Використання FirewallD для керування брандмауером в CentOS 7

FirewallD — це динамічно керований брандмауер, який забезпечує підтримку правил брандмауера IPv4 і IPv6 і зон брандмауера, який доступний на серверах на базі RHEL 7. Це пряма заміна iptablesі працює з netfilterкодом ядра .

У цій статті ми коротко розглянемо керування брандмауером в CentOS 7 за допомогою firewall-cmdкоманди.

Перевірка, чи запущено FirewallD

Першим кроком є ​​перевірка, чи встановлено та працює FirewallD. Це можна зробити, systemdвиконавши таку команду:

$ systemctl status firewalld
● firewalld.service - firewalld - dynamic firewall daemon
   Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled; vendor preset: enabled)
   Active: active (running) since Thu 2016-03-10 15:07:00 UTC; 1min 30s ago
   ...

Крім того, ви можете перевірити за допомогою firewall-cmdінструменту:

$ firewall-cmd --state
running

Управління зонами

FirewallD працює, використовуючи концепцію того, zonesде зона визначає рівень довіри, який використовується для з’єднання. Ви можете розділити різні мережеві інтерфейси на різні зони, щоб застосувати конкретні правила брандмауера для кожного інтерфейсу, або ви можете використовувати одну зону для всіх інтерфейсів.

З коробки все виконується в publicзоні за замовчуванням , але є кілька інших попередньо налаштованих зон, які також можна застосувати.

Перелік усіх доступних зон

Можливо, вам знадобиться отримати список усіх доступних зон, яких є кілька з коробки. Знову ж таки, це можна зробити за допомогою firewall-cmd:

$ firewall-cmd --get-zones
block dmz drop external home internal public trusted work

Перевірка зони за замовчуванням

Ви можете знайти зону за замовчуванням, яка зараз налаштована за допомогою firewall-cmd:

$ firewall-cmd --get-default-zone
public

Якщо ви хочете змінити зону за замовчуванням (наприклад, на home), це можна зробити, виконавши:

$ firewall-cmd --set-default-zone=home
success

Ця інформація буде відображена в основному файлі конфігурації, /etc/firewalld/firewalld.conf. Однак не рекомендується вручну змінювати цей файл, а використовувати firewall-cmd.

Перевірка поточних призначених зон

Ви можете отримати список зон, яким призначено інтерфейси, запустивши:

$ firewall-cmd --get-active-zones
public
  interfaces: eth0

Ви також можете перевірити зону одного інтерфейсу ( eth0у цьому випадку), запустивши:

$  firewall-cmd --get-zone-of-interface=eth0
public

Створення зон

Якщо попередньо налаштовані зони за замовчуванням не зовсім відповідають вашим потребам, найпростіший спосіб створити нову зону ( zone1) знову за допомогою firewall-cmd:

$ firewall-cmd --permanent --new-zone=zone1
success

Після створення потрібно перезавантажити:

$ firewall-cmd --reload
success

Застосування зони до інтерфейсу

Щоб назавжди призначити зоні мережевий інтерфейс, ви можете використовувати, firewall-cmdхоча не забудьте включити --permanentпрапор, щоб зберегти зміни. Якщо NetworkManagerви використовуєте , ви також повинні використовувати nmcliдля налаштування зони підключення.

$ firewall-cmd --permanent --zone=internal --change-interface=eth1`
success

Отримання постійної конфігурації зони

Щоб перевірити постійну конфігурацію зони ( publicу цьому випадку), включаючи призначені інтерфейси, дозволені послуги, налаштування порту тощо, виконайте:

$ firewall-cmd --permanent --zone=public --list-all
public (default)
  interfaces:
  sources:
  services: dhcpv6-client ssh
  ports:
  masquerade: no
  forward-ports:
  icmp-blocks:
  rich rules:

Керування послугами

Після того, як ви призначили та налаштували необхідні зони, ви можете почати додавати послуги до зон. Служби описують протоколи та порти, до яких можна отримати доступ для зони.

Перелік існуючих послуг

У firewalld попередньо налаштовано ряд поширених служб. Їх можна перерахувати:

$ firewall-cmd --get-services
RH-Satellite-6 amanda-client bacula bacula-client dhcp dhcpv6 dhcpv6-client dns freeipa-ldap freeipa-ldaps freeipa-replication ftp high-availability http https imaps ipp ipp-client ipsec iscsi-target kerberos kpasswd ldap ldaps libvirt libvirt-tls mdns mountd ms-wbt mysql nfs ntp openvpn pmcd pmproxy pmwebapi pmwebapis pop3s postgresql proxy-dhcp radius rpc-bind rsyncd samba samba-client smtp ssh telnet tftp tftp-client transmission-client vdsm vnc-server wbem-https

Ви також можете отримати список послуг, увімкнених для зони за замовчуванням:

$ firewall-cmd --list-services
dhcpv6-client ssh

Додавання послуги до зони

Ви можете publicназавжди ввімкнути певну службу для зони ( ) за допомогою --add-serviceпрапорця:

$ firewall-cmd --permanent --zone=public --add-service=http
success

А потім перезавантажте поточний сеанс брандмауера:

$ firewall-cmd --reload
success

Потім, щоб перевірити це було додано:

$ firewall-cmd --zone=public --list-services
dhcpv6-client http ssh

Видалення служби із зони

Ви можете видалити певну службу для зони ( public) назавжди за допомогою --remove-serviceпрапорця:

$ firewall-cmd --permanent --zone=public --remove-service=http
success

А потім перезавантажте поточний сеанс брандмауера:

$ firewall-cmd --reload
success

Потім, щоб перевірити це було додано:

$ firewall-cmd --zone=public --list-services
dhcpv6-client ssh

Додавання/видалення кількох служб із зони

Ви можете додати або видалити кілька служб (наприклад, httpі https) із зони по одній або всі відразу, загорнувши потрібні назви служб у фігурні дужки ( {, }):

$ firewall-cmd --permanent --zone=public --add-service=
success

$ firewall-cmd --permanent --zone=public --list-services
dhcpv6-client http https ssh

Створення нових сервісів

Іноді може знадобитися додати нові користувацькі служби - наприклад, якщо ви змінили порт для демона SSH. Служби визначаються за допомогою тривіальних файлів XML, а файли за замовчуванням можна знайти в /usr/lib/firewalld/services:

$  tree /usr/lib/firewalld/services
/usr/lib/firewalld/services
├── amanda-client.xml
├── bacula-client.xml
├── bacula.xml
├── dhcpv6-client.xml
├── dhcpv6.xml
├── dhcp.xml
├── dns.xml
├── freeipa-ldaps.xml
├── freeipa-ldap.xml
├── freeipa-replication.xml
├── ftp.xml
├── high-availability.xml
├── https.xml
├── http.xml
...

Найпростіший спосіб створити нову службу — скопіювати один із наявних файлів служби та змінити його. Митні служби повинні знаходитися в /etc/firewalld/services. Наприклад, щоб налаштувати службу SSH:

$ cp /usr/lib/firewalld/services/ssh.xml /etc/firewalld/services/ssh-custom.xml

Вміст цього скопійованого файлу має виглядати так:

$ cat /etc/firewalld/services/ssh-custom.xml
<?xml version="1.0" encoding="utf-8"?>
<service>
  <short>SSH</short>
  <description>Secure Shell (SSH) is a protocol for logging into and executing commands on remote machines. It provides secure encrypted communications. If you plan on accessing your machine remotely via SSH over a firewalled interface, enable this option. You need the openssh-server package installed for this option to be useful.</description>
  <port protocol="tcp" port="22"/>
</service>

Щоб змінити порт, вам слід змінити коротку назву служби та порт. Ви також можете змінити опис, якщо хочете, але це лише додаткові метадані, які можуть використовуватися інтерфейсом користувача або іншою програмою. У цьому прикладі я змінюю порт на 1234:

$ nano /etc/firewalld/services/ssh-custom.xml
<?xml version="1.0" encoding="utf-8"?>
<service>
  <short>SSH-Custom</short>
  <description>Secure Shell (SSH) is a protocol for logging into and executing commands on remote machines. It provides secure encrypted communications. If you plan on accessing your machine remotely via SSH over a firewalled interface, enable this option. You need the openssh-server package installed for this option to be useful.</description>
  <port protocol="tcp" port="1234"/>
</service>

Після збереження вам потрібно буде перезавантажити брандмауер, а потім ви зможете застосувати своє правило до своєї зони:

$ firewall-cmd --reload
success

$ firewall-cmd --permanent --zone=public --add-service=ssh-custom
success

Управління портом

Крім використання служб, ви також можете вручну дозволити порти за протоколом. Щоб дозволити TCP-порт 7777для publicзони:

$ firewall-cmd --permanent --zone=public --add-port=7777/tcp
success

Ви також можете додати діапазон портів:

$ firewall-cmd --permanent --zone=public --add-port=7000-8000/tcp
success

Щоб видалити (і таким чином заборонити) порт TCP 7777для publicзони:

$ firewall-cmd --permanent --zone=public --remove-port=7777/tcp
success

Ви також можете перерахувати поточні дозволені порти для даної зони ( public) після перезавантаження поточного сеансу брандмауера:

$ firewall-cmd --zone=public --list-ports
7000-8000/tcp

Увімкнення FirewallD

Після того, як ви налаштували брандмауер на свій смак, обов’язково ввімкніть його через systemd, щоб забезпечити його запуск під час запуску:

$ systemctl enable firewalld

Висновок

У FirewallD є багато інших налаштувань і опцій, таких як переадресація портів, маскування та зв’язок з брандмауером через D-Bus. Сподіваємося, що цей посібник допоміг вам зрозуміти основи та надав інструменти для початку роботи з брандмауером на вашому сервері. Додаткова інформація, наведена нижче, допоможе вам отримати максимальну віддачу від вашого брандмауера.

• Використання Fail2ban з FirewallD - Fedora Wiki
• FirewallD — Fedora Wiki
• Вступ до FirewallD - Посібник із безпеки RedHat 7