GNU/Linux >> Belajar Linux >  >> Cent OS

CentOS / RHEL 7 :Panduan pemula untuk firewalld

Pengantar

– Firewall pemfilteran paket membaca paket jaringan yang masuk dan memfilter (mengizinkan atau menolak) setiap paket data berdasarkan informasi header dalam paket. Kernel Linux memiliki fungsionalitas pemfilteran paket bawaan yang disebut Netfilter .
– Dua layanan tersedia di RHEL 7 untuk membuat, memelihara, dan menampilkan aturan yang disimpan oleh Netfilter:
1. firewall
2. iptables
– Dalam RHEL 7, layanan firewall default adalah firewalld.
– firewalld adalah manajer firewall dinamis yang mendukung zona firewall (jaringan).
– Layanan firewalld memiliki dukungan untuk IPv4, IPv6, dan untuk jembatan Ethernet.
– Layanan firewalld juga menyediakan antarmuka D-BUS. Layanan atau aplikasi yang sudah menggunakan D-BUS dapat menambahkan atau meminta perubahan aturan firewall secara langsung melalui antarmuka D-BUS.

Kelebihan dibandingkan iptables

firewalld memiliki keunggulan sebagai berikut dibandingkan iptables :
1. Tidak seperti perintah iptables, perintah firewall-cmd tidak me-restart firewall dan mengganggu koneksi TCP yang sudah ada.
2. firewalld mendukung zona dinamis.
3. firewalld mendukung D-Bus untuk integrasi yang lebih baik dengan layanan yang bergantung pada konfigurasi firewall.

Opsi konfigurasi

Layanan firewalld memiliki dua jenis opsi konfigurasi:
1. Waktu Proses :Perubahan pada pengaturan firewall langsung berlaku tetapi tidak permanen. Perubahan yang dibuat dalam mode konfigurasi runtime akan hilang saat layanan firewalld dimulai ulang.
2. Permanen :Perubahan pada pengaturan firewall ditulis ke file konfigurasi. Perubahan ini diterapkan saat layanan firewalld dimulai ulang.

File konfigurasi

File konfigurasi untuk firewalld ada di dua direktori:
/usr/lib/firewalld :Berisi file konfigurasi default. Jangan membuat perubahan pada file-file ini. Pembaruan paket firewalld menimpa direktori ini.
/etc/firewalld :Perubahan pada file konfigurasi default disimpan di direktori ini. File dalam direktori ini membebani file konfigurasi default.

zona firewall

Layanan firewalld memungkinkan Anda untuk memisahkan jaringan ke dalam zona yang berbeda berdasarkan tingkat kepercayaan yang ingin Anda tempatkan pada perangkat dan lalu lintas dalam jaringan tertentu. Untuk setiap zona, Anda dapat menentukan fitur berikut:
Layanan :Layanan standar atau kustom untuk dipercaya. Layanan tepercaya adalah kombinasi port dan protokol yang dapat diakses dari sistem dan jaringan lain.
Port :Port tambahan atau rentang port dan protokol terkait yang dapat diakses dari sistem dan jaringan lain.
Masquerading :Menerjemahkan alamat IPv4 ke satu alamat eksternal. Dengan penyamaran diaktifkan, alamat jaringan pribadi dipetakan dan disembunyikan di balik alamat publik.
Penerusan Port :Meneruskan lalu lintas jaringan masuk dari port atau rentang port tertentu ke port alternatif di sistem lokal, atau ke port di alamat IPv4 lain.
Filter ICMP :Blokir pesan Protokol Pesan Kontrol Internet yang dipilih.
Rich Rules :Perluas aturan firewall yang ada untuk menyertakan alamat sumber dan tujuan tambahan serta tindakan pencatatan dan pengauditan.
Antarmuka :Antarmuka jaringan terikat ke zona. Zona untuk antarmuka ditentukan dengan ZONE=option di /etc/sysconfig/network-scripts/ifcfg mengajukan. Jika opsi ini tidak ada, antarmuka akan terikat ke zona default.

