Utilizarea FirewallD pentru a vă gestiona firewall-ul pe CentOS 7

• Gestionarea serviciilor
• Managementul portului
• Activarea FirewallD
• Concluzie

FirewallD este un firewall gestionat dinamic, care oferă suport pentru regulile de firewall IPv4 și IPv6 și zonele de firewall care sunt disponibile pe serverele bazate pe RHEL 7. Este un înlocuitor direct pentru iptablesși funcționează cu netfiltercodul nucleului .

În acest articol va arunca o scurtă privire la gestionarea firewallului pe CentOS 7 folosind firewall-cmdcomanda.

Verifică dacă FirewallD rulează

Primul pas este să verificați dacă FirewallD este instalat și rulat. Acest lucru se poate face prin systemdrularea următoarelor:

$ systemctl status firewalld
● firewalld.service - firewalld - dynamic firewall daemon
   Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled; vendor preset: enabled)
   Active: active (running) since Thu 2016-03-10 15:07:00 UTC; 1min 30s ago
   ...

Alternativ, puteți verifica folosind firewall-cmdinstrumentul:

$ firewall-cmd --state
running

Gestionarea zonelor

FirewallD funcționează folosind conceptul de locație în zonescare o zonă a definit nivelul de încredere utilizat pentru o conexiune. Puteți împărți diferite interfețe de rețea în zone diferite pentru a aplica reguli firewall specifice pe interfață sau puteți utiliza o singură zonă pentru toate interfețele.

În afara cutiei, totul este realizat în publiczona implicită , dar există și alte câteva zone preconfigurate care pot fi aplicate și ele.

Listarea tuturor zonelor disponibile

Este posibil să fie nevoie să obțineți o listă cu toate zonele disponibile, dintre care există mai multe din cutie. Din nou, acest lucru se poate face folosind firewall-cmd:

$ firewall-cmd --get-zones
block dmz drop external home internal public trusted work

Verificarea zonei implicite

Puteți descoperi zona implicită configurată în prezent folosind firewall-cmd:

$ firewall-cmd --get-default-zone
public

Dacă doriți să modificați zona implicită (de exemplu, la home), acest lucru se poate realiza rulând:

$ firewall-cmd --set-default-zone=home
success

Aceste informații vor fi reflectate în fișierul principal de configurare /etc/firewalld/firewalld.conf,. Cu toate acestea, se recomandă să nu modificați manual acest fișier și să le utilizați în schimb firewall-cmd.

Verificarea zonelor alocate în prezent

Puteți obține o listă cu zonele la care aveți interfețe alocate rulând:

$ firewall-cmd --get-active-zones
public
  interfaces: eth0

Puteți verifica, de asemenea, zona unei singure interfețe ( eth0în acest caz) rulând:

$  firewall-cmd --get-zone-of-interface=eth0
public

Crearea zonelor

Dacă zonele prestabilite prestabilite nu se potrivesc destul de bine cu nevoile dvs., cel mai simplu mod de a crea o nouă zonă ( zone1) este din nou prin firewall-cmd:

$ firewall-cmd --permanent --new-zone=zone1
success

După creare, trebuie să reîncărcați:

$ firewall-cmd --reload
success

Aplicarea unei zone pe o interfață

Pentru a atribui permanent o interfață de rețea unei zone, puteți utiliza, firewall-cmddeși amintiți-vă să includeți --permanentsteagul pentru a persista modificarea. Dacă utilizați NetworkManager, trebuie să utilizați , de asemenea, nmclisetarea zonei de conectare.

$ firewall-cmd --permanent --zone=internal --change-interface=eth1`
success

Obținerea configurației permanente a unei zone

Pentru a verifica configurația permanentă a unei zone ( publicîn acest caz), inclusiv interfețele atribuite, serviciile permise, setările portului și multe altele, executați:

$ firewall-cmd --permanent --zone=public --list-all
public (default)
  interfaces:
  sources:
  services: dhcpv6-client ssh
  ports:
  masquerade: no
  forward-ports:
  icmp-blocks:
  rich rules:

Gestionarea serviciilor

După ce ați alocat și configurați zonele dorite, puteți începe să adăugați servicii la zone. Serviciile descriu protocoalele și porturile care pot fi accesate pentru o zonă.

Listarea serviciilor existente

O serie de servicii comune sunt pre-configurate în firewalld. Acestea pot fi enumerate:

$ firewall-cmd --get-services
RH-Satellite-6 amanda-client bacula bacula-client dhcp dhcpv6 dhcpv6-client dns freeipa-ldap freeipa-ldaps freeipa-replication ftp high-availability http https imaps ipp ipp-client ipsec iscsi-target kerberos kpasswd ldap ldaps libvirt libvirt-tls mdns mountd ms-wbt mysql nfs ntp openvpn pmcd pmproxy pmwebapi pmwebapis pop3s postgresql proxy-dhcp radius rpc-bind rsyncd samba samba-client smtp ssh telnet tftp tftp-client transmission-client vdsm vnc-server wbem-https

Puteți obține, de asemenea, o listă a serviciilor activate pentru zona implicită:

$ firewall-cmd --list-services
dhcpv6-client ssh

Adăugarea unui serviciu într-o zonă

Puteți activa un serviciu dat pentru o zonă ( public) folosind permanent --add-servicesteagul:

$ firewall-cmd --permanent --zone=public --add-service=http
success

Și apoi reîncărcați sesiunea de firewall curentă:

$ firewall-cmd --reload
success

Apoi, pentru a verifica a fost adăugat:

$ firewall-cmd --zone=public --list-services
dhcpv6-client http ssh

Scoaterea unui serviciu dintr-o zonă

Puteți elimina un serviciu dat pentru o zonă ( public) permanent folosind --remove-servicesteagul:

$ firewall-cmd --permanent --zone=public --remove-service=http
success

Și apoi reîncărcați sesiunea de firewall curentă:

$ firewall-cmd --reload
success

Apoi, pentru a verifica a fost adăugat:

$ firewall-cmd --zone=public --list-services
dhcpv6-client ssh

Adăugarea / eliminarea mai multor servicii dintr-o zonă

Puteți adăuga sau elimina mai multe servicii (de exemplu, httpși https) dintr-o zonă, fie unul câte unul, fie toate simultan, înglobând numele de servicii dorite în bretele cret ( {, }):

$ firewall-cmd --permanent --zone=public --add-service=
success

$ firewall-cmd --permanent --zone=public --list-services
dhcpv6-client http https ssh

Crearea de noi servicii

Uneori poate fi necesar să adăugați noi servicii personalizate - de exemplu, dacă ați modificat portul pentru demonul SSH. Serviciile sunt definite folosind fișiere XML banale, fișierele implicite găsindu-se în /usr/lib/firewalld/services:

$  tree /usr/lib/firewalld/services
/usr/lib/firewalld/services
├── amanda-client.xml
├── bacula-client.xml
├── bacula.xml
├── dhcpv6-client.xml
├── dhcpv6.xml
├── dhcp.xml
├── dns.xml
├── freeipa-ldaps.xml
├── freeipa-ldap.xml
├── freeipa-replication.xml
├── ftp.xml
├── high-availability.xml
├── https.xml
├── http.xml
...

Cel mai simplu mod de a crea un nou serviciu este de a copia unul dintre aceste fișiere de servicii existente și de a-l modifica. Serviciile personalizate ar trebui să aibă loc /etc/firewalld/services. De exemplu, pentru a personaliza serviciul SSH:

$ cp /usr/lib/firewalld/services/ssh.xml /etc/firewalld/services/ssh-custom.xml

Conținutul acestui fișier copiat ar trebui să arate astfel:

$ cat /etc/firewalld/services/ssh-custom.xml
<?xml version="1.0" encoding="utf-8"?>
<service>
  <short>SSH</short>
  <description>Secure Shell (SSH) is a protocol for logging into and executing commands on remote machines. It provides secure encrypted communications. If you plan on accessing your machine remotely via SSH over a firewalled interface, enable this option. You need the openssh-server package installed for this option to be useful.</description>
  <port protocol="tcp" port="22"/>
</service>

Pentru a schimba portul, ar trebui să schimbați numele scurt pentru serviciu și port. De asemenea, puteți modifica descrierea dacă doriți, dar aceasta este doar metadate suplimentare care ar putea fi utilizate de o interfață de utilizator sau o altă aplicație. În acest exemplu, schimb portul la 1234:

$ nano /etc/firewalld/services/ssh-custom.xml
<?xml version="1.0" encoding="utf-8"?>
<service>
  <short>SSH-Custom</short>
  <description>Secure Shell (SSH) is a protocol for logging into and executing commands on remote machines. It provides secure encrypted communications. If you plan on accessing your machine remotely via SSH over a firewalled interface, enable this option. You need the openssh-server package installed for this option to be useful.</description>
  <port protocol="tcp" port="1234"/>
</service>

Odată salvat, va trebui să reîncărcați firewallul și apoi puteți aplica regula dvs. în zona dvs.:

$ firewall-cmd --reload
success

$ firewall-cmd --permanent --zone=public --add-service=ssh-custom
success

Managementul portului

Pe lângă utilizarea serviciilor, puteți permite manual și porturile prin protocol. Pentru a permite portul TCP 7777pentru publiczonă:

$ firewall-cmd --permanent --zone=public --add-port=7777/tcp
success

Puteți adăuga, de asemenea, o gamă de porturi:

$ firewall-cmd --permanent --zone=public --add-port=7000-8000/tcp
success

Pentru a elimina (și astfel a nega) portul TCP 7777pentru publiczonă:

$ firewall-cmd --permanent --zone=public --remove-port=7777/tcp
success

De asemenea, puteți enumera porturile permise în prezent pentru o anumită zonă ( public) după încărcarea sesiunii de firewall curente:

$ firewall-cmd --zone=public --list-ports
7000-8000/tcp

Activarea FirewallD

După ce ați configurat firewall-ul după bunul plac, trebuie să vă asigurați că îl activați prin sistemd pentru a vă asigura că începe la pornire:

$ systemctl enable firewalld

Concluzie

Există mult mai multe setări și opțiuni în FirewallD, cum ar fi redirecționarea porturilor, masquerading și comunicarea cu firewall-ul prin D-Bus. Sperăm că acest ghid v-a ajutat să înțelegeți elementele de bază și v-a oferit instrumentele pentru a începe cu firewalling-ul de pe server. Următoarele lecturi suplimentare vă vor ajuta să beneficiați la maxim de firewall.

• Folosirea Fail2ban cu FirewallD - Fedora Wiki
• FirewallD - Fedora Wiki
• Introducere în FirewallD - Ghid de securitate RedHat 7