Ricerca nel sito web

Regole utili di "FirewallD" per configurare e gestire il firewall in Linux

Firewalld fornisce un modo per configurare regole firewall dinamiche in Linux che possono essere applicate istantaneamente, senza la necessità di riavviare il firewall e supporta inoltre D-BUS e concetti di zona che semplificano la configurazione.

Firewalld ha sostituito il vecchio meccanismo firewall di Fedora (Fedora 18 in poi), RHEL/CentOS 7 e altre distribuzioni più recenti si basano su questo nuovo meccanismo. Uno dei motivi principali per introdurre un nuovo sistema firewall è che il vecchio firewall necessita di un riavvio dopo aver apportato ogni modifica, interrompendo così tutte le connessioni attive. Come detto sopra, l'ultimo firewalld supporta zone dinamiche che sono utili per configurare diversi set di zone e regole per la rete dell'ufficio o domestica tramite una riga di comando o utilizzando un metodo GUI.

Inizialmente, il concetto di firewalld sembra molto difficile da configurare, ma i servizi e le zone lo rendono più semplice mantenendoli entrambi insieme, come spiegato in questo articolo.

Nel nostro precedente articolo, dove abbiamo visto come giocare con firewalld e le sue zone, ora qui, in questo articolo, vedremo alcune utili regole firewalld per configurare i vostri attuali sistemi Linux utilizzando la modalità a riga di comando.

  1. Configurazione del firewall in RHEL/CentOS 7

Tutti gli esempi trattati in questo articolo sono praticamente testati sulla distribuzione CentOS 7 e funzionano anche sulle distribuzioni RHEL e Fedora.

Prima di implementare le regole di firewalld, assicurati di controllare prima se il servizio firewalld abilitato e in esecuzione.

systemctl status firewalld

L'immagine sopra mostra che firewalld è attivo e in esecuzione. Ora è il momento di controllare tutte le zone attive e i servizi attivi.

firewall-cmd --get-active-zones
firewall-cmd --get-services

Se non hai familiarità con la riga di comando, puoi anche gestire firewalld dalla GUI, per questo devi avere il pacchetto GUI installato sul sistema, altrimenti installalo utilizzando il seguente comando.

yum install firewalld firewall-config

Come detto sopra, questo articolo è scritto appositamente per gli amanti della riga di comando e tutti gli esempi che tratteremo sono basati solo sulla riga di comando, senza interfaccia grafica... scusate…..

Prima di procedere oltre, assicurati di confermare su quale zona pubblica configurerai il firewall Linux ed elenca tutti i servizi attivi, le porte e le regole avanzate per la zona pubblica utilizzando il seguente comando.

firewall-cmd --zone=public --list-all

Nell'immagine sopra, non è stata ancora aggiunta alcuna regola attiva, vediamo come aggiungere, rimuovere e modificare le regole nella parte restante di questo articolo….

1. Aggiunta e rimozione di porte in Firewalld

Per aprire qualsiasi porta per la zona pubblica, utilizzare il comando seguente. Ad esempio, il comando seguente aprirà la porta 80 per la zona pubblica.

firewall-cmd --permanent --zone=public --add-port=80/tcp

Allo stesso modo, per rimuovere la porta aggiunta, utilizza semplicemente l'opzione "–remove" con il comando firewalld come mostrato di seguito.

firewall-cmd --zone=public --remove-port=80/tcp

Dopo aver aggiunto o rimosso porte specifiche, assicurati di confermare se la porta è stata aggiunta o rimossa utilizzando l'opzione "–list-ports".

firewall-cmd --zone=public --list-ports

2. Aggiunta e rimozione di servizi in Firewalld

Per impostazione predefinita, firewalld viene fornito con servizi predefiniti, se desideri aggiungere un elenco di servizi specifici, devi creare un nuovo file xml con tutti i servizi inclusi nel file oppure puoi anche definire o rimuovere ciascun servizio manualmente eseguendo seguente comandi.

Ad esempio, i seguenti comandi ti aiuteranno ad aggiungere o rimuovere servizi specifici, come abbiamo fatto per FTP qui in questo esempio.

firewall-cmd --zone=public --add-service=ftp
firewall-cmd --zone=public --remove-service=ftp
firewall-cmd --zone=public --list-services

3. Blocco dei pacchetti in entrata e in uscita (modalità panico)

Se desideri bloccare qualsiasi connessione in entrata o in uscita, devi utilizzare la modalità "panico" per bloccare tali richieste. Ad esempio, la seguente regola interromperà qualsiasi connessione esistente stabilita sul sistema.

firewall-cmd --panic-on

Dopo aver abilitato la modalità panico, prova a eseguire il ping di qualsiasi dominio (ad esempio google.com) e controlla se la modalità panico è ON utilizzando '–query-panic ' come elencato di seguito.

ping google.com -c 1
firewall-cmd --query-panic

Come vedi nell'immagine sopra, la query di panico dice "Host sconosciuto google.com". Ora prova a disabilitare la modalità panico, quindi esegui nuovamente il ping e controlla.

firewall-cmd --query-panic
firewall-cmd --panic-off
ping google.com -c 1

Ora, questa volta, ci sarà una richiesta di ping da google.com..