💾 Archived View for tilde.team › ~rami › redhat_firewalld.gmi captured on 2023-03-20 at 19:31:16. Gemini links have been rewritten to link to archived content

View Raw

More Information

⬅️ Previous capture (2023-01-29)

➡️ Next capture (2023-12-28)

-=-=-=-=-=-=-

~Rami ₪ MANUALS

רמי

SUBJECT: Firewalld: Настройка и тестирование системного фаэрволла

AUTHOR: Rami Rosenfeld

DATE: 12/09/22

TIME: 15.00

LANG: ru, en

LICENSE: GNU FDL 1.3

TAGS: gnu, gnome, software, opensource, linux, system, man, manual, bash, privacy, security, rhel, centos, mate, xfce, lxde, spin, de, systemd, systemctl, selinux, firewalld, dnf, rpm

Firewalld: Настройка и тестирование системного фаэрволла

INTRO

В RedHat (RHEL, Fedora, CentOS) имеется отличный GUI для встроенного фаэрволла, однако многие команды нагляднее и удобнее выполнять прямо из консоли; тем более, что они априорно легки для восприятия и хорошо запоминаются.

Примечание: Некоторые порты могут быть открыты/закрыты, а некоторым службам разрешена/запрещена активность в зависимости от устанавливаемого вами дистрибутива и (что немаловажно!) - т.н. "зоны" фаэрволла, выставленной по умолчанию.

NOTE

Обшие команды Firewalld

• Проверка статуса при помощи systemd

systemctl status firewalld

• Проверка состояния фаэрволла

firewall-cmd --state

Результат: running

• Определение зоны

firewall-cmd --get-default-zone

Результат: public

Примечание: "зона" - набор определенных правил и политик безопасности для фаэрволла, включенных по умолчанию.

• Определение сетевых интерфейсов, обслуживаемых текущей активной зоной

firewall-cmd --get-active-zones

Результат: public

interfaces: enp3s0 ppp0

Режимы работы Firewalld

Фаэрволл настраивается в двух режимах: runtime (текущий) и permanent (постоянный). На это нужно обращать внимание при консольной настройке. Для изменений постоянного режима используется опция "--permanent".

• Получение списка всех доступных зон в режиме runtime

firewall-cmd --get-zones

Результат:

FedoraServer

FedoraWorkstation

block

dmz

drop

external

home

internal

public

trusted

work

• Получение списка всех доступных зон в режиме permanent

firewall-cmd --permanent --get-zones

Результат: (аналогичен предыдущему)

• Проверка правил и настроек всех зон в режиме permanent

firewall-cmd --permanent --list-all-zones

Результат (сокращен):

FedoraWorkstation

interfaces:

sources:

services: dhcpv6-client mdns

ports: 1025-65535/udp 1025-65535/tcp

masquerade: no

forward-ports:

icmp-blocks:

rich rules:

block

(...)

dmz

(...)

Примечание: по умолчанию во многих дистрибутивах установлена зона "public", но лучше это перепроверить!

• Создание новой зоны в режиме permanent

(только при необходимости; рекомендую выбирать зоны из предустановленных)

firewall-cmd --permanent --new-zone=my_zone

Результат: success

• Проверка создания новой зоны и ее свойств

firewall-cmd --permanent --list-all-zones

Результат:

my_zone

interfaces:

sources:

services:

ports:

masquerade: no

forward-ports:

icmp-blocks:

rich rules:

public (default)

(...)

• Удаление зоны в режиме permanent

firewall-cmd --permanent --delete-zone=my_zone

Результат: success

Общая проверка свойств дефолтной зоны "public" в режиме permanent

firewall-cmd --permanent --list-all

Результат:

public (default)

interfaces:

sources:

services: dhcpv6-client mdns

ports:

masquerade: no

forward-ports:

icmp-blocks:

rich rules:

• Проверка разрешенных сервисов, активных в дефолтной зоне в режиме permanent

firewall-cmd --permanent --list-services

Результат: dhcpv6-client mdns

• Получение списка всех доступных сервисов для режима permanent

(результаты вывода сокращены)

firewall-cmd --permanent --get-services

Результат: amanda-client amanda-k5-client bacula (...)

• Изменение дефолтной зоны

Примечание: эта команда работает сразу для двух режимов - runtime и permanent.

firewall-cmd --set-default-zone=FedoraWorkstation

Результат: success

• Перезагрузка фаэрволла

firewall-cmd --reload

Результат: success

• Проверка дефолтной зоны

firewall-cmd --get-active-zones

Результат: FedoraWorkstation

interfaces: enp3s0 ppp0

• Определение открытых входящих портов ("in") для дефолтной зоны в режиме permanent

firewall-cmd --permanent --list-ports

Результат: 1025-65535/udp 1025-65535/tcp

• Удаление разрешающих правил для открытых портов udp/tcp в режиме permanent

firewall-cmd --permanent --remove-port=1025-65535/udp && firewall-cmd --permanent --remove-port=1025-65535/tcp

Результат:

success

success

• Проверка правильности удаления портов в режиме permanent

firewall-cmd --permanent --zone=FedoraWorkstation --list-ports

Результат: (код возврата - 0, т.е. системного сообщения нет)

• Удаление разрешающих правил для всех открытых портов в режиме runtime

firewall-cmd --remove-port=1025-65535/udp && firewall-cmd --remove-port=1025-65535/tcp

Результат:

success

success

• Проверка правильности удаления портов в режиме runtime

firewall-cmd --list-ports

Результат: (код возврата - 0, т.е. системного сообщения нет)

• Удаление сервиса клиента dhcpv6-client в режиме permanent

firewall-cmd --permanent --remove-service=dhcpv6-client

Результат: success

• Удаление сервиса клиента dhcpv6-client в режиме runtime

firewall-cmd --remove-service=dhcpv6-client

Результат: success

Примечание: Аналогичными командами удаляем из дефолтной зоны поддержку сервисов ssh, mdns, samba, если они имеются в наличии)

• Перезагрузка фаэрволла

firewall-cmd --reload

Результат: success

• Проверка свойств дефолтной зоны в режиме permanent

firewall-cmd --permanent --list-all

Результат:

FedoraWorkstation (default)

interfaces:

sources:

services:

ports:

masquerade: no

forward-ports:

icmp-blocks:

rich rules:

• Установка GUI (если он отсутствует)

dnf install firewall-config

Примеры некоторых команд:

• Быстрое блокирование всех входящих и выходящих соединений (режим паники)

firewall-cmd --panic-on

• Отключение режима паники

firewall-cmd --panic-off

• Проверка статуса режима паники

firewall-cmd --query-panic

Примечание: возвращает 0, если panic mode включен, 1 - если выключен.

• Команды подключения (временно или постоянно) определенного порта и/или сервиса

firewall-cmd --add-service=http

firewall-cmd --add-port=443/tcp

firewall-cmd --permanent --add-port=443/tcp

• Временное подключение (на 5 минут) клиента wireguard для определенной зоны (public). Если зона не указана, правило применяется к дефолтной зоне:

firewall-cmd --zone=public --add-service=wireguard --timeout=5m

Результат: success

• Проверка подключения сервиса

firewall-cmd --list-services

Результат: wireguard

• Руководство

man firewall-cmd

Подробнее см.:

Firewalld Official Documentation

Fedora: Using Firewalld

₪ Back to home ₪

🄯 Rami Rosenfeld, 2022. GNU FDL 1.3.