Wprowadzenie do Firewalld

Podczas zarządzania bezpieczeństwem serwera, solidne rozwiązanie hostingowe jest niezbędne do zapewnienia niezawodności i wydajności konfiguracji. Hosting Linux VPS firmy AlexHost zapewnia idealną platformę do wdrażania zaawansowanych środków bezpieczeństwa, takich jak dynamiczne zarządzanie zaporą ogniową za pomocą Firewalld. Dzięki pełnemu dostępowi roota, konfigurowalnym zasobom i wysokiej wydajności, AlexHost zapewnia elastyczność i stabilność potrzebną do skutecznej konfiguracji i zarządzania Firewalld.

Firewalld to narzędzie do dynamicznego zarządzania zaporą sieciową, które zapewnia bardziej elastyczny sposób zarządzania ustawieniami zapory w systemach Linux. Upraszcza proces konfiguracji zapór sieciowych w porównaniu do tradycyjnych narzędzi, takich jak iptables, oferując łatwiejszy w użyciu interfejs przy zachowaniu solidnych funkcji bezpieczeństwa. Firewalld jest domyślnie dostępny w kilku