FirewallD gebruiken om uw firewall op CentOS 7 te beheren

• Diensten beheren
• Havenbeheer
• Firewall inschakelen
• Gevolgtrekking

FirewallD is een dynamisch beheerde firewall die ondersteuning biedt voor IPv4- en IPv6-firewallregels en firewallzones die beschikbaar is op RHEL 7-gebaseerde servers. Het is een directe vervanging voor iptablesen werkt met de netfiltercode van de kernel .

In dit artikel wordt kort ingegaan op het beheren van de firewall op CentOS 7 met behulp van de firewall-cmdopdracht.

Controleren of FirewallD actief is

De eerste stap is om te controleren of FirewallD is geïnstalleerd en actief is. Dit kan gedaan worden systemddoor het volgende uit te voeren:

$ systemctl status firewalld
● firewalld.service - firewalld - dynamic firewall daemon
   Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled; vendor preset: enabled)
   Active: active (running) since Thu 2016-03-10 15:07:00 UTC; 1min 30s ago
   ...

U kunt ook controleren met behulp van de firewall-cmdtool:

$ firewall-cmd --state
running

Zones beheren

FirewallD werkt met het concept van zoneswaar een zone het vertrouwensniveau definieerde dat voor een verbinding wordt gebruikt. U kunt verschillende netwerkinterfaces opsplitsen in verschillende zones om specifieke firewallregels per interface toe te passen of u kunt één zone gebruiken voor alle interfaces.

Standaard publicwordt alles gedaan in de standaardzone , maar er zijn verschillende andere vooraf geconfigureerde zones die ook kunnen worden toegepast.

Lijst van alle beschikbare zones

Mogelijk moet u een lijst met alle beschikbare zones opvragen, waarvan er verschillende kant-en-klaar zijn. Nogmaals, dit kan worden gedaan met firewall-cmd:

$ firewall-cmd --get-zones
block dmz drop external home internal public trusted work

De standaardzone controleren

U kunt de standaardzone ontdekken die momenteel is geconfigureerd met firewall-cmd:

$ firewall-cmd --get-default-zone
public

Als u de standaardzone wilt wijzigen (bijvoorbeeld naar home), kunt u dit doen door te draaien:

$ firewall-cmd --set-default-zone=home
success

Deze informatie wordt weerspiegeld in het configuratie bestand /etc/firewalld/firewalld.conf. Het wordt echter aanbevolen om dit bestand niet handmatig te wijzigen en in plaats daarvan te gebruiken firewall-cmd.

De momenteel toegewezen zones controleren

U kunt een lijst krijgen met de zones waaraan u interfaces hebt toegewezen door te draaien:

$ firewall-cmd --get-active-zones
public
  interfaces: eth0

U kunt ook de zone van een enkele interface controleren ( eth0in dit geval) door te draaien:

$  firewall-cmd --get-zone-of-interface=eth0
public

Zones creëren

Als de standaard vooraf geconfigureerde zones niet helemaal aan uw behoeften voldoen, is de eenvoudigste manier om een ​​nieuwe zone ( zone1) te maken opnieuw via firewall-cmd:

$ firewall-cmd --permanent --new-zone=zone1
success

Na het aanmaken moet je herladen:

$ firewall-cmd --reload
success

Een zone toepassen op een interface

Om een netwerkinterface permanent aan een zone toe te wijzen, kunt u er firewall-cmdechter aan denken om de --permanentvlag op te nemen om de wijziging te behouden. Als u gebruikt NetworkManager, moet u ook zeker gebruiken nmcliom de verbindingszone in te stellen.

$ firewall-cmd --permanent --zone=internal --change-interface=eth1`
success

De permanente configuratie van een zone ophalen

Om de permanente configuratie van een zone ( publicin dit geval) te controleren, inclusief de toegewezen interfaces, toegestane services, poortinstellingen en meer, voer je uit:

$ firewall-cmd --permanent --zone=public --list-all
public (default)
  interfaces:
  sources:
  services: dhcpv6-client ssh
  ports:
  masquerade: no
  forward-ports:
  icmp-blocks:
  rich rules:

Diensten beheren

Nadat u uw vereiste zones hebt toegewezen en geconfigureerd, kunt u beginnen met het toevoegen van services aan zones. Services beschrijven de protocollen en poorten die toegankelijk zijn voor een zone.

Overzicht van bestaande services

Een aantal veelgebruikte services is vooraf geconfigureerd binnen firewalld. Deze kunnen worden vermeld:

$ firewall-cmd --get-services
RH-Satellite-6 amanda-client bacula bacula-client dhcp dhcpv6 dhcpv6-client dns freeipa-ldap freeipa-ldaps freeipa-replication ftp high-availability http https imaps ipp ipp-client ipsec iscsi-target kerberos kpasswd ldap ldaps libvirt libvirt-tls mdns mountd ms-wbt mysql nfs ntp openvpn pmcd pmproxy pmwebapi pmwebapis pop3s postgresql proxy-dhcp radius rpc-bind rsyncd samba samba-client smtp ssh telnet tftp tftp-client transmission-client vdsm vnc-server wbem-https

U kunt ook een lijst krijgen met de services die zijn ingeschakeld voor de standaardzone:

$ firewall-cmd --list-services
dhcpv6-client ssh

Een dienst aan een zone toevoegen

U kunt een bepaalde service voor een zone ( public) permanent inschakelen met behulp van de --add-servicevlag:

