Использование FirewallD для управления брандмауэром в CentOS 7

• Управляющие услуги
• Управление портами
• Включение FirewallD
• Вывод

FirewallD - это динамически управляемый межсетевой экран, который поддерживает правила межсетевого экрана IPv4 и IPv6 и зоны межсетевого экрана, доступные на серверах на основе RHEL 7. Это прямая замена iptablesи работает с netfilterкодом ядра .

В этой статье мы кратко рассмотрим управление брандмауэром в CentOS 7 с помощью firewall-cmdкоманды.

Проверка, работает ли FirewallD

Первый шаг - проверить, установлен ли и работает ли FirewallD. Это можно сделать с помощью systemdследующего:

$ systemctl status firewalld
● firewalld.service - firewalld - dynamic firewall daemon
   Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled; vendor preset: enabled)
   Active: active (running) since Thu 2016-03-10 15:07:00 UTC; 1min 30s ago
   ...

Кроме того, вы можете проверить с помощью firewall-cmdинструмента:

$ firewall-cmd --state
running

Управление зонами

FirewallD использует концепцию, в zonesкоторой зона определяет уровень доверия, используемый для соединения. Вы можете разделить различные сетевые интерфейсы на разные зоны, чтобы применять определенные правила брандмауэра для каждого интерфейса, или вы можете использовать одну зону для всех интерфейсов.

Из коробки все сделано в publicзоне по умолчанию , но есть несколько других предварительно настроенных зон, которые также могут быть применены.

Перечисление всех доступных зон

Вам может понадобиться получить список всех доступных зон, из которых есть несколько из коробки. Опять же, это можно сделать с помощью firewall-cmd:

$ firewall-cmd --get-zones
block dmz drop external home internal public trusted work

Проверка зоны по умолчанию

Вы можете обнаружить зону по умолчанию, которая в данный момент настроена, используя firewall-cmd:

$ firewall-cmd --get-default-zone
public

Если вы хотите изменить зону по умолчанию (например, на home), это можно сделать, выполнив:

$ firewall-cmd --set-default-zone=home
success

Эта информация будет отражена в основном файле конфигурации /etc/firewalld/firewalld.conf. Тем не менее, рекомендуется не изменять этот файл вручную, а использовать firewall-cmd.

Проверка текущих назначенных зон

Вы можете получить список зон, которым назначены интерфейсы, выполнив:

$ firewall-cmd --get-active-zones
public
  interfaces: eth0

Вы также можете проверить зону одного интерфейса ( eth0в данном случае), запустив:

$  firewall-cmd --get-zone-of-interface=eth0
public

Создание зон

Если предварительно сконфигурированные зоны по умолчанию не совсем соответствуют вашим потребностям, самый простой способ создать новую зону ( zone1) снова через firewall-cmd:

$ firewall-cmd --permanent --new-zone=zone1
success

После создания вам необходимо перезагрузить:

$ firewall-cmd --reload
success

Применение зоны к интерфейсу

Для того , чтобы постоянно назначить сетевой интерфейс к зоне, вы можете использовать , firewall-cmdхотя не забудьте включить --permanentфлаг упорствовать изменения. При использовании NetworkManager, вы также должны обязательно использовать nmcliдля установки зоны подключения.

$ firewall-cmd --permanent --zone=internal --change-interface=eth1`
success

Получение постоянной конфигурации зоны

Чтобы проверить постоянную конфигурацию зоны ( publicв этом случае), включая назначенные интерфейсы, разрешенные службы, настройки порта и многое другое, выполните:

$ firewall-cmd --permanent --zone=public --list-all
public (default)
  interfaces:
  sources:
  services: dhcpv6-client ssh
  ports:
  masquerade: no
  forward-ports:
  icmp-blocks:
  rich rules:

Управляющие услуги

После того, как вы назначили и настроили необходимые зоны, вы можете начать добавлять службы в зоны. Службы описывают протоколы и порты, к которым можно получить доступ для зоны.

Список существующих сервисов

Ряд общих служб предварительно настроен в firewalld. Они могут быть перечислены:

$ firewall-cmd --get-services
RH-Satellite-6 amanda-client bacula bacula-client dhcp dhcpv6 dhcpv6-client dns freeipa-ldap freeipa-ldaps freeipa-replication ftp high-availability http https imaps ipp ipp-client ipsec iscsi-target kerberos kpasswd ldap ldaps libvirt libvirt-tls mdns mountd ms-wbt mysql nfs ntp openvpn pmcd pmproxy pmwebapi pmwebapis pop3s postgresql proxy-dhcp radius rpc-bind rsyncd samba samba-client smtp ssh telnet tftp tftp-client transmission-client vdsm vnc-server wbem-https

Вы также можете получить список служб, включенных для зоны по умолчанию:

$ firewall-cmd --list-services
dhcpv6-client ssh

Добавление сервиса в зону

Вы можете включить данный сервис для зоны ( public) постоянно, используя --add-serviceфлаг:

$ firewall-cmd --permanent --zone=public --add-service=http
success

А затем перезагрузите текущий сеанс брандмауэра:

$ firewall-cmd --reload
success

Затем для проверки было добавлено:

$ firewall-cmd --zone=public --list-services
dhcpv6-client http ssh

Удаление услуги из зоны

Вы можете удалить данный сервис для зоны ( public) навсегда, используя --remove-serviceфлаг:

$ firewall-cmd --permanent --zone=public --remove-service=http
success

А затем перезагрузите текущий сеанс брандмауэра:

$ firewall-cmd --reload
success

Затем для проверки было добавлено:

$ firewall-cmd --zone=public --list-services
dhcpv6-client ssh

Добавление / удаление нескольких сервисов из зоны

Вы можете добавить или удалить несколько служб (например, httpи https) из зоны по одному или сразу, заключив нужные имена служб в фигурные скобки ( {, }):

$ firewall-cmd --permanent --zone=public --add-service=
success

$ firewall-cmd --permanent --zone=public --list-services
dhcpv6-client http https ssh

Создание новых сервисов

Иногда вам может понадобиться добавить новые пользовательские службы - например, если вы изменили порт для демона SSH. Сервисы определяются с использованием простых XML-файлов, файлы по умолчанию находятся в /usr/lib/firewalld/services:

$  tree /usr/lib/firewalld/services
/usr/lib/firewalld/services
├── amanda-client.xml
├── bacula-client.xml
├── bacula.xml
├── dhcpv6-client.xml
├── dhcpv6.xml
├── dhcp.xml
├── dns.xml
├── freeipa-ldaps.xml
├── freeipa-ldap.xml
├── freeipa-replication.xml
├── ftp.xml
├── high-availability.xml
├── https.xml
├── http.xml
...

Самый простой способ создать новый сервис - это скопировать один из этих существующих сервисных файлов и изменить его. Таможенные услуги должны находиться в /etc/firewalld/services. Например, чтобы настроить службу SSH:

$ cp /usr/lib/firewalld/services/ssh.xml /etc/firewalld/services/ssh-custom.xml

Содержимое этого скопированного файла должно выглядеть следующим образом:

$ cat /etc/firewalld/services/ssh-custom.xml
<?xml version="1.0" encoding="utf-8"?>
<service>
  <short>SSH</short>
  <description>Secure Shell (SSH) is a protocol for logging into and executing commands on remote machines. It provides secure encrypted communications. If you plan on accessing your machine remotely via SSH over a firewalled interface, enable this option. You need the openssh-server package installed for this option to be useful.</description>
  <port protocol="tcp" port="22"/>
</service>

Для того, чтобы изменить порт, вы должны изменить краткое имя службы и порт. Вы также можете изменить описание, если хотите, но это просто дополнительные метаданные, которые могут использоваться пользовательским интерфейсом или другим приложением. В этом примере я меняю порт на 1234:

$ nano /etc/firewalld/services/ssh-custom.xml
<?xml version="1.0" encoding="utf-8"?>
<service>
  <short>SSH-Custom</short>
  <description>Secure Shell (SSH) is a protocol for logging into and executing commands on remote machines. It provides secure encrypted communications. If you plan on accessing your machine remotely via SSH over a firewalled interface, enable this option. You need the openssh-server package installed for this option to be useful.</description>
  <port protocol="tcp" port="1234"/>
</service>

После сохранения вам потребуется перезагрузить брандмауэр, а затем вы можете применить свое правило к своей зоне:

$ firewall-cmd --reload
success

$ firewall-cmd --permanent --zone=public --add-service=ssh-custom
success

Управление портами

Помимо использования служб, вы также можете вручную разрешить порты по протоколу. Чтобы разрешить порт TCP 7777для publicзоны:

$ firewall-cmd --permanent --zone=public --add-port=7777/tcp
success

Вы также можете добавить диапазон портов:

$ firewall-cmd --permanent --zone=public --add-port=7000-8000/tcp
success

Чтобы удалить (и, следовательно, запретить) порт TCP 7777для publicзоны:

$ firewall-cmd --permanent --zone=public --remove-port=7777/tcp
success

Вы также можете перечислить разрешенные на данный момент порты для данной зоны ( public) после перезагрузки текущего сеанса брандмауэра:

$ firewall-cmd --zone=public --list-ports
7000-8000/tcp

Включение FirewallD

После того, как вы настроили брандмауэр по своему вкусу, вы должны обязательно включить его через systemd, чтобы обеспечить его запуск при запуске:

$ systemctl enable firewalld

Вывод

В FirewallD намного больше настроек и опций, таких как переадресация портов, маскировка и связь с брандмауэром через D-Bus. Надеемся, что это руководство помогло вам понять основы и дало вам инструменты для начала работы с брандмауэром на вашем сервере. Некоторое дополнительное чтение ниже поможет вам получить максимальную отдачу от вашего брандмауэра.

• Использование Fail2ban с FirewallD - Fedora Wiki
• FirewallD - Fedora Wiki
• Введение в FirewallD - Руководство по безопасности RedHat 7