FirewallD je nástroj pro správu brány firewall dostupný ve výchozím nastavení na serverech CentOS 7. Je to jeden typ řešení pro správu firewallu, který bude spravovat pravidla iptables. FirewallD v podstatě nahrazuje iptables jako výchozí nástroj pro správu brány firewall.
Zde v LinuxAPT, jako součást našich služeb správy serveru, pravidelně pomáháme našim zákazníkům provádět související dotazy na FirewallD.
V této souvislosti se podíváme na to, jak nastavit firewall na serveru CentOS 7 a na některé základní koncepty FirewallD.
Základní pojmy ve Firewallu
FirewallD používá koncepty služeb a zón namísto pravidel a řetězců iptables. Pomocí toho můžete nakonfigurovat, který provoz by měl být povolen nebo zakázán do a ze systému. FirewallD používá ke správě konfigurace firewallu nástroj firewall-cmd.
FirewallD zóny
Zóny jsou sady pravidel, které určují, jaký provoz by měl být povolen v závislosti na úrovni důvěry v sítě, ke kterým je váš počítač připojen. K zóně můžete přiřadit síťová rozhraní a zdroje.
Následují předdefinované zóny zahrnuté do FirewallD v pořadí od úrovně důvěryhodnosti zóny od nejméně důvěryhodné po nejdůvěryhodnější:
- zrušit:Všechna příchozí připojení jsou přerušena bez jakékoli odpovědi. Jsou povolena pouze odchozí spojení. Je to nejnižší úroveň důvěry.
- blok:Toto je stejné jako výše, ale všechna příchozí připojení jsou odmítnuta pomocí zpráv icmp-host-prohibited nebo icmp6-adm-prohibited. Jsou povolena pouze odchozí připojení.
- veřejné:Toto představuje nedůvěryhodné veřejné prostory. Ostatním počítačům v síti nedůvěřujete, ale můžete povolit vybraná příchozí připojení.
- externí:Externí sítě v případě, že jako bránu používáte bránu firewall. Je nakonfigurován pro maskování NAT, takže vaše interní síť zůstane soukromá, ale dosažitelná.
- interní:U počítačů ve vaší interní síti jsou přijímána pouze vybraná příchozí připojení.
- dmz:demilitarizovaná zóna DMZ, veřejně přístupná s omezeným přístupem do vnitřní sítě, akceptována jsou pouze vybraná příchozí připojení.
- práce:Používá se pro pracovní stroje. Důvěřujte většině počítačů v síti. Může být povoleno několik dalších služeb.
- home:Používá se pro domácí stroje. Ostatní počítače v síti jsou obecně důvěryhodné. Jsou povolena pouze vybraná příchozí připojení.
- důvěryhodný:Všechna síťová připojení jsou přijatelná. Důvěřujte všem počítačům v síti.
Služby brány firewall
Služby FirewallD jsou konfigurační soubory XML s předdefinovanými pravidly, která platí v rámci zóny a definují nezbytná nastavení pro povolení příchozího provozu pro konkrétní službu. xml konfigurační soubory jsou uloženy v adresářích /usr/lib/firewalld/services/ a /etc/firewalld/services/.
Jak nainstalovat a povolit FirewallD?
Než budete pokračovat v tomto postupu instalace, ujistěte se, že jste přihlášeni pomocí uživatelského účtu s povoleným sudo nebo uživatelem root.
Ve výchozím nastavení je Firewalld k dispozici na vašem CentOS 7. Pokud ve vašem systému není, můžete balíček nainstalovat spuštěním níže uvedeného příkazu:
$ sudo yum install firewalld
Služba brány firewall je ve výchozím nastavení zakázána. Stav brány firewall můžete zkontrolovat pomocí:
$ sudo firewall-cmd --state
Pokud jste nainstalovali nyní nebo jste předtím neaktivovali, tisk nebude spuštěn, jinak bude tisk spuštěn.
Službu FirewallD můžete spustit a povolit při spouštění zadáním:
$ sudo systemctl start firewalld
$ sudo systemctl enable firewalld
Jak nakonfigurovat váš firewall pomocí FirewallD?
Ve výchozím nastavení je po aktivaci služby FirewallD veřejná zóna výchozí zónou. Seznam výchozí zóny získáte zadáním:
$ sudo firewall-cmd --get-default-zone
Chcete-li získat seznam všech dostupných zón, proveďte následující příkaz:
$ sudo firewall-cmd --get-zones
Všem síťovým rozhraním je přiřazena výchozí zóna. Chcete-li zkontrolovat, jaké zóny používají vaše síťová rozhraní typu:
$ sudo firewall-cmd --get-active-zones
Nastavení konfigurace zóny můžete vytisknout pomocí:
public (active)
target: default
icmp-block-inversion: no
interfaces: eth0 eth1
sources:
services: ssh dhcpv6-client
ports:
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
Jak změnit výchozí zónu brány firewall?
Chcete-li změnit výchozí zónu, použijte příznak –set-default-zone následovaný názvem zóny, kterou chcete nastavit jako výchozí. Chcete-li například změnit výchozí zónu na domácí, měli byste spustit následující příkaz:
$ sudo firewall-cmd --set-default-zone=dmz
Ověřte změny pomocí:
$ sudo firewall-cmd --get-default-zone
Povolit pravidlo FirewallD pro HTTP a HTTPS
Chcete-li do zóny dmz přidat trvalá servisní pravidla pro HTTP a HTTPS, spusťte:
$ firewall-cmd --zone=dmz --add-service=http --permanent
$ firewall-cmd --zone=dmz --add-service=https --permanent