Zona firewall yang telah ditentukan sebelumnya

Paket perangkat lunak firewalld menyertakan satu set zona jaringan yang telah ditentukan di direktori berikut:

#  ls -lrt /usr/lib/firewalld/zones/
total 36
-rw-r----- 1 root root 342 Sep 15  2015 work.xml
-rw-r----- 1 root root 162 Sep 15  2015 trusted.xml
-rw-r----- 1 root root 315 Sep 15  2015 public.xml
-rw-r----- 1 root root 415 Sep 15  2015 internal.xml
-rw-r----- 1 root root 400 Sep 15  2015 home.xml
-rw-r----- 1 root root 304 Sep 15  2015 external.xml
-rw-r----- 1 root root 291 Sep 15  2015 drop.xml
-rw-r----- 1 root root 293 Sep 15  2015 dmz.xml
-rw-r----- 1 root root 299 Sep 15  2015 block.xml

File zona berisi pengaturan prasetel, yang dapat diterapkan ke antarmuka jaringan. Misalnya:

# grep –i service /usr/lib/firewalld/zones/public.xml 
<service name=“ssh”/>
<service name=“dhcpv6-client”/>

Dalam contoh ini, antarmuka jaringan yang terikat ke zona publik hanya mempercayai dua layanan, ssh dan dhcpv6-client.

Penjelasan singkat dari setiap zona berikut:
jatuhkan :Setiap paket jaringan yang masuk dijatuhkan, tidak ada balasan. Hanya koneksi jaringan
keluar yang memungkinkan.
blokir :Setiap koneksi jaringan yang masuk ditolak dengan pesan icmp-host-dilarang untuk IPv4 dan icmp6-adm-dilarang untuk IPv6. Hanya koneksi jaringan yang dimulai dari dalam sistem yang dimungkinkan.
home :Untuk digunakan di area rumah. Anda kebanyakan mempercayai komputer lain di jaringan untuk tidak membahayakan komputer Anda. Hanya koneksi masuk terpilih yang diterima.
publik :Untuk digunakan di tempat umum. Anda tidak mempercayai komputer lain di jaringan untuk tidak membahayakan komputer Anda. Hanya koneksi masuk terpilih yang diterima.
bekerja :Untuk digunakan di area kerja. Anda kebanyakan mempercayai komputer lain di jaringan untuk tidak membahayakan komputer Anda. Hanya koneksi masuk terpilih yang diterima.
dmz :Untuk komputer di zona demiliterisasi Anda yang dapat diakses publik dengan akses terbatas ke jaringan internal Anda. Hanya koneksi masuk terpilih yang diterima.
eksternal :Untuk digunakan pada jaringan eksternal dengan penyamaran diaktifkan terutama untuk router. Anda tidak mempercayai komputer lain di jaringan untuk tidak membahayakan komputer Anda. Hanya koneksi masuk terpilih yang diterima.
internal :Untuk digunakan pada jaringan internal. Anda kebanyakan mempercayai komputer lain di jaringan untuk tidak membahayakan komputer Anda. Hanya koneksi masuk terpilih yang diterima.
tepercaya :Semua koneksi jaringan diterima.

Menyetel Zona firewalld Default

Setelah instalasi awal, zona publik adalah zona default seperti yang ditentukan dalam file konfigurasi, /etc/firewalld/firewalld.conf .

# grep –i defaultzone /etc/firewalld/firewalld.conf 
DefaultZone=public

Antarmuka jaringan terikat ke zona default kecuali ditentukan dengan ZONE=[zone] dalam file ifcfg. Perintah berikut menunjukkan antarmuka yang terikat ke zona publik:

# firewall-cmd --get-active-zone
public
      interfaces: eth0 eth1

Anda dapat menggunakan perintah firewall-cmd untuk mengubah zona default:

# firewall-cmd --set-default-zone=work 
success

Anda juga dapat menggunakan GUI konfigurasi firewall untuk mengubah zona default. Dari bilah menu, pilih Opsi->Ubah Zona Default, lalu pilih zona dari daftar pop-up.

Layanan firewall

– Layanan firewalld adalah kombinasi port lokal dan protokol serta alamat tujuan.
– Layanan firewalld juga dapat menyertakan modul kernel Netfilter yang dimuat secara otomatis saat layanan diaktifkan.
– Paket perangkat lunak firewalld mencakup satu set layanan yang telah ditentukan di direktori berikut:

# ls -lrt /usr/lib/firewalld/zones/
total 36
-rw-r----- 1 root root 342 Sep 15  2015 work.xml
-rw-r----- 1 root root 162 Sep 15  2015 trusted.xml
-rw-r----- 1 root root 315 Sep 15  2015 public.xml
-rw-r----- 1 root root 415 Sep 15  2015 internal.xml
-rw-r----- 1 root root 400 Sep 15  2015 home.xml
-rw-r----- 1 root root 304 Sep 15  2015 external.xml
-rw-r----- 1 root root 291 Sep 15  2015 drop.xml
-rw-r----- 1 root root 293 Sep 15  2015 dmz.xml
-rw-r----- 1 root root 299 Sep 15  2015 block.xml

– Layanan dapat diaktifkan untuk suatu zona dalam mode Waktu Proses.
– Definisi layanan hanya dapat diedit dalam mode Permanen.

Mulai firewalld

Untuk memulai firewall:

# systemctl start firewalld

Untuk memastikan firewalld dimulai saat boot:

# systemctl enable firewalld

Untuk memeriksa apakah firewalld sedang berjalan:

# systemctl status firewalld
# firewall-cmd --state

Tiga metode untuk mengonfigurasi layanan firewalld:
firewall-cmd :Antarmuka baris perintah
firewall-config :Antarmuka pengguna grafis
– Mengedit berbagai XML file konfigurasi.

CentOS / RHEL 7 :Cara memulai / Menghentikan Firewalld

Utilitas firewall-cmd

Alat baris perintah firewall-cmd adalah bagian dari aplikasi firewalld, yang diinstal secara default. Untuk mendapatkan bantuan tentang perintah firewall-cmd:

# firewall-cmd --help

Perintah firewall-cmd menawarkan kategori opsi seperti General, Status, Permanent, Zone, IcmpType, Service, Adapt and Query Zones, Direct, Lockdown, Lockdown Whitelist, dan Panic. Untuk membuat daftar informasi untuk semua zona:

# firewall-cmd --list-all-zones public (default, active)
      interfaces: eth0 eth1
      sources:
      services: dhcpv6-client ssh
      ports:
  ...

Untuk mengizinkan akses oleh klien HTTP untuk zona publik:

# firewall-cmd --zone=public --add-service=http 
success

Untuk membuat daftar layanan yang diizinkan untuk zona publik:

# firewall-cmd --zone=work --list-services
    dhcpv6-client http ssh

Menggunakan perintah ini hanya mengubah konfigurasi Runtime dan tidak memperbarui file konfigurasi.
Perubahan konfigurasi yang dibuat dalam mode konfigurasi Runtime akan hilang ketika layanan firewalld dimulai ulang:

# systemctl restart firewalld
# firewall-cmd --zone=work --list-services dhcpv6-client ssh

Untuk membuat perubahan permanen, gunakan opsi –permanen. Contoh:

# firewall-cmd --permanent --zone=public --add-service=http 
success

Perubahan yang dibuat dalam mode konfigurasi Permanen tidak langsung diterapkan. Namun, perubahan yang dibuat dalam konfigurasi Permanen ditulis ke file konfigurasi. Restart layanan firewalld membaca file konfigurasi dan mengimplementasikan perubahan. Contoh:

# systemctl restart firewalld
# firewall-cmd --zone=work --list-services 
dhcpv6-client http ssh


Cent OS

  1. CentOS / RHEL 7 :Panduan pemula untuk systemd

  2. Panduan Pemula untuk Udev di Linux

  3. Panduan Pemula untuk Menyetel Profil di CentOS/RHEL

  1. Instal TeamViewer di CentOS 5 / RHEL 5

  2. Cara menginstal TeamViewer di CentOS 6 / RHEL 6

  3. Panduan Pemula untuk Mengelola Aliran Modul Paket di CentOS/RHEL 8

  1. Setel ulang kata sandi root di CentOS 7 / RHEL 7

  2. CentOS / RHEL :Panduan pemula untuk vsftpd (instalasi dan konfigurasi)

  3. Panduan Pemula untuk Mengotomatiskan Sistem File di CentOS / RHEL