Zoeken op website

Handige 'FirewallD'-regels voor het configureren en beheren van Firewall in Linux

Firewalld biedt een manier om dynamische firewallregels in Linux te configureren die direct kunnen worden toegepast, zonder dat de firewall opnieuw hoeft te worden opgestart, en ondersteunt ook D-BUS- en zoneconcepten, wat de configuratie eenvoudig maakt.

Firewalld verving het oude Fedora firewall-mechanisme (Fedora 18 en hoger), RHEL/CentOS 7 en andere nieuwste distributies vertrouwen op dit nieuwe mechanisme. Een van de grootste motieven voor het introduceren van een nieuw firewallsysteem is dat de oude firewall opnieuw moet worden opgestart na elke wijziging, waardoor alle actieve verbindingen worden verbroken. Zoals hierboven gezegd ondersteunt de nieuwste firewall dynamische zones, wat handig is bij het configureren van verschillende sets zones en regels voor uw kantoor- of thuisnetwerk via een opdrachtregel of met behulp van een GUI-methode.

In eerste instantie lijkt het firewalld-concept erg moeilijk te configureren, maar services en zones maken het gemakkelijker door beide bij elkaar te houden, zoals beschreven in dit artikel.

In ons eerdere artikel, waar we hebben gezien hoe je met firewalld en zijn zones kunt spelen, zullen we hier, in dit artikel, enkele nuttige firewalld-regels zien om je huidige Linux-systemen te configureren via de opdrachtregel.

  1. Firewalld-configuratie in RHEL/CentOS 7

Alle voorbeelden die in dit artikel worden behandeld, zijn praktisch getest op CentOS 7-distributie, en werken ook op RHEL- en Fedora-distributies.

Voordat u firewalld-regels implementeert, moet u eerst controleren of de firewalld-service is ingeschakeld en actief is.

systemctl status firewalld

De bovenstaande afbeelding laat zien dat firewalld actief is en actief is. Nu is het tijd om alle actieve zones en actieve services te controleren.

firewall-cmd --get-active-zones
firewall-cmd --get-services

Als u niet bekend bent met de opdrachtregel, kunt u firewalld ook beheren vanuit de GUI. Hiervoor moet u het GUI-pakket op het systeem hebben geïnstalleerd. Als u dit niet doet, installeert u het met de volgende opdracht.

yum install firewalld firewall-config

Zoals hierboven gezegd, is dit artikel speciaal geschreven voor liefhebbers van opdrachtregels en alle voorbeelden die we gaan behandelen zijn alleen gebaseerd op de opdrachtregel, geen GUI-manier..sorry…..

Voordat u verder gaat, moet u eerst bevestigen op welke openbare zone u de Linux-firewall gaat configureren en alle actieve services, poorten en uitgebreide regels voor de openbare zone vermelden met behulp van de volgende opdracht.

firewall-cmd --zone=public --list-all

In de bovenstaande afbeelding zijn er nog geen actieve regels toegevoegd. Laten we in het resterende deel van dit artikel kijken hoe u regels kunt toevoegen, verwijderen en wijzigen….

1. Poorten toevoegen en verwijderen in Firewalld

Gebruik de volgende opdracht om een poort voor een openbare zone te openen. Met de volgende opdracht wordt bijvoorbeeld poort 80 geopend voor de openbare zone.

firewall-cmd --permanent --zone=public --add-port=80/tcp

Om de toegevoegde poort te verwijderen, gebruikt u op dezelfde manier gewoon de optie ‘–remove’ met de opdracht firewalld, zoals hieronder weergegeven.

firewall-cmd --zone=public --remove-port=80/tcp

Na het toevoegen of verwijderen van specifieke poorten, zorg ervoor dat u bevestigt of de poort is toegevoegd of verwijderd door de optie ‘–list-ports’ te gebruiken.

firewall-cmd --zone=public --list-ports

2. Services toevoegen en verwijderen in Firewalld

Standaard wordt firewalld geleverd met vooraf gedefinieerde services. Als u een lijst met specifieke services wilt toevoegen, moet u een nieuw XML-bestand maken met alle services in het bestand, of u kunt elke service ook handmatig definiëren of verwijderen door het volgende uit te voeren opdrachten.

De volgende opdrachten helpen u bijvoorbeeld bij het toevoegen of verwijderen van specifieke services, zoals we in dit voorbeeld voor FTP hebben gedaan.

firewall-cmd --zone=public --add-service=ftp
firewall-cmd --zone=public --remove-service=ftp
firewall-cmd --zone=public --list-services

3. Blokkeer inkomende en uitgaande pakketten (paniekmodus)

Als u inkomende of uitgaande verbindingen wilt blokkeren, moet u een 'paniek-aan'-modus gebruiken om dergelijke verzoeken te blokkeren. Met de volgende regel wordt bijvoorbeeld elke bestaande bestaande verbinding op het systeem verbroken.

firewall-cmd --panic-on

Nadat u de paniekmodus heeft ingeschakeld, probeert u een willekeurig domein te pingen (bijvoorbeeld google.com) en controleert u of de paniekmodus AAN staat met '–query-panic >' optie zoals hieronder vermeld.

ping google.com -c 1
firewall-cmd --query-panic

Ziet u in de bovenstaande afbeelding de paniekvraag “Onbekende host google.com“. Probeer nu de paniekmodus uit te schakelen en nogmaals te pingen en te controleren.

firewall-cmd --query-panic
firewall-cmd --panic-off
ping google.com -c 1

Deze keer zal er een ping-verzoek zijn van google.com.