Používanie brány FirewallD na správu brány firewall v systéme CentOS 7

FirewallD je dynamicky spravovaná brána firewall, ktorá poskytuje podporu pre pravidlá brány firewall IPv4 a IPv6 a zóny brány firewall, ktorá je k dispozícii na serveroch založených na RHEL 7. Je to priama náhrada kódu iptablesjadra a pracuje s ním netfilter.

V tomto článku sa stručne pozrieme na správu brány firewall na CentOS 7 pomocou firewall-cmdpríkazu.

Kontrola, či je spustený FirewallD

Prvým krokom je skontrolovať, či je nainštalovaný a spustený FirewallD. Dá sa to vykonať systemdspustením nasledujúceho:

$ systemctl status firewalld
● firewalld.service - firewalld - dynamic firewall daemon
   Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled; vendor preset: enabled)
   Active: active (running) since Thu 2016-03-10 15:07:00 UTC; 1min 30s ago
   ...

Prípadne môžete skontrolovať pomocou firewall-cmdnástroja:

$ firewall-cmd --state
running

Riadenie zón

FirewallD funguje na základe konceptu, zoneskde zóna definovala úroveň dôveryhodnosti použitej pre pripojenie. Môžete rozdeliť rôzne sieťové rozhrania do rôznych zón, aby ste mohli aplikovať špecifické pravidlá brány firewall pre každé rozhranie, alebo môžete použiť jednu zónu pre všetky rozhrania.

Po vybalení sa všetko robí v predvolenej publiczóne, ale je možné použiť aj niekoľko ďalších predkonfigurovaných zón.

Výpis všetkých dostupných zón

Možno budete musieť získať zoznam všetkých dostupných zón, z ktorých je hneď niekoľko. Opäť to možno urobiť pomocou firewall-cmd:

$ firewall-cmd --get-zones
block dmz drop external home internal public trusted work

Kontrola predvolenej zóny

Predvolenú zónu, ktorá je momentálne nakonfigurovaná, môžete zistiť pomocou firewall-cmd:

$ firewall-cmd --get-default-zone
public

Ak chcete zmeniť predvolenú zónu (napríklad na home), môžete to urobiť spustením:

$ firewall-cmd --set-default-zone=home
success

Tieto informácie sa prejavia v hlavnom konfiguračnom súbore /etc/firewalld/firewalld.conf. Odporúča sa však, aby ste tento súbor ručne neupravovali a namiesto toho použili firewall-cmd.

Kontrola aktuálne priradených zón

Zoznam zón, ku ktorým máte priradené rozhrania, získate spustením:

$ firewall-cmd --get-active-zones
public
  interfaces: eth0

Môžete tiež skontrolovať zónu jedného rozhrania ( eth0v tomto prípade) spustením:

$  firewall-cmd --get-zone-of-interface=eth0
public

Vytváranie zón

Ak predvolené predkonfigurované zóny úplne nevyhovujú vašim potrebám, najjednoduchší spôsob vytvorenia novej zóny ( zone1) je opäť cez firewall-cmd:

$ firewall-cmd --permanent --new-zone=zone1
success

Po vytvorení musíte znova načítať:

$ firewall-cmd --reload
success

Použitie zóny na rozhranie

Ak chcete natrvalo priradiť sieťové rozhranie k zóne, môžete použiť firewall-cmdaj keď nezabudnite zahrnúť --permanentpríznak, aby sa zmena zachovala. Ak používate NetworkManager, mali by ste tiež použiť nmclina nastavenie zóny pripojenia.

$ firewall-cmd --permanent --zone=internal --change-interface=eth1`
success

Získanie trvalej konfigurácie zóny

Ak chcete skontrolovať trvalú konfiguráciu zóny ( publicv tomto prípade) vrátane priradených rozhraní, povolených služieb, nastavení portov a ďalších, spustite:

$ firewall-cmd --permanent --zone=public --list-all
public (default)
  interfaces:
  sources:
  services: dhcpv6-client ssh
  ports:
  masquerade: no
  forward-ports:
  icmp-blocks:
  rich rules:

Riadenie služieb

Po priradení a konfigurácii požadovaných zón môžete začať pridávať služby do zón. Služby popisujú protokoly a porty, ku ktorým je možné pristupovať pre zónu.

Zoznam existujúcich služieb

V rámci brány firewall je vopred nakonfigurovaných niekoľko bežných služieb. Môžu byť uvedené:

$ firewall-cmd --get-services
RH-Satellite-6 amanda-client bacula bacula-client dhcp dhcpv6 dhcpv6-client dns freeipa-ldap freeipa-ldaps freeipa-replication ftp high-availability http https imaps ipp ipp-client ipsec iscsi-target kerberos kpasswd ldap ldaps libvirt libvirt-tls mdns mountd ms-wbt mysql nfs ntp openvpn pmcd pmproxy pmwebapi pmwebapis pop3s postgresql proxy-dhcp radius rpc-bind rsyncd samba samba-client smtp ssh telnet tftp tftp-client transmission-client vdsm vnc-server wbem-https

Môžete tiež získať zoznam služieb povolených pre predvolenú zónu:

$ firewall-cmd --list-services
dhcpv6-client ssh

Pridanie služby do zóny

Danú službu pre zónu ( public) môžete povoliť natrvalo pomocou --add-servicepríznaku:

$ firewall-cmd --permanent --zone=public --add-service=http
success

A potom znova načítajte aktuálnu reláciu brány firewall:

$ firewall-cmd --reload
success

Potom na overenie bolo pridané:

$ firewall-cmd --zone=public --list-services
dhcpv6-client http ssh

Odstránenie služby zo zóny

Danú službu pre zónu ( public) môžete natrvalo odstrániť pomocou --remove-servicepríznaku:

$ firewall-cmd --permanent --zone=public --remove-service=http
success

A potom znova načítajte aktuálnu reláciu brány firewall:

$ firewall-cmd --reload
success

Potom na overenie bolo pridané:

$ firewall-cmd --zone=public --list-services
dhcpv6-client ssh

Pridanie/odstránenie viacerých služieb zo zóny

Môžete pridať alebo odstrániť viacero služieb (napríklad httpa https) zo zóny buď jednu po druhej, alebo všetky naraz tak, že požadované názvy služieb zabalíte do zložených zátvoriek ( {, }):

$ firewall-cmd --permanent --zone=public --add-service=
success

$ firewall-cmd --permanent --zone=public --list-services
dhcpv6-client http https ssh

Vytváranie nových služieb

Niekedy možno budete musieť pridať nové vlastné služby – napríklad ak ste zmenili port pre démona SSH. Služby sú definované pomocou triviálnych súborov XML, pričom predvolené súbory sa nachádzajú v /usr/lib/firewalld/services:

$  tree /usr/lib/firewalld/services
/usr/lib/firewalld/services
├── amanda-client.xml
├── bacula-client.xml
├── bacula.xml
├── dhcpv6-client.xml
├── dhcpv6.xml
├── dhcp.xml
├── dns.xml
├── freeipa-ldaps.xml
├── freeipa-ldap.xml
├── freeipa-replication.xml
├── ftp.xml
├── high-availability.xml
├── https.xml
├── http.xml
...

Najjednoduchší spôsob vytvorenia novej služby je skopírovať jeden z týchto existujúcich súborov služieb a upraviť ho. Vlastné služby by mali sídliť v /etc/firewalld/services. Ak chcete napríklad prispôsobiť službu SSH:

$ cp /usr/lib/firewalld/services/ssh.xml /etc/firewalld/services/ssh-custom.xml

Obsah tohto skopírovaného súboru by mal vyzerať takto:

$ cat /etc/firewalld/services/ssh-custom.xml
<?xml version="1.0" encoding="utf-8"?>
<service>
  <short>SSH</short>
  <description>Secure Shell (SSH) is a protocol for logging into and executing commands on remote machines. It provides secure encrypted communications. If you plan on accessing your machine remotely via SSH over a firewalled interface, enable this option. You need the openssh-server package installed for this option to be useful.</description>
  <port protocol="tcp" port="22"/>
</service>

Ak chcete zmeniť port, mali by ste zmeniť krátky názov služby a port. Ak chcete, môžete tiež zmeniť popis, ale ide len o ďalšie metadáta, ktoré môže použiť používateľské rozhranie alebo iná aplikácia. V tomto príklade mením port na 1234:

$ nano /etc/firewalld/services/ssh-custom.xml
<?xml version="1.0" encoding="utf-8"?>
<service>
  <short>SSH-Custom</short>
  <description>Secure Shell (SSH) is a protocol for logging into and executing commands on remote machines. It provides secure encrypted communications. If you plan on accessing your machine remotely via SSH over a firewalled interface, enable this option. You need the openssh-server package installed for this option to be useful.</description>
  <port protocol="tcp" port="1234"/>
</service>

Po uložení budete musieť znova načítať bránu firewall a potom môžete pravidlo použiť na svoju zónu:

$ firewall-cmd --reload
success

$ firewall-cmd --permanent --zone=public --add-service=ssh-custom
success

Správa prístavov

Okrem používania služieb môžete porty povoliť aj manuálne podľa protokolu. Ak chcete povoliť port TCP 7777pre publiczónu:

$ firewall-cmd --permanent --zone=public --add-port=7777/tcp
success

Môžete tiež pridať rozsah portov:

$ firewall-cmd --permanent --zone=public --add-port=7000-8000/tcp
success

Ak chcete odstrániť (a teda zakázať) port TCP 7777pre publiczónu:

$ firewall-cmd --permanent --zone=public --remove-port=7777/tcp
success

Môžete tiež uviesť zoznam aktuálne povolených portov pre danú zónu ( public) po opätovnom načítaní aktuálnej relácie brány firewall:

$ firewall-cmd --zone=public --list-ports
7000-8000/tcp

Povolenie brány FirewallD

Po nakonfigurovaní brány firewall podľa vašich predstáv by ste si ju mali povoliť cez systemd, aby ste sa uistili, že sa spustí pri spustení:

$ systemctl enable firewalld

Záver

FirewallD obsahuje oveľa viac nastavení a možností, ako je presmerovanie portov, maskovanie a komunikácia s firewallom cez D-Bus. Dúfajme, že vám táto príručka pomohla pochopiť základy a poskytla vám nástroje na začatie používania brány firewall mimo vášho servera. Niektoré ďalšie čítanie nižšie vám pomôže vyťažiť maximum z vášho firewallu.

• Používanie Fail2ban s FirewallD - Fedora Wiki
• FirewallD - Fedora Wiki
• Úvod do FirewallD - RedHat 7 Bezpečnostná príručka