Menjaga keamanan jaringan adalah kunci bagi admin sistem dan mengonfigurasi firewall melalui baris perintah adalah keterampilan penting untuk dipelajari. Artikel ini akan menyoroti cara mengelola firewall dengan firewall-cmd di baris perintah Linux.
Firewall pada dasarnya adalah perangkat lunak yang dapat Anda konfigurasi untuk mengontrol lalu lintas jaringan yang masuk dan keluar. Firewall dapat mencegah pengguna lain menggunakan layanan jaringan pada sistem yang Anda jalankan. Sebagian besar sistem Linux dikirimkan dengan firewall default. Versi sistem Linux sebelumnya telah menggunakan iptables sebagai daemon untuk pemfilteran paket. Versi Fedora, RHEL/CentOS, openSUSE yang lebih baru dikirimkan dengan Firewalld sebagai daemon firewall default. Anda juga dapat menginstal Firewalld di distro Debian dan Ubuntu.
Saya sarankan Anda menggunakan Firewalld daripada iptables. Jangan hanya mengambil kata-kata saya untuk itu. Pelajari lebih lanjut dari panduan komprehensif kami tentang firewall sumber terbuka yang tersedia untuk sistem Linux Anda.
Firewalld adalah daemon dinamis untuk mengelola firewall dengan dukungan untuk jaringan atau zona firewall. Zona firewall menentukan tingkat kepercayaan keamanan jaringan dari antarmuka jaringan, layanan, atau koneksi. Admin sistem keamanan jaringan telah menemukan Firewalld berfungsi dengan baik dengan IPv4, IPv6, set IP, dan jembatan Ethernet. Untuk mengelola Firewalld, Anda dapat menggunakan perintah terminal firewall-cmd atau alat konfigurasi GUI firewall-config.
Panduan ini akan menggunakan firewall-cmd perintah untuk mengelola keamanan jaringan, dan lingkungan pengujian kami adalah Fedora Workstation 33.
Sebelum kita membahas semua hal teknis, mari pelajari beberapa dasar jaringan.
Dasar-dasar jaringan
Komputer yang terhubung ke jaringan diberi alamat IP yang digunakan untuk merutekan data. Komputer juga memiliki port dalam kisaran 0-65535, yang bertindak sebagai titik koneksi pada alamat IP. Aplikasi mungkin memesan port tertentu. Server web biasanya memesan port 80 untuk komunikasi HTTP yang aman. Pada dasarnya rentang port 0 – 1024 dicadangkan untuk tujuan dan sistem yang terkenal.
Dua protokol transfer data Internet utama (TCP &UDP) menggunakan port ini selama komunikasi jaringan. Komputer host membuat koneksi antara alamat IP sumber dan port (port 80 untuk HTTP tidak aman) dan alamat dan port tujuan.
Untuk mengelola keamanan jaringan, perangkat lunak firewall dapat mengizinkan atau memblokir transfer data atau komunikasi berdasarkan aturan seperti port atau alamat IP.
Menginstal Firewalld
Fedora, RHEL/CentOS 7/8, openSUSE
Firewalld diinstal secara default di Fedora, RHEL/CentOS 7/8, dan openSUSE. Jika tidak, Anda dapat menginstalnya menggunakan perintah berikut:
# yum install firewalld -y
ATAU
#dnf install firewalld -y
Debian/Ubuntu
Sistem Ubuntu dikirimkan dengan Firewall Tanpa Komplikasi secara default. Untuk menggunakan firewalld, Anda harus mengaktifkan repositori universe dan menonaktifkan Uncomplicated Firewall.
sudo add-apt-repository universe
sudo apt install firewalld
Nonaktifkan Firewall yang Tidak Rumit:
sudo systemctl nonaktifkan ufw
Aktifkan firewalld saat boot:
sudo systemctl aktifkan –sekarang firewalld
Pastikan Firewalld berjalan:
sudo firewall-cmd –status
berjalan
Zona firewall
Firewalld membuat konfigurasi firewall Anda menjadi sederhana dengan menetapkan zona default. Zona adalah seperangkat aturan yang sesuai dengan kebutuhan sehari-hari sebagian besar admin Linux. Zona firewall dapat menentukan level tepercaya atau ditolak untuk layanan dan port.
- Zona tepercaya: Semua koneksi jaringan diterima dan digunakan hanya di lingkungan tepercaya seperti rumah keluarga atau lab pengujian.
- Zona publik: Anda dapat menentukan aturan hanya untuk mengizinkan port tertentu untuk membuka koneksi sementara koneksi lain akan dihentikan. Ini dapat digunakan di area publik saat Anda tidak mempercayai host lain di jaringan.
- Rumah, Internal, Zona kerja: Sebagian besar koneksi masuk diterima di tiga zona ini. Koneksi masuk mengecualikan lalu lintas pada port yang tidak mengharapkan koneksi atau aktivitas. Anda dapat menerapkannya di koneksi rumah di mana ada kepercayaan umum dari pengguna lain di jaringan. Ini hanya mengizinkan koneksi masuk yang dipilih.
- Zona blok: Ini adalah pengaturan firewall yang sangat paranoid di mana hanya koneksi yang dimulai dari dalam jaringan atau server yang dimungkinkan. Semua koneksi masuk ke jaringan ditolak, dan pesan yang dilarang host ICMP dikeluarkan.
- Zona DMZ: Zona demiliterisasi dapat digunakan untuk memungkinkan akses ke beberapa layanan kepada publik. Hanya koneksi terpilih yang diterima. Ini adalah opsi penting untuk jenis server tertentu di jaringan organisasi.
- Zona eksternal: Saat diaktifkan, zona ini akan bertindak sebagai router dan dapat digunakan di jaringan eksternal dengan penyamaran diaktifkan. Alamat IP jaringan pribadi Anda dipetakan dan disembunyikan di balik alamat IP publik. Hanya koneksi masuk terpilih yang diterima, termasuk SSH.
- Zona penurunan: Setiap paket yang masuk dijatuhkan tanpa balasan. Zona ini hanya mengizinkan koneksi jaringan keluar.
Contoh zona default yang ditentukan oleh stasiun kerja Fedora 33
cat /usr/lib/firewalld/zones/FedoraWorkstation.xmlFedora Workstation Paket jaringan masuk yang tidak diminta akan ditolak dari port 1 hingga 1024, kecuali untuk layanan jaringan tertentu. [firewall ] Paket masuk yang terkait dengan koneksi jaringan keluar diterima. Koneksi jaringan keluar diperbolehkan.