Použití FirewallD ke správě vašeho Firewallu na CentOS 7

FirewallD je dynamicky spravovaná brána firewall, která poskytuje podporu pro pravidla brány firewall IPv4 a IPv6 a zóny brány firewall, která je dostupná na serverech založených na RHEL 7. Je přímou náhradou kódu iptablesjádra a pracuje s ním netfilter.

V tomto článku se krátce podíváme na správu brány firewall na CentOS 7 pomocí firewall-cmdpříkazu.

Kontrola, zda běží FirewallD

Prvním krokem je zkontrolovat, zda je nainstalován a spuštěn FirewallD. To lze provést systemdspuštěním následujícího:

$ systemctl status firewalld
● firewalld.service - firewalld - dynamic firewall daemon
   Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled; vendor preset: enabled)
   Active: active (running) since Thu 2016-03-10 15:07:00 UTC; 1min 30s ago
   ...

Případně můžete zkontrolovat pomocí firewall-cmdnástroje:

$ firewall-cmd --state
running

Správa zón

FirewallD funguje na základě konceptu, zoneskde zóna definovala úroveň důvěryhodnosti používanou pro připojení. Různá síťová rozhraní můžete rozdělit do různých zón, abyste mohli na každé rozhraní aplikovat specifická pravidla brány firewall, nebo můžete použít jednu zónu pro všechna rozhraní.

Po vybalení se vše provádí ve výchozí publiczóně, ale existuje několik dalších předkonfigurovaných zón, které lze také použít.

Výpis všech dostupných zón

Možná budete muset získat seznam všech dostupných zón, kterých je hned několik. Opět to lze provést pomocí firewall-cmd:

$ firewall-cmd --get-zones
block dmz drop external home internal public trusted work

Kontrola výchozí zóny

Výchozí zónu, která je aktuálně nakonfigurována, můžete zjistit pomocí firewall-cmd:

$ firewall-cmd --get-default-zone
public

Pokud chcete změnit výchozí zónu (například na home), lze to provést spuštěním:

$ firewall-cmd --set-default-zone=home
success

Tyto informace se projeví v hlavním konfiguračním souboru /etc/firewalld/firewalld.conf. Nicméně se doporučuje, abyste tento soubor ručně neupravovali a místo toho používali firewall-cmd.

Kontrola aktuálně přiřazených zón

Seznam zón, ke kterým máte přiřazena rozhraní, získáte spuštěním:

$ firewall-cmd --get-active-zones
public
  interfaces: eth0

Můžete také zkontrolovat zónu jednoho rozhraní ( eth0v tomto případě) spuštěním:

$  firewall-cmd --get-zone-of-interface=eth0
public

Vytváření zón

Pokud výchozí předkonfigurované zóny zcela nevyhovují vašim potřebám, nejjednodušší způsob vytvoření nové zóny ( zone1) je opět přes firewall-cmd:

$ firewall-cmd --permanent --new-zone=zone1
success

Po vytvoření je třeba znovu načíst:

$ firewall-cmd --reload
success

Použití zóny na rozhraní

Chcete-li trvale přiřadit síťové rozhraní k zóně, můžete použít firewall-cmdi když nezapomeňte zahrnout --permanentpříznak, aby změna trvala. Pokud používáte NetworkManager, měli byste také použít nmclik nastavení zóny připojení.

$ firewall-cmd --permanent --zone=internal --change-interface=eth1`
success

Získání trvalé konfigurace zóny

Chcete-li zkontrolovat trvalou konfiguraci zóny ( publicv tomto případě) včetně přiřazených rozhraní, povolených služeb, nastavení portů a dalších, spusťte:

$ firewall-cmd --permanent --zone=public --list-all
public (default)
  interfaces:
  sources:
  services: dhcpv6-client ssh
  ports:
  masquerade: no
  forward-ports:
  icmp-blocks:
  rich rules:

Správa služeb

Jakmile přiřadíte a nakonfigurujete požadované zóny, můžete do zón přidávat služby. Služby popisují protokoly a porty, ke kterým lze pro zónu přistupovat.

Výpis stávajících služeb

V rámci firewallu je předem nakonfigurována řada běžných služeb. Tyto mohou být uvedeny:

$ firewall-cmd --get-services
RH-Satellite-6 amanda-client bacula bacula-client dhcp dhcpv6 dhcpv6-client dns freeipa-ldap freeipa-ldaps freeipa-replication ftp high-availability http https imaps ipp ipp-client ipsec iscsi-target kerberos kpasswd ldap ldaps libvirt libvirt-tls mdns mountd ms-wbt mysql nfs ntp openvpn pmcd pmproxy pmwebapi pmwebapis pop3s postgresql proxy-dhcp radius rpc-bind rsyncd samba samba-client smtp ssh telnet tftp tftp-client transmission-client vdsm vnc-server wbem-https

Můžete také získat seznam služeb povolených pro výchozí zónu:

$ firewall-cmd --list-services
dhcpv6-client ssh

Přidání služby do zóny

Danou službu pro zónu ( public) můžete povolit trvale pomocí --add-servicepříznaku:

$ firewall-cmd --permanent --zone=public --add-service=http
success

A poté znovu načtěte aktuální relaci brány firewall:

$ firewall-cmd --reload
success

Poté bylo pro ověření přidáno:

$ firewall-cmd --zone=public --list-services
dhcpv6-client http ssh

Odebrání služby ze zóny

Danou službu pro zónu ( public) můžete trvale odebrat pomocí --remove-servicepříznaku:

$ firewall-cmd --permanent --zone=public --remove-service=http
success

A poté znovu načtěte aktuální relaci brány firewall:

$ firewall-cmd --reload
success

Poté bylo pro ověření přidáno:

$ firewall-cmd --zone=public --list-services
dhcpv6-client ssh

Přidání/odebrání více služeb ze zóny

Můžete přidat nebo odebrat více služeb (například httpa https) ze zóny buď jednu po druhé, nebo všechny najednou zabalením požadovaných názvů služeb do složených závorek ( {, }):

$ firewall-cmd --permanent --zone=public --add-service=
success

$ firewall-cmd --permanent --zone=public --list-services
dhcpv6-client http https ssh

Vytváření nových služeb

Někdy může být potřeba přidat nové vlastní služby – například pokud jste změnili port pro démona SSH. Služby jsou definovány pomocí triviálních souborů XML, přičemž výchozí soubory se nacházejí v /usr/lib/firewalld/services:

$  tree /usr/lib/firewalld/services
/usr/lib/firewalld/services
├── amanda-client.xml
├── bacula-client.xml
├── bacula.xml
├── dhcpv6-client.xml
├── dhcpv6.xml
├── dhcp.xml
├── dns.xml
├── freeipa-ldaps.xml
├── freeipa-ldap.xml
├── freeipa-replication.xml
├── ftp.xml
├── high-availability.xml
├── https.xml
├── http.xml
...

Nejjednodušší způsob, jak vytvořit novou službu, je zkopírovat jeden z těchto existujících souborů služby a upravit jej. Vlastní služby by měly sídlit v /etc/firewalld/services. Chcete-li například přizpůsobit službu SSH:

$ cp /usr/lib/firewalld/services/ssh.xml /etc/firewalld/services/ssh-custom.xml

Obsah tohoto zkopírovaného souboru by měl vypadat takto:

$ cat /etc/firewalld/services/ssh-custom.xml
<?xml version="1.0" encoding="utf-8"?>
<service>
  <short>SSH</short>
  <description>Secure Shell (SSH) is a protocol for logging into and executing commands on remote machines. It provides secure encrypted communications. If you plan on accessing your machine remotely via SSH over a firewalled interface, enable this option. You need the openssh-server package installed for this option to be useful.</description>
  <port protocol="tcp" port="22"/>
</service>

Chcete-li změnit port, měli byste změnit krátký název služby a port. Můžete také změnit popis, pokud si to přejete, ale toto jsou pouze další metadata, která by mohla být použita uživatelským rozhraním nebo jinou aplikací. V tomto příkladu měním port na 1234:

$ nano /etc/firewalld/services/ssh-custom.xml
<?xml version="1.0" encoding="utf-8"?>
<service>
  <short>SSH-Custom</short>
  <description>Secure Shell (SSH) is a protocol for logging into and executing commands on remote machines. It provides secure encrypted communications. If you plan on accessing your machine remotely via SSH over a firewalled interface, enable this option. You need the openssh-server package installed for this option to be useful.</description>
  <port protocol="tcp" port="1234"/>
</service>

Po uložení budete muset znovu načíst firewall a poté můžete pravidlo aplikovat na svou zónu:

$ firewall-cmd --reload
success

$ firewall-cmd --permanent --zone=public --add-service=ssh-custom
success

Správa přístavů

Kromě používání služeb můžete také ručně povolit porty podle protokolu. Chcete-li povolit port TCP 7777pro publiczónu:

$ firewall-cmd --permanent --zone=public --add-port=7777/tcp
success

Můžete také přidat rozsah portů:

$ firewall-cmd --permanent --zone=public --add-port=7000-8000/tcp
success

Chcete-li odebrat (a tím zakázat) port TCP 7777pro publiczónu:

$ firewall-cmd --permanent --zone=public --remove-port=7777/tcp
success

Můžete také vypsat aktuálně povolené porty pro danou zónu ( public) po opětovném načtení aktuální relace brány firewall:

$ firewall-cmd --zone=public --list-ports
7000-8000/tcp

Povolení brány FirewallD

Jakmile nakonfigurujete bránu firewall podle svých představ, měli byste si být jisti, že ji povolíte přes systemd, abyste zajistili, že se spustí při spuštění:

$ systemctl enable firewalld

Závěr

FirewallD obsahuje mnohem více nastavení a možností, jako je přesměrování portů, maskování a komunikace s firewallem přes D-Bus. Doufejme, že vám tato příručka pomohla pochopit základy a poskytla vám nástroje, jak začít s firewallem mimo váš server. Některé další čtení níže vám pomůže vytěžit maximum z vašeho firewallu.

• Použití Fail2ban s FirewallD - Fedora Wiki
• FirewallD – Fedora Wiki
• Úvod do FirewallD - Průvodce zabezpečením RedHat 7