Firewalld

Categories: Nástroje

Je nástroj pro dynamickou správu firewallu s podporou síťových zón, které definují úroveň důvěry síťových spojení. Podporuje rovněž IPv4, IPv6, ethernetové mosty a sady IP adres. Poskytuje také rozhraní pro přidávání pravidel napřímo jako služby a aplikace. Více o tomto nástroji se dočtete na firewalld.org.

Kde jej najdeme?

Firewalld je použit v následujících linuxových distribucích jako základní nástroj správy firewallu:

  • RHEL 7 a novějších
  • CentOS 7 a novějších
  • Fedora 18 a novějších
  • SUSE 15 a novějších
  • OpenSUSE 15 a novějších

Níže jsou aplikace a knihovny podporující firewalld:

  • NetworkManager
  • libvirt
  • podman
  • docker
  • fail2ban

Konfigurační soubory

Pro nastavení firewallu můžeme využít definice zón, služeb a sad IP adres. V /etc/firewalld/ najdeme tyto adresáře, které obsahují nastavení daných komponent. Důležité tedy pro nás jsou:

Firewalld.conf

Obsahuje základní nastavení a definice firewallu, důležitá je pro nás řádka:

DefaultZone=public

Ipsets

Obsahem tohoto adresáře jsou sady IP adres, u kterých můžeme později určit zda budou blokovány anebo povoleny.

Vytvořím si například soubor lokal.xml, který bude sloužit k zápisu lokálních a povolených adres:

Firewalld - lokal
Firewalld – lokal

Pro blokování některých IP adres si vytvořím soubor blacklist.xml s obsahem adres:

Firewalld - blacklist
Firewalld – blacklist

Services

Slouží pro konfigurační soubory jednotlivých služeb, můžeme využít stávající služby anebo vytvořit nový název služby s pravidly. Příklad pro službu SSH vypadá následovně, vytvořím soubor ssh.xml a doněj zapíši:

Firewalld - ssh
Firewalld – ssh

Zones

Obsahuje konfigurační soubory zón jako například public.xml, která má přísnější pravidla oproti ostatním. Obsahem takové zóny public pro službu SSH a lokální adresy definované v souboru lokal.xml a blokované adresy zapsané v souboru blacklist.xml je:

Firewalld - public
Firewalld – public

Hodící se příkazy

  • Zobrazí aktuální nastavení firewallu
firewall-cmd --list-all
  • Znovunahrání pravidel a firewallu
firewall-cmd --reload

    Napsat komentář

    Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *