Używanie FirewallD do zarządzania firewallem w CentOS 7

• Zarządzanie usługami
• Zarządzanie portami
• Włączanie zapory sieciowej D.
• Wniosek

FirewallD to dynamicznie zarządzana zapora ogniowa, która zapewnia obsługę reguł zapory IPv4 i IPv6 oraz stref zapory, która jest dostępna na serwerach opartych na RHEL 7. Jest bezpośrednim zamiennikiem iptablesi działa z netfilterkodem jądra .

W tym artykule krótko omówimy zarządzanie zaporą w CentOS 7 za pomocą firewall-cmdpolecenia.

Sprawdzanie, czy FirewallD jest uruchomiony

Pierwszym krokiem jest sprawdzenie, czy FirewallD jest zainstalowany i uruchomiony. Można to zrobić systemd, uruchamiając:

$ systemctl status firewalld
● firewalld.service - firewalld - dynamic firewall daemon
   Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled; vendor preset: enabled)
   Active: active (running) since Thu 2016-03-10 15:07:00 UTC; 1min 30s ago
   ...

Możesz również sprawdzić za pomocą firewall-cmdnarzędzia:

$ firewall-cmd --state
running

Zarządzanie strefami

FirewallD działa w oparciu o koncepcję, w zonesktórej strefa określa poziom zaufania używany do połączenia. Możesz podzielić różne interfejsy sieciowe na różne strefy, aby zastosować określone reguły zapory dla każdego interfejsu lub możesz użyć jednej strefy dla wszystkich interfejsów.

Po wyjęciu z pudełka wszystko odbywa się w publicstrefie domyślnej , ale istnieje również kilka innych wstępnie skonfigurowanych stref, które można zastosować.

Lista wszystkich dostępnych stref

Może być konieczne uzyskanie listy wszystkich dostępnych stref, z których kilka jest dostępnych po wyjęciu z pudełka. Ponownie można to zrobić za pomocą firewall-cmd:

$ firewall-cmd --get-zones
block dmz drop external home internal public trusted work

Sprawdzanie domyślnej strefy

Możesz odkryć domyślną strefę, która jest obecnie skonfigurowana za pomocą firewall-cmd:

$ firewall-cmd --get-default-zone
public

Jeśli chcesz zmienić domyślną strefę (na przykład na home), możesz to zrobić, uruchamiając:

$ firewall-cmd --set-default-zone=home
success

Te informacje będą widoczne w głównym pliku konfiguracyjnym /etc/firewalld/firewalld.conf. Zaleca się jednak, aby nie modyfikować ręcznie tego pliku i zamiast tego używać firewall-cmd.

Sprawdzanie aktualnie przypisanych stref

Możesz uzyskać listę stref, do których masz przypisane interfejsy, uruchamiając:

$ firewall-cmd --get-active-zones
public
  interfaces: eth0

Możesz także sprawdzić strefę jednego interfejsu ( eth0w tym przypadku), uruchamiając:

$  firewall-cmd --get-zone-of-interface=eth0
public

Tworzenie stref

Jeśli domyślne wstępnie skonfigurowane strefy nie odpowiadają twoim potrzebom, najłatwiejszym sposobem utworzenia nowej strefy ( zone1) jest ponownie firewall-cmd:

$ firewall-cmd --permanent --new-zone=zone1
success

Po utworzeniu musisz ponownie załadować:

$ firewall-cmd --reload
success

Zastosowanie strefy do interfejsu

Aby na stałe przypisać interfejs sieciowy do linii, można użyć firewall-cmdchociaż należy pamiętać, aby zawierać --permanentflagę aby utrwalić zmianę. Jeśli używasz NetworkManager, powinieneś również użyć, nmcliaby ustawić strefę połączenia.

$ firewall-cmd --permanent --zone=internal --change-interface=eth1`
success

Uzyskanie stałej konfiguracji strefy

Aby sprawdzić stałą konfigurację strefy ( publicw tym przypadku), w tym przypisane interfejsy, dozwolone usługi, ustawienia portów i inne, uruchom:

$ firewall-cmd --permanent --zone=public --list-all
public (default)
  interfaces:
  sources:
  services: dhcpv6-client ssh
  ports:
  masquerade: no
  forward-ports:
  icmp-blocks:
  rich rules:

Zarządzanie usługami

Po przypisaniu i skonfigurowaniu wymaganych stref możesz rozpocząć dodawanie usług do stref. Usługi opisują protokoły i porty, do których można uzyskać dostęp dla strefy.

Lista istniejących usług

Wiele typowych usług jest wstępnie skonfigurowanych w firewalld. Można je wymienić:

$ firewall-cmd --get-services
RH-Satellite-6 amanda-client bacula bacula-client dhcp dhcpv6 dhcpv6-client dns freeipa-ldap freeipa-ldaps freeipa-replication ftp high-availability http https imaps ipp ipp-client ipsec iscsi-target kerberos kpasswd ldap ldaps libvirt libvirt-tls mdns mountd ms-wbt mysql nfs ntp openvpn pmcd pmproxy pmwebapi pmwebapis pop3s postgresql proxy-dhcp radius rpc-bind rsyncd samba samba-client smtp ssh telnet tftp tftp-client transmission-client vdsm vnc-server wbem-https

Możesz także uzyskać listę usług włączonych dla strefy domyślnej:

$ firewall-cmd --list-services
dhcpv6-client ssh

Dodanie usługi do strefy

Możesz włączyć daną usługę dla strefy ( public) na stałe, używając --add-serviceflagi:

$ firewall-cmd --permanent --zone=public --add-service=http
success

A następnie ponownie załaduj bieżącą sesję zapory:

$ firewall-cmd --reload
success

Następnie, aby sprawdzić, czy został dodany:

$ firewall-cmd --zone=public --list-services
dhcpv6-client http ssh

Usuwanie usługi ze strefy

Możesz usunąć daną usługę dla strefy ( public) na stałe, używając --remove-serviceflagi:

$ firewall-cmd --permanent --zone=public --remove-service=http
success

A następnie ponownie załaduj bieżącą sesję zapory:

$ firewall-cmd --reload
success

Następnie, aby sprawdzić, czy został dodany:

$ firewall-cmd --zone=public --list-services
dhcpv6-client ssh

Dodawanie / usuwanie wielu usług ze strefy

Możesz dodać lub usunąć wiele usług (na przykład httpi https) ze strefy albo pojedynczo, albo wszystkie naraz, zawijając pożądane nazwy usług w nawiasy klamrowe ( {, }):

$ firewall-cmd --permanent --zone=public --add-service=
success

$ firewall-cmd --permanent --zone=public --list-services
dhcpv6-client http https ssh

Tworzenie nowych usług

Czasami może być konieczne dodanie nowych niestandardowych usług - na przykład, jeśli zmieniłeś port demona SSH. Usługi są definiowane za pomocą trywialnych plików XML, przy czym domyślne pliki znajdują się w /usr/lib/firewalld/services:

$  tree /usr/lib/firewalld/services
/usr/lib/firewalld/services
├── amanda-client.xml
├── bacula-client.xml
├── bacula.xml
├── dhcpv6-client.xml
├── dhcpv6.xml
├── dhcp.xml
├── dns.xml
├── freeipa-ldaps.xml
├── freeipa-ldap.xml
├── freeipa-replication.xml
├── ftp.xml
├── high-availability.xml
├── https.xml
├── http.xml
...

Najłatwiejszym sposobem utworzenia nowej usługi jest skopiowanie jednego z istniejących plików usługi i zmodyfikowanie go. Usługi celne powinny znajdować się w /etc/firewalld/services. Na przykład, aby dostosować usługę SSH:

$ cp /usr/lib/firewalld/services/ssh.xml /etc/firewalld/services/ssh-custom.xml

Zawartość tego skopiowanego pliku powinna wyglądać następująco:

$ cat /etc/firewalld/services/ssh-custom.xml
<?xml version="1.0" encoding="utf-8"?>
<service>
  <short>SSH</short>
  <description>Secure Shell (SSH) is a protocol for logging into and executing commands on remote machines. It provides secure encrypted communications. If you plan on accessing your machine remotely via SSH over a firewalled interface, enable this option. You need the openssh-server package installed for this option to be useful.</description>
  <port protocol="tcp" port="22"/>
</service>

Aby zmienić port, należy zmienić krótką nazwę usługi i portu. Możesz także zmienić opis, jeśli chcesz, ale to tylko dodatkowe metadane, które mogą być używane przez interfejs użytkownika lub inną aplikację. W tym przykładzie zmieniam port na 1234:

$ nano /etc/firewalld/services/ssh-custom.xml
<?xml version="1.0" encoding="utf-8"?>
<service>
  <short>SSH-Custom</short>
  <description>Secure Shell (SSH) is a protocol for logging into and executing commands on remote machines. It provides secure encrypted communications. If you plan on accessing your machine remotely via SSH over a firewalled interface, enable this option. You need the openssh-server package installed for this option to be useful.</description>
  <port protocol="tcp" port="1234"/>
</service>

Po zapisaniu musisz ponownie załadować zaporę, a następnie możesz zastosować regułę do swojej strefy:

$ firewall-cmd --reload
success

$ firewall-cmd --permanent --zone=public --add-service=ssh-custom
success

Zarządzanie portami

Oprócz korzystania z usług można również ręcznie zezwolić na porty według protokołu. Aby zezwolić na port TCP 7777dla publicstrefy:

$ firewall-cmd --permanent --zone=public --add-port=7777/tcp
success

Możesz także dodać zakres portów:

$ firewall-cmd --permanent --zone=public --add-port=7000-8000/tcp
success

Aby usunąć (a tym samym odmówić) port TCP 7777dla publicstrefy:

$ firewall-cmd --permanent --zone=public --remove-port=7777/tcp
success

Możesz także wyświetlić listę obecnie dozwolonych portów dla danej strefy ( public) po przeładowaniu bieżącej sesji zapory:

$ firewall-cmd --zone=public --list-ports
7000-8000/tcp

Włączanie zapory sieciowej D.

Po skonfigurowaniu zapory ogniowej według własnych preferencji należy upewnić się, że została włączona przez systemd, aby mieć pewność, że uruchomi się przy starcie:

$ systemctl enable firewalld

Wniosek

Istnieje wiele innych ustawień i opcji w FirewallD, takich jak przekierowanie portów, maskarada i komunikacja z zaporą przez D-Bus. Mam nadzieję, że ten przewodnik pomógł ci jednak zrozumieć podstawy i dał ci narzędzia do rozpoczęcia firewalla poza serwerem. Dodatkowe informacje poniżej pomogą w pełni wykorzystać zaporę ogniową.

• Używanie Fail2ban z FirewallD - Fedora Wiki
• FirewallD - Wiki Fedory
• Wprowadzenie do FirewallD - Przewodnik bezpieczeństwa RedHat 7