$ firewall-cmd --permanent --zone=public --add-service=http
success

En laad vervolgens de huidige firewallsessie opnieuw:

$ firewall-cmd --reload
success

Om vervolgens te controleren of het is toegevoegd:

$ firewall-cmd --zone=public --list-services
dhcpv6-client http ssh

Een service verwijderen uit een zone

U kunt een bepaalde service voor een zone ( public) permanent verwijderen met de --remove-servicevlag:

$ firewall-cmd --permanent --zone=public --remove-service=http
success

En laad vervolgens de huidige firewallsessie opnieuw:

$ firewall-cmd --reload
success

Om vervolgens te controleren of het is toegevoegd:

$ firewall-cmd --zone=public --list-services
dhcpv6-client ssh

Meerdere services toevoegen / verwijderen uit een zone

U kunt meerdere services (bijvoorbeeld httpen https) uit een zone toevoegen of verwijderen, één voor één of allemaal tegelijk door de gewenste servicenamen tussen accolades te wikkelen ( {, }):

$ firewall-cmd --permanent --zone=public --add-service=
success

$ firewall-cmd --permanent --zone=public --list-services
dhcpv6-client http https ssh

Nieuwe services creëren

Soms moet u mogelijk nieuwe aangepaste services toevoegen, bijvoorbeeld als u de poort voor de SSH-daemon hebt gewijzigd. Services worden gedefinieerd met triviale XML-bestanden, met de standaardbestanden in /usr/lib/firewalld/services:

$  tree /usr/lib/firewalld/services
/usr/lib/firewalld/services
├── amanda-client.xml
├── bacula-client.xml
├── bacula.xml
├── dhcpv6-client.xml
├── dhcpv6.xml
├── dhcp.xml
├── dns.xml
├── freeipa-ldaps.xml
├── freeipa-ldap.xml
├── freeipa-replication.xml
├── ftp.xml
├── high-availability.xml
├── https.xml
├── http.xml
...

De eenvoudigste manier om een ​​nieuwe service te maken, is door een van deze bestaande servicebestanden te kopiëren en deze aan te passen. Aangepaste services moeten zich bevinden in /etc/firewalld/services. Om bijvoorbeeld de SSH-service aan te passen:

$ cp /usr/lib/firewalld/services/ssh.xml /etc/firewalld/services/ssh-custom.xml

De inhoud van dit gekopieerde bestand zou er als volgt uit moeten zien:

$ cat /etc/firewalld/services/ssh-custom.xml
<?xml version="1.0" encoding="utf-8"?>
<service>
  <short>SSH</short>
  <description>Secure Shell (SSH) is a protocol for logging into and executing commands on remote machines. It provides secure encrypted communications. If you plan on accessing your machine remotely via SSH over a firewalled interface, enable this option. You need the openssh-server package installed for this option to be useful.</description>
  <port protocol="tcp" port="22"/>
</service>

Om de poort te wijzigen, moet u de korte naam voor de service en de poort wijzigen. U kunt desgewenst ook de beschrijving wijzigen, maar dit zijn slechts extra metagegevens die kunnen worden gebruikt door een gebruikersinterface of een andere toepassing. In dit voorbeeld verander ik de poort naar 1234:

$ nano /etc/firewalld/services/ssh-custom.xml
<?xml version="1.0" encoding="utf-8"?>
<service>
  <short>SSH-Custom</short>
  <description>Secure Shell (SSH) is a protocol for logging into and executing commands on remote machines. It provides secure encrypted communications. If you plan on accessing your machine remotely via SSH over a firewalled interface, enable this option. You need the openssh-server package installed for this option to be useful.</description>
  <port protocol="tcp" port="1234"/>
</service>

Eenmaal opgeslagen, moet u de firewall opnieuw laden en dan kunt u uw regel op uw zone toepassen:

$ firewall-cmd --reload
success

$ firewall-cmd --permanent --zone=public --add-service=ssh-custom
success

Havenbeheer

Naast het gebruik van services, kunt u poorten ook handmatig per protocol toestaan. Om de TCP-poort 7777voor de publiczone toe te staan:

$ firewall-cmd --permanent --zone=public --add-port=7777/tcp
success

U kunt ook een poortbereik toevoegen:

$ firewall-cmd --permanent --zone=public --add-port=7000-8000/tcp
success

Om de TCP-poort 7777voor de publiczone te verwijderen (en dus te weigeren) :

$ firewall-cmd --permanent --zone=public --remove-port=7777/tcp
success

U kunt ook de momenteel toegestane poorten voor een bepaalde zone ( public) weergeven na het opnieuw laden van de huidige firewallsessie:

$ firewall-cmd --zone=public --list-ports
7000-8000/tcp

Firewall inschakelen

Nadat u de firewall naar wens heeft geconfigureerd, moet u hem via systemd inschakelen om ervoor te zorgen dat deze bij het opstarten begint:

$ systemctl enable firewalld

Gevolgtrekking

Er zijn nog veel meer instellingen en opties binnen FirewallD, zoals port forwarding, maskerade en communicatie met de firewall via D-Bus. Hopelijk heeft deze gids je echter geholpen de basis te begrijpen en je de tools gegeven om aan de slag te gaan met firewalling vanaf je server. Met wat extra informatie hieronder kunt u het meeste uit uw firewall halen.

• Fail2ban gebruiken met FirewallD - Fedora Wiki
• FirewallD - Fedora Wiki
• Inleiding tot FirewallD - RedHat 7 Beveiligingsgids