GNU/Linux >> Belajar Linux >  >> Linux

Memulai dengan firewall Linux

Firewall yang masuk akal adalah garis pertahanan pertama komputer Anda terhadap intrusi jaringan. Saat Anda di rumah, Anda mungkin berada di belakang firewall yang terpasang di perute yang disediakan oleh penyedia layanan internet Anda. Namun, saat Anda jauh dari rumah, satu-satunya firewall yang Anda miliki adalah firewall yang berjalan di komputer Anda, jadi penting untuk mengonfigurasi dan mengontrol firewall di komputer Linux Anda. Jika Anda menjalankan server Linux, mengetahui cara mengelola firewall juga sama pentingnya sehingga Anda dapat melindunginya dari lalu lintas yang tidak diinginkan baik secara lokal maupun jarak jauh.

Instal firewall

Banyak distribusi Linux dikirimkan dengan firewall yang sudah terpasang, dan biasanya itu adalah iptables . Ini sangat efektif dan dapat disesuaikan, tetapi bisa rumit untuk dikonfigurasi. Untungnya, pengembang telah menghasilkan beberapa frontend untuk membantu pengguna mengontrol firewall mereka tanpa menulis aturan iptables yang panjang.

Pada Fedora, CentOS, Red Hat, dan distribusi serupa, perangkat lunak firewall yang diinstal secara default adalah firewalld , yang dikonfigurasi dan dikontrol dengan firewall-cmd memerintah. Pada Debian dan sebagian besar distribusi lainnya, firewalld tersedia untuk diinstal dari repositori perangkat lunak Anda. Ubuntu dikirimkan dengan Uncomplicated Firewall (ufw), jadi untuk menggunakan firewalld, Anda harus mengaktifkan universe penyimpanan:

$ sudo add-apt-repository universe

$ sudo apt install firewalld

Anda juga harus menonaktifkan ufw:

$ sudo systemctl disable ufw

Tidak ada alasan tidak untuk menggunakan ufw. Ini adalah frontend firewall yang sangat baik. Namun, artikel ini berfokus pada firewalld karena ketersediaan dan integrasinya yang luas ke dalam systemd, yang dikirimkan dengan hampir semua distribusi.

Terlepas dari distribusi Anda, agar firewall efektif, firewall harus aktif, dan harus dimuat saat boot:

$ sudo systemctl enable --now firewalld

Memahami zona firewall

Firewalld bertujuan untuk membuat konfigurasi firewall sesederhana mungkin. Ini dilakukan dengan menetapkan zona . Zona adalah seperangkat aturan umum yang masuk akal yang sesuai dengan kebutuhan sehari-hari sebagian besar pengguna. Ada sembilan secara default:

  • tepercaya: Semua koneksi jaringan diterima. Ini adalah setelan firewall yang paling tidak paranoid dan hanya boleh digunakan di lingkungan tepercaya, seperti lab pengujian atau di rumah keluarga tempat semua orang di jaringan lokal dikenal ramah.
  • rumah, kantor, internal: Di tiga zona ini, sebagian besar koneksi masuk diterima. Mereka masing-masing mengecualikan lalu lintas pada port yang biasanya tidak mengharapkan aktivitas. Salah satunya adalah pengaturan yang masuk akal untuk digunakan di pengaturan rumah di mana tidak ada alasan untuk mengharapkan lalu lintas jaringan untuk mengaburkan port, dan Anda biasanya mempercayai pengguna lain di jaringan.
  • publik: Untuk digunakan di tempat umum. Ini adalah pengaturan paranoid, dimaksudkan untuk saat-saat ketika Anda tidak mempercayai komputer lain di jaringan. Hanya koneksi masuk yang umum dan sebagian besar aman yang diterima.
  • dmz: DMZ adalah singkatan dari zona demiliterisasi. Zona ini ditujukan untuk komputer yang dapat diakses publik, terletak di jaringan eksternal organisasi dengan akses terbatas ke jaringan internal. Untuk komputer pribadi, ini biasanya bukan zona yang berguna, tetapi ini merupakan opsi penting untuk jenis server tertentu.
  • eksternal: Untuk digunakan pada jaringan eksternal dengan penyamaran diaktifkan (artinya alamat jaringan pribadi Anda dipetakan dan disembunyikan di balik alamat IP publik). Mirip dengan zona dmz, hanya koneksi masuk terpilih yang diterima, termasuk SSH.
  • blokir: Hanya koneksi jaringan yang dimulai dalam sistem ini yang dimungkinkan, dan semua koneksi jaringan yang masuk ditolak dengan icmp-host-prohibited pesan. Ini adalah pengaturan yang sangat paranoid dan merupakan opsi penting untuk jenis server atau komputer pribadi tertentu di lingkungan yang tidak tepercaya atau tidak bersahabat.
  • jatuhkan: Setiap dan semua paket jaringan yang masuk dijatuhkan tanpa balasan. Hanya koneksi jaringan keluar yang memungkinkan. Satu-satunya pengaturan yang lebih paranoid daripada ini adalah mematikan WiFi Anda dan mencabut kabel Ethernet Anda.

Anda dapat membaca tentang setiap zona dan zona lain yang ditentukan oleh distribusi atau sysadmin Anda dengan melihat file konfigurasi di /usr/lib/firewalld/zones . Misalnya, inilah zona FedoraWorkstation yang dikirimkan bersama Fedora 31:

$ cat /usr/lib/firewalld/zones/FedoraWorkstation.xml 

<?xml version="1.0" encoding="utf-8"?>

<zone>

  <short>Fedora Workstation</short>

  <description>Unsolicited incoming network packets are rejected from port 1 to 1024, except for select network services. Incoming packets that are related to outgoing network connections are accepted. Outgoing network connections are allowed.</description>

  <service name="dhcpv6-client"/>

  <service name="ssh"/>

  <service name="samba-client"/>

  <port protocol="udp" port="1025-65535"/>

  <port protocol="tcp" port="1025-65535"/>

</zone>

Dapatkan zona Anda saat ini

Anda dapat melihat zona Anda kapan saja dengan --get-active-zones pilihan:

$ sudo firewall-cmd --get-active-zones

Sebagai tanggapan, Anda menerima nama zona aktif bersama dengan antarmuka jaringan yang ditetapkan untuk itu. Di laptop, itu biasanya berarti Anda memiliki kartu WiFi di zona default:

FedoraWorkstation

  interfaces: wlp61s0

Ubah zona Anda saat ini

Untuk mengubah zona Anda, tetapkan kembali antarmuka jaringan Anda ke zona yang berbeda. Misalnya, untuk mengubah contoh wlp61s0 kartu ke zona publik:

$ sudo firewall-cmd --change-interface=wlp61s0 \

--zone=public

Lebih banyak sumber daya Linux

  • Lembar contekan perintah Linux
  • Lembar contekan perintah Linux tingkat lanjut
  • Kursus online gratis:Ikhtisar Teknis RHEL
  • Lembar contekan jaringan Linux
  • Lembar contekan SELinux
  • Lembar contekan perintah umum Linux
  • Apa itu container Linux?
  • Artikel Linux terbaru kami

Anda dapat mengubah zona aktif untuk antarmuka kapan pun Anda mau dan untuk alasan apa pun—apakah Anda pergi ke kafe dan merasa perlu untuk meningkatkan kebijakan keamanan laptop Anda, atau Anda akan bekerja dan perlu membuka beberapa port untuk masuk ke intranet, atau karena alasan lain. Opsi untuk firewall-cmd pelengkapan otomatis saat Anda menekan Tab kunci, jadi selama Anda mengingat kata kunci "ubah" dan "zona", Anda dapat tersandung melalui perintah sampai Anda mempelajarinya dengan memori.

Pelajari lebih lanjut

Ada banyak lagi yang dapat Anda lakukan dengan firewall Anda, termasuk menyesuaikan zona yang ada, mengatur zona default, dan banyak lagi. Semakin nyaman dengan firewall yang Anda dapatkan, semakin aman aktivitas online Anda, jadi kami telah membuat lembar contekan untuk referensi cepat dan mudah.

Unduh lembar contekan firewall Anda


Linux

  1. Memulai NetworkManager di Linux

  2. Memulai PiFlash:Mem-boot Raspberry Pi Anda di Linux

  3. Memulai SSH di Linux

  1. Memulai dengan perintah tac Linux

  2. Memulai dengan perintah cat Linux

  3. Memulai PostgreSQL di Linux

  1. Memulai dengan btrfs untuk Linux

  2. Saran untuk memulai dengan GNOME

  3. Memulai dengan desktop GNOME Linux