FirewallD:n käyttäminen palomuurisi hallintaan CentOS 7:ssä

FirewallD on dynaamisesti hallittu palomuuri, joka tukee IPv4- ja IPv6-palomuurisääntöjä ja palomuurivyöhykkeitä, jotka ovat saatavilla RHEL 7 -pohjaisilla palvelimilla. Se korvaa suoraan iptablesytimen netfilterkoodin ja toimii sen kanssa .

Tässä artikkelissa tarkastellaan lyhyesti CentOS 7:n palomuurin hallintaa firewall-cmdkomennolla.

Tarkistetaan, onko FirewallD käynnissä

Ensimmäinen vaihe on tarkistaa, onko FirewallD asennettu ja käynnissä. Tämä voidaan tehdä systemdsuorittamalla seuraava:

$ systemctl status firewalld
● firewalld.service - firewalld - dynamic firewall daemon
   Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled; vendor preset: enabled)
   Active: active (running) since Thu 2016-03-10 15:07:00 UTC; 1min 30s ago
   ...

Vaihtoehtoisesti voit tarkistaa firewall-cmdtyökalun avulla:

$ firewall-cmd --state
running

Vyöhykkeiden hallinta

FirewallD toimii käyttämällä käsitettä, zonesjossa vyöhyke määrittelee yhteydelle käytetyn luottamustason. Voit jakaa eri verkkoliitännät eri vyöhykkeisiin soveltaaksesi tiettyjä palomuurisääntöjä liitäntäkohtaisesti tai voit käyttää yhtä vyöhykettä kaikille liitäntöille.

Paketista kaikki tehdään publicoletusvyöhykkeellä, mutta myös useita muita esikonfiguroituja vyöhykkeitä voidaan käyttää.

Luettelo kaikki käytettävissä olevat vyöhykkeet

Saatat joutua hankkimaan luettelon kaikista käytettävissä olevista vyöhykkeistä, joita on useita valmiina. Jälleen tämä voidaan tehdä käyttämällä firewall-cmd:

$ firewall-cmd --get-zones
block dmz drop external home internal public trusted work

Tarkistetaan oletusvyöhykettä

Voit löytää oletusvyöhykkeen, joka on tällä hetkellä määritetty käyttämällä firewall-cmd:

$ firewall-cmd --get-default-zone
public

Jos haluat muuttaa oletusvyöhykkeen (esimerkiksi home), voit tehdä tämän suorittamalla:

$ firewall-cmd --set-default-zone=home
success

Nämä tiedot näkyvät pääasetustiedostossa, /etc/firewalld/firewalld.conf. On kuitenkin suositeltavaa, että et muokkaa tätä tiedostoa manuaalisesti ja käytä sen sijaan firewall-cmd.

Tarkistetaan tällä hetkellä määritettyjä vyöhykkeitä

Saat luettelon vyöhykkeistä, joihin sinulla on liitännät, suorittamalla:

$ firewall-cmd --get-active-zones
public
  interfaces: eth0

Voit myös tarkistaa yksittäisen rajapinnan vyöhykkeen ( eth0tässä tapauksessa) suorittamalla:

$  firewall-cmd --get-zone-of-interface=eth0
public

Vyöhykkeiden luominen

Jos oletusarvoiset esikonfiguroidut vyöhykkeet eivät täysin vastaa tarpeitasi, helpoin tapa luoda uusi vyöhyke ( zone1) on jälleen firewall-cmd:

$ firewall-cmd --permanent --new-zone=zone1
success

Luomisen jälkeen sinun on ladattava uudelleen:

$ firewall-cmd --reload
success

Vyöhykkeen käyttäminen käyttöliittymään

Jos haluat määrittää vyöhykkeelle pysyvästi verkkoliitännän, voit käyttää, firewall-cmdmutta muistaa sisällyttää --permanentlipun, jotta muutos pysyy voimassa. Jos käytät NetworkManager, sinun tulee myös muistaa käyttää nmcliasettaaksesi yhteysvyöhykkeen.

$ firewall-cmd --permanent --zone=internal --change-interface=eth1`
success

Vyöhykkeen pysyvän konfiguroinnin saaminen

Tarkistaaksesi vyöhykkeen pysyvän konfiguraation ( publictässä tapauksessa), mukaan lukien määritetyt liitännät, sallitut palvelut, porttiasetukset ja paljon muuta, suorita:

$ firewall-cmd --permanent --zone=public --list-all
public (default)
  interfaces:
  sources:
  services: dhcpv6-client ssh
  ports:
  masquerade: no
  forward-ports:
  icmp-blocks:
  rich rules:

Palveluiden hallinta

Kun olet määrittänyt ja määrittänyt tarvittavat vyöhykkeet, voit aloittaa palvelujen lisäämisen vyöhykkeisiin. Palvelut kuvaavat protokollat ​​ja portit, joita vyöhykkeelle voidaan käyttää.

Listaa olemassa olevat palvelut

Useita yleisiä palveluita on esikonfiguroitu palomuurin sisällä. Nämä voidaan luetella:

$ firewall-cmd --get-services
RH-Satellite-6 amanda-client bacula bacula-client dhcp dhcpv6 dhcpv6-client dns freeipa-ldap freeipa-ldaps freeipa-replication ftp high-availability http https imaps ipp ipp-client ipsec iscsi-target kerberos kpasswd ldap ldaps libvirt libvirt-tls mdns mountd ms-wbt mysql nfs ntp openvpn pmcd pmproxy pmwebapi pmwebapis pop3s postgresql proxy-dhcp radius rpc-bind rsyncd samba samba-client smtp ssh telnet tftp tftp-client transmission-client vdsm vnc-server wbem-https

Voit myös saada luettelon oletusvyöhykkeen palveluista:

$ firewall-cmd --list-services
dhcpv6-client ssh

Palvelun lisääminen vyöhykkeelle

Voit ottaa tietyn palvelun käyttöön vyöhykkeelle ( public) pysyvästi käyttämällä --add-servicelippua:

$ firewall-cmd --permanent --zone=public --add-service=http
success

Ja lataa sitten nykyinen palomuuriistunto uudelleen:

$ firewall-cmd --reload
success

Sen jälkeen varmistukseksi lisättiin:

$ firewall-cmd --zone=public --list-services
dhcpv6-client http ssh

Palvelun poistaminen vyöhykkeeltä

Voit poistaa tietyn palvelun vyöhykkeeltä ( public) pysyvästi käyttämällä --remove-servicelippua:

$ firewall-cmd --permanent --zone=public --remove-service=http
success

Ja lataa sitten nykyinen palomuuriistunto uudelleen:

$ firewall-cmd --reload
success

Sen jälkeen varmistukseksi lisättiin:

$ firewall-cmd --zone=public --list-services
dhcpv6-client ssh

Useiden palvelujen lisääminen/poistaminen vyöhykkeestä

Voit lisätä tai poistaa useita palveluita (esimerkiksi httpja https) vyöhykkeeltä joko yksitellen tai kaikki kerralla käärimällä halutut palvelujen nimet aaltosulkeisiin ( {, }):

$ firewall-cmd --permanent --zone=public --add-service=
success

$ firewall-cmd --permanent --zone=public --list-services
dhcpv6-client http https ssh

Uusien palveluiden luominen

Joskus saatat joutua lisäämään uusia mukautettuja palveluita - esimerkiksi jos olet vaihtanut SSH-demonin porttia. Palvelut määritellään triviaaleilla XML-tiedostoilla, ja oletustiedostot löytyvät seuraavista /usr/lib/firewalld/services:

$  tree /usr/lib/firewalld/services
/usr/lib/firewalld/services
├── amanda-client.xml
├── bacula-client.xml
├── bacula.xml
├── dhcpv6-client.xml
├── dhcpv6.xml
├── dhcp.xml
├── dns.xml
├── freeipa-ldaps.xml
├── freeipa-ldap.xml
├── freeipa-replication.xml
├── ftp.xml
├── high-availability.xml
├── https.xml
├── http.xml
...

Helpoin tapa luoda uusi palvelu on kopioida jokin näistä olemassa olevista palvelutiedostoista ja muokata sitä. Asiakaspalveluiden tulee sijaita /etc/firewalld/services. Esimerkiksi SSH-palvelun mukauttaminen:

$ cp /usr/lib/firewalld/services/ssh.xml /etc/firewalld/services/ssh-custom.xml

Tämän kopioidun tiedoston sisällön pitäisi näyttää tältä:

$ cat /etc/firewalld/services/ssh-custom.xml
<?xml version="1.0" encoding="utf-8"?>
<service>
  <short>SSH</short>
  <description>Secure Shell (SSH) is a protocol for logging into and executing commands on remote machines. It provides secure encrypted communications. If you plan on accessing your machine remotely via SSH over a firewalled interface, enable this option. You need the openssh-server package installed for this option to be useful.</description>
  <port protocol="tcp" port="22"/>
</service>

Portin vaihtamiseksi sinun tulee vaihtaa palvelun lyhyt nimi ja portti. Voit myös muuttaa kuvausta, jos haluat, mutta tämä on vain ylimääräistä metatietoa, jota käyttöliittymä tai muu sovellus voi käyttää. Tässä esimerkissä vaihdan portiksi 1234:

$ nano /etc/firewalld/services/ssh-custom.xml
<?xml version="1.0" encoding="utf-8"?>
<service>
  <short>SSH-Custom</short>
  <description>Secure Shell (SSH) is a protocol for logging into and executing commands on remote machines. It provides secure encrypted communications. If you plan on accessing your machine remotely via SSH over a firewalled interface, enable this option. You need the openssh-server package installed for this option to be useful.</description>
  <port protocol="tcp" port="1234"/>
</service>

Kun olet tallentanut, sinun on ladattava palomuuri uudelleen ja sitten voit soveltaa sääntöäsi vyöhykkeellesi:

$ firewall-cmd --reload
success

$ firewall-cmd --permanent --zone=public --add-service=ssh-custom
success

Sataman hallinta

Palveluiden käytön lisäksi portit voidaan sallia myös manuaalisesti protokollakohtaisesti. Jotta TCP-portin 7777varten publictuntumassa

$ firewall-cmd --permanent --zone=public --add-port=7777/tcp
success

Voit myös lisätä porttialueen:

$ firewall-cmd --permanent --zone=public --add-port=7000-8000/tcp
success

Poistamiseksi (ja siten kieltää) TCP-portin 7777varten publictuntumassa

$ firewall-cmd --permanent --zone=public --remove-port=7777/tcp
success

Voit myös luetella tällä hetkellä sallitut portit tietylle vyöhykkeelle ( public), kun olet ladannut nykyisen palomuuriistunnon:

$ firewall-cmd --zone=public --list-ports
7000-8000/tcp

FirewallD:n käyttöönotto

Kun olet määrittänyt palomuurin haluamallasi tavalla, ota se käyttöön systemd:n ​​kautta, jotta se käynnistyy käynnistyksen yhteydessä:

$ systemctl enable firewalld

Johtopäätös

FirewallD:ssä on paljon muita asetuksia ja vaihtoehtoja, kuten portin edelleenohjaus, naamiointi ja kommunikointi palomuurin kanssa D-Busin kautta. Toivottavasti tämä opas on kuitenkin auttanut sinua ymmärtämään perusasiat ja antanut sinulle työkalut, joiden avulla voit aloittaa palomuurin käytön palvelimesi ulkopuolella. Muutama lisätieto alla auttaa sinua saamaan kaiken irti palomuuristasi.

• Fail2banin käyttäminen FirewallD:n kanssa - Fedora Wiki
• FirewallD - Fedora Wiki
• FirewallD:n esittely - RedHat 7 -tietoturvaopas