Účelem Firewallu je nahradit potřebu iptables a zlepšit správu zabezpečení tím, že umožní změny konfigurace bez zastavení současných připojení. Firewalld běží jako démon, který umožňuje přidávat a měnit pravidla okamžitě a používá síťové zóny k definování úrovně důvěryhodnosti pro všechna přidružená síťová připojení. Pro nástroj pro odstraňování problémů to poskytuje řadu flexibilních možností, ale co je důležitější, je nutné pochopit, že zatímco připojení může být součástí pouze jedné zóny, zónu lze použít v mnoha síťových připojeních.
Nástroj příkazového řádku firewall-cmd je součástí aplikace firewalld, která je standardně instalována na většině distribucí. Lze jej použít k provádění trvalých a netrvalých změn běhového prostředí.
Pokud při spouštění příkazu firewall-cmd narazíte na níže uvedenou chybu:
firewall-cmd: command not found
můžete zkusit nainstalovat balíček firewalld podle vaší volby distribuce:
| Distribuce | Příkaz |
|---|---|
| Debian | apt-get install firewalld |
| Ubuntu | apt-get install firewalld |
| Arch Linux | pacman -S firewalld |
| Kali Linux | apt-get install firewalld |
| CentOS | yum install firewalld |
| Fedora | dnf install firewalld |
| Raspbian | apt-get install firewalld |
Příklady příkazů firewall-cmd
1. Zjistěte, jaká je výchozí zóna:
# firewall-cmd --get-default-zone
2. Hodnotu tohoto lze aktualizovat pomocí následující syntaxe:
# firewall-cmd --set-default-zone=[new-zone-name]
3. Když to uděláme ještě o krok dále, můžeme tento příkaz rozšířit tak, aby poskytoval nejen seznam zón, ale také informace o síťovém rozhraní, jako je tento:
# firewall-cmd --get-active-zones
4. V této situaci lze síťová rozhraní spravovat pomocí následující syntaxe:
# firewall-cmd --zone=[zone-name] --add-interface=[device-name] # firewall-cmd --zone=[zone-name] --change-interface=[device-name] # firewall-cmd --zone=[zone-name] --remove-interface=[device-name]
5. Pomocí následujícího příkazu vypište všechny povolené služby:
# firewall-cmd –list-services
6. Pomocí následujícího příkazu zobrazte porty tcp/udp povolené vaším firewallem:
# firewall-cmd --list-ports
7. Chcete-li ve svém systému povolit provoz NFSv4, proveďte následující kroky:
Nejprve povolte provoz nfs pomocí tohoto příkazu:
# firewall-cmd --add-service nfs –-permanent success
Poté znovu načtěte konfiguraci následovně:
# firewall-cmd --reload success
Nyní zkontrolujte nově použité pravidlo spuštěním následujícího příkazového řádku:
# firewall-cmd –-list-services nfs
8. Chcete-li povolit příchozí provoz na portu 1234 přes tcp i udp, proveďte následující kroky:
Nejprve povolte provoz na portu 1234 přes tcp a udp spuštěním následujícího:
# firewall-cmd --add-port 1234/tcp --permanent success # firewall-cmd --add-port 1234/udp --permanent success
Znovu načtěte konfiguraci provedením následujícího příkazu:
# firewall-cmd –-reload success
Zkontrolujte nově použité pravidlo pomocí následujícího:
# firewall-cmd –-list-ports 1234/tcp 1234/udp