Regles útils de FirewallD per configurar i gestionar el tallafoc a Linux
Firewalld proporciona una manera de configurar regles de tallafocs dinàmiques a Linux que es poden aplicar a l'instant, sense necessitat de reiniciar el tallafoc i també admet conceptes de zona i D-BUS que facilita la configuració.
Firewalld va substituir l'antic mecanisme del tallafoc de Fedora (fedora 18 en endavant), RHEL/CentOS 7 i altres distribucions més recents es basen en aquest nou mecanisme. Un dels motius més importants per introduir un nou sistema de tallafoc és que el tallafoc antic necessita un reinici després de fer cada canvi, trencant així totes les connexions actives. Com s'ha dit anteriorment, el darrer tallafoc admet zones dinàmiques que és útil per configurar diferents conjunts de zones i regles per a la vostra oficina o xarxa domèstica mitjançant una línia d'ordres o mitjançant un mètode GUI.
Inicialment, el concepte de tallafoc sembla molt difícil de configurar, però els serveis i les zones ho fan més fàcil mantenint tots dos junts, tal com es descriu en aquest article.
En el nostre article anterior, on hem vist com jugar amb firewalld i les seves zones, ara aquí, en aquest article, veurem algunes regles de firewalld útils per configurar els vostres sistemes Linux actuals mitjançant la línia d'ordres.
- Configuració del tallafoc a RHEL/CentOS 7
Tots els exemples tractats en aquest article estan pràcticament provats a la distribució CentOS 7 i també funcionen a les distribucions RHEL i Fedora.
Abans d'implementar les regles del tallafoc, assegureu-vos de comprovar primer si el servei del tallafoc està habilitat i en funcionament.
# systemctl status firewalld
La imatge de dalt mostra que firewalld està actiu i en funcionament. Ara és el moment de comprovar totes les zones actives i els serveis actius.
# firewall-cmd --get-active-zones # firewall-cmd --get-services
Si no esteu familiaritzat amb la línia d'ordres, també podeu gestionar el tallafoc des de la GUI, per a això cal que tingueu el paquet GUI instal·lat al sistema, si no instal·leu-lo mitjançant la següent comanda.
# yum install firewalld firewall-config
Com s'ha dit anteriorment, aquest article està escrit especialment per als amants de la línia d'ordres i tots els exemples, que tractarem només es basen en la línia d'ordres, sense cap manera de GUI... ho sento...
Abans d'avançar, primer assegureu-vos de confirmar a quina zona pública configurareu el tallafoc de Linux i enumerar tots els serveis actius, ports i regles riques per a la zona pública mitjançant l'ordre següent.
# firewall-cmd --zone=public --list-all
A la imatge de dalt, encara no s'ha afegit cap regla activa, vegem com afegir, eliminar i modificar regles a la part restant d'aquest article...
1. Afegir i eliminar ports a Firewalld
Per obrir qualsevol port per a una zona pública, utilitzeu l'ordre següent. Per exemple, l'ordre següent obrirà el port 80 per a la zona pública.
# firewall-cmd --permanent --zone=public --add-port=80/tcp
De la mateixa manera, per eliminar el port afegit, només cal que utilitzeu l'opció -eliminar amb l'ordre firewalld tal com es mostra a continuació.
# firewall-cmd --zone=public --remove-port=80/tcp
Després d'afegir o eliminar ports específics, assegureu-vos de confirmar si el port s'afegeix o s'elimina mitjançant l'opció -list-ports.
# firewall-cmd --zone=public --list-ports
2. Afegir i eliminar serveis a Firewalld
De manera predeterminada, firewalld ve amb serveis predefinits, si voleu afegir una llista de serveis específics, heu de crear un nou fitxer xml amb tots els serveis inclosos al fitxer o, en cas contrari, també podeu definir o eliminar cada servei manualment executant el següent ordres.
Per exemple, les ordres següents us ajudaran a afegir o eliminar serveis específics, com vam fer per a FTP aquí en aquest exemple.
# firewall-cmd --zone=public --add-service=ftp # firewall-cmd --zone=public --remove-service=ftp # firewall-cmd --zone=public --list-services
3. Bloqueja els paquets entrants i sortints (mode de pànic)
Si voleu bloquejar qualsevol connexió entrant o sortint, heu d'utilitzar el mode pànic per bloquejar aquestes sol·licituds. Per exemple, la regla següent eliminarà qualsevol connexió establerta existent al sistema.
# firewall-cmd --panic-on
Després d'habilitar el mode de pànic, proveu de fer ping a qualsevol domini (per exemple, google.com) i comproveu si el mode de pànic està ACTIVAT utilitzant l'opció “–query-panic” com s'indica a continuació.
# ping google.com -c 1 # firewall-cmd --query-panic
Veieu a la imatge de dalt, la consulta de pànic diu Amfitrió desconegut google.com. Ara intenteu desactivar el mode de pànic i, a continuació, torneu a fer ping i comproveu.
# firewall-cmd --query-panic # firewall-cmd --panic-off # ping google.com -c 1
Ara, aquesta vegada, hi haurà una sol·licitud de ping de google.com.