FirewallD kasutamine tulemüüri haldamiseks operatsioonisüsteemis CentOS 7

FirewallD on dünaamiliselt hallatav tulemüür, mis toetab IPv4 ja IPv6 tulemüürireegleid ja tulemüüri tsoone, mis on saadaval RHEL 7-põhistes serverites. See asendab otse iptableskerneli netfilterkoodi ja töötab sellega .

Selles artiklis vaadeldakse põgusalt CentOS 7 tulemüüri haldamist firewall-cmdkäsu abil.

Kontrollige, kas FirewallD töötab

Esimene samm on kontrollida, kas FirewallD on installitud ja töötab. Seda saab teha systemd, käivitades järgmise käsu:

$ systemctl status firewalld
● firewalld.service - firewalld - dynamic firewall daemon
   Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled; vendor preset: enabled)
   Active: active (running) since Thu 2016-03-10 15:07:00 UTC; 1min 30s ago
   ...

Teise võimalusena saate kontrollida firewall-cmdtööriista abil:

$ firewall-cmd --state
running

Tsoonide haldamine

FirewallD kasutab kontseptsiooni, zoneskus tsoon määratleb ühenduse jaoks kasutatava usaldustaseme. Saate jagada erinevad võrguliidesed erinevateks tsoonideks, et rakendada liidese kohta konkreetseid tulemüürireegleid, või kasutada kõigi liideste jaoks ühte tsooni.

Karbist väljas tehakse kõik publicvaiketsoonis, kuid on ka mitmeid teisi eelkonfigureeritud tsoone, mida saab rakendada.

Kõigi saadaolevate tsoonide loend

Võimalik, et peate hankima loendi kõigist saadaolevatest tsoonidest, millest mitu on karbist väljas. Jällegi saab seda teha kasutades firewall-cmd:

$ firewall-cmd --get-zones
block dmz drop external home internal public trusted work

Vaikimisi tsooni kontrollimine

Praegu konfigureeritud vaiketsooni saate leida kasutades firewall-cmd:

$ firewall-cmd --get-default-zone
public

Kui soovite muuta vaikimisi tsooni (näiteks home), saate seda teha käivitades:

$ firewall-cmd --set-default-zone=home
success

See teave kajastub põhikonfiguratsioonifailis /etc/firewalld/firewalld.conf. Siiski on soovitatav seda faili käsitsi mitte muuta ja selle asemel kasutada firewall-cmd.

Hetkel määratud tsoonide kontrollimine

Saate hankida loendi tsoonidest, millele teil on liidesed määratud, käivitades:

$ firewall-cmd --get-active-zones
public
  interfaces: eth0

Samuti saate kontrollida ühe liidese tsooni ( eth0antud juhul), käivitades:

$  firewall-cmd --get-zone-of-interface=eth0
public

Tsoonide loomine

Kui vaikimisi eelseadistatud tsoonid ei vasta teie vajadustele, on lihtsaim viis uue tsooni ( zone1) loomiseks uuesti firewall-cmd:

$ firewall-cmd --permanent --new-zone=zone1
success

Pärast loomist peate uuesti laadima:

$ firewall-cmd --reload
success

Tsooni rakendamine liidesele

Et püsivalt määrata võrgu liides tsooni, mida saab kasutada firewall-cmd, kuigi mäletan, et lisada --permanentlipp püsivad muutused. Kui kasutate NetworkManager, peaksite kindlasti kasutama nmclika ühendustsooni määramiseks.

$ firewall-cmd --permanent --zone=internal --change-interface=eth1`
success

Tsooni püsiva konfiguratsiooni hankimine

Tsooni püsiva konfiguratsiooni ( publicantud juhul), sealhulgas määratud liideste, lubatud teenuste, pordi seadete ja muu kontrollimiseks, käivitage:

$ firewall-cmd --permanent --zone=public --list-all
public (default)
  interfaces:
  sources:
  services: dhcpv6-client ssh
  ports:
  masquerade: no
  forward-ports:
  icmp-blocks:
  rich rules:

Teenuste haldamine

Kui olete oma vajalikud tsoonid määranud ja konfigureerinud, saate alustada tsoonidele teenuste lisamist. Teenused kirjeldavad protokolle ja porte, millele tsooni jaoks juurde pääseb.

Olemasolevate teenuste loetelu

Mitmed levinud teenused on tulemüüris eelkonfigureeritud. Neid saab loetleda:

$ firewall-cmd --get-services
RH-Satellite-6 amanda-client bacula bacula-client dhcp dhcpv6 dhcpv6-client dns freeipa-ldap freeipa-ldaps freeipa-replication ftp high-availability http https imaps ipp ipp-client ipsec iscsi-target kerberos kpasswd ldap ldaps libvirt libvirt-tls mdns mountd ms-wbt mysql nfs ntp openvpn pmcd pmproxy pmwebapi pmwebapis pop3s postgresql proxy-dhcp radius rpc-bind rsyncd samba samba-client smtp ssh telnet tftp tftp-client transmission-client vdsm vnc-server wbem-https

Samuti saate vaadata vaiketsooni jaoks lubatud teenuste loendit:

$ firewall-cmd --list-services
dhcpv6-client ssh

Teenuse lisamine tsooni

Saate lubada antud teenuse tsooni ( public) jaoks püsivalt, kasutades --add-servicelippu:

$ firewall-cmd --permanent --zone=public --add-service=http
success

Seejärel laadige praegune tulemüüri seanss uuesti:

$ firewall-cmd --reload
success

Seejärel lisati selle kontrollimiseks:

$ firewall-cmd --zone=public --list-services
dhcpv6-client http ssh

Teenuse eemaldamine tsoonist

Saate tsooni ( public) jaoks antud teenuse jäädavalt eemaldada, kasutades --remove-servicelippu:

$ firewall-cmd --permanent --zone=public --remove-service=http
success

Seejärel laadige praegune tulemüüri seanss uuesti:

$ firewall-cmd --reload
success

Seejärel lisati selle kontrollimiseks:

$ firewall-cmd --zone=public --list-services
dhcpv6-client ssh

Mitme teenuse lisamine/eemaldamine tsoonist

Saate lisada või eemaldada tsoonist mitu teenust (nt httpja https) kas ükshaaval või kõik korraga, mähkides soovitud teenusenimed lokkis sulgudesse ( {, }):

$ firewall-cmd --permanent --zone=public --add-service=
success

$ firewall-cmd --permanent --zone=public --list-services
dhcpv6-client http https ssh

Uute teenuste loomine

Mõnikord peate võib-olla lisama uusi kohandatud teenuseid – näiteks kui olete muutnud SSH-deemoni porti. Teenused on määratletud triviaalsete XML-failide abil, kusjuures vaikefailid asuvad /usr/lib/firewalld/services:

$  tree /usr/lib/firewalld/services
/usr/lib/firewalld/services
├── amanda-client.xml
├── bacula-client.xml
├── bacula.xml
├── dhcpv6-client.xml
├── dhcpv6.xml
├── dhcp.xml
├── dns.xml
├── freeipa-ldaps.xml
├── freeipa-ldap.xml
├── freeipa-replication.xml
├── ftp.xml
├── high-availability.xml
├── https.xml
├── http.xml
...

Lihtsaim viis uue teenuse loomiseks on kopeerida üks olemasolevatest teenusefailidest ja muuta seda. Kohandatud teenused peaksid asuma /etc/firewalld/services. Näiteks SSH-teenuse kohandamiseks tehke järgmist.

$ cp /usr/lib/firewalld/services/ssh.xml /etc/firewalld/services/ssh-custom.xml

Selle kopeeritud faili sisu peaks välja nägema järgmine:

$ cat /etc/firewalld/services/ssh-custom.xml
<?xml version="1.0" encoding="utf-8"?>
<service>
  <short>SSH</short>
  <description>Secure Shell (SSH) is a protocol for logging into and executing commands on remote machines. It provides secure encrypted communications. If you plan on accessing your machine remotely via SSH over a firewalled interface, enable this option. You need the openssh-server package installed for this option to be useful.</description>
  <port protocol="tcp" port="22"/>
</service>

Pordi muutmiseks tuleks muuta teenuse lühinime ja porti. Soovi korral saate ka kirjeldust muuta, kuid see on lihtsalt lisametaandmed, mida kasutajaliides või mõni muu rakendus saaks kasutada. Selles näites muudan pordi 1234-ks:

$ nano /etc/firewalld/services/ssh-custom.xml
<?xml version="1.0" encoding="utf-8"?>
<service>
  <short>SSH-Custom</short>
  <description>Secure Shell (SSH) is a protocol for logging into and executing commands on remote machines. It provides secure encrypted communications. If you plan on accessing your machine remotely via SSH over a firewalled interface, enable this option. You need the openssh-server package installed for this option to be useful.</description>
  <port protocol="tcp" port="1234"/>
</service>

Pärast salvestamist peate tulemüüri uuesti laadima ja seejärel saate oma reeglit oma tsoonile rakendada.

$ firewall-cmd --reload
success

$ firewall-cmd --permanent --zone=public --add-service=ssh-custom
success

Sadama juhtimine

Lisaks teenuste kasutamisele saate porte protokolli järgi ka käsitsi lubada. TCP-pordi lubamiseks tsooni 7777jaoks publictoimige järgmiselt.

$ firewall-cmd --permanent --zone=public --add-port=7777/tcp
success

Saate lisada ka pordivahemiku:

$ firewall-cmd --permanent --zone=public --add-port=7000-8000/tcp
success

Eemaldada (ja seega eitada) TCP port 7777jaoks publictsooni:

$ firewall-cmd --permanent --zone=public --remove-port=7777/tcp
success

publicPärast aktiivse tulemüüri seansi uuesti laadimist saate loetleda ka antud tsooni ( ) hetkel lubatud pordid :

$ firewall-cmd --zone=public --list-ports
7000-8000/tcp

FirewallD lubamine

Kui olete tulemüüri oma maitse järgi konfigureerinud, peaksite selle kindlasti süsteemid kaudu lubama, et tagada selle käivitumine käivitamisel.

$ systemctl enable firewalld

Järeldus

FirewallD-s on palju rohkem sätteid ja valikuid, nagu pordi edastamine, maskeerimine ja tulemüüriga suhtlemine D-Busi kaudu. Loodetavasti on see juhend siiski aidanud teil mõista põhitõdesid ja andnud teile tööriistad tulemüüri kasutamise alustamiseks oma serverist. Mõned allolevad lisateadmised aitavad teil tulemüürist maksimumi võtta.

• Fail2bani kasutamine FirewallD-ga – Fedora Wiki
• FirewallD – Fedora Wiki
• FirewallD sissejuhatus – RedHat 7 turvajuhend