xml
├── dhcpv6.xml
├── dhcp.xml
├── dns.xml
├── freeipa-ldaps.xml
├── freeipa-ldap.xml
├── freeipa-replication.xml
├── ftp.xml
├── high-availability.xml
├── https.xml
├── http.xml
...

Cara termudah untuk membuat layanan baru adalah menyalin salah satu file layanan yang ada ini dan memodifikasinya. Layanan khusus harus berada di /etc/firewalld/services. Misalnya, untuk menyesuaikan layanan SSH:

$ cp /usr/lib/firewalld/services/ssh.xml /etc/firewalld/services/ssh-custom.xml

Isi dari file yang disalin ini akan terlihat seperti:

$ cat /etc/firewalld/services/ssh-custom.xml
<?xml version="1.0" encoding="utf-8"?>
<service>
  <short>SSH</short>
  <description>Secure Shell (SSH) is a protocol for logging into and executing commands on remote machines. It provides secure encrypted communications. If you plan on accessing your machine remotely via SSH over a firewalled interface, enable this option. You need the openssh-server package installed for this option to be useful.</description>
  <port protocol="tcp" port="22"/>
</service>

Untuk mengubah port, Anda harus mengubah nama pendek untuk layanan, dan port. Anda juga dapat mengubah uraian jika diinginkan, tetapi ini hanya metadata tambahan yang dapat digunakan oleh antarmuka pengguna atau aplikasi lain. Dalam contoh ini, saya mengubah porta ke 1234:

$ nano /etc/firewalld/services/ssh-custom.xml
<?xml version="1.0" encoding="utf-8"?>
<service>
  <short>SSH-Custom</short>
  <description>Secure Shell (SSH) is a protocol for logging into and executing commands on remote machines. It provides secure encrypted communications. If you plan on accessing your machine remotely via SSH over a firewalled interface, enable this option. You need the openssh-server package installed for this option to be useful.</description>
  <port protocol="tcp" port="1234"/>
</service>

Setelah disimpan, Anda harus memuat ulang firewall dan kemudian Anda dapat menerapkan aturan Anda ke zona Anda:

$ firewall-cmd --reload
success

$ firewall-cmd --permanent --zone=public --add-service=ssh-custom
success

Manajemen pelabuhan

Selain menggunakan layanan, Anda juga dapat secara manual mengizinkan port dengan protokol. Untuk mengizinkan port TCP 7777untuk publiczona:

$ firewall-cmd --permanent --zone=public --add-port=7777/tcp
success

Anda juga dapat menambahkan rentang port:

$ firewall-cmd --permanent --zone=public --add-port=7000-8000/tcp
success

Untuk menghapus (dan dengan demikian menolak) port TCP 7777untuk publiczona:

$ firewall-cmd --permanent --zone=public --remove-port=7777/tcp
success

Anda juga dapat mencantumkan port yang saat ini diizinkan untuk zona tertentu ( public) setelah memuat ulang sesi firewall saat ini:

$ firewall-cmd --zone=public --list-ports
7000-8000/tcp

Mengaktifkan FirewallD

Setelah Anda mengkonfigurasi firewall sesuai dengan keinginan Anda, Anda harus memastikan untuk mengaktifkannya melalui systemd untuk memastikannya dimulai saat startup:

$ systemctl enable firewalld

Kesimpulan

Ada banyak lebih banyak pengaturan dan opsi dalam FirewallD, seperti port forwarding, penyamaran dan komunikasi dengan firewall melalui D-Bus. Semoga panduan ini telah membantu Anda memahami dasar-dasarnya dan telah memberi Anda alat untuk memulai dengan firewall dari server Anda. Beberapa bacaan tambahan di bawah ini akan membantu Anda memaksimalkan firewall Anda.

• Menggunakan Fail2ban dengan FirewallD - Fedora Wiki
• FirewallD - Fedora Wiki
• Pengantar FirewallD - Panduan Keamanan RedHat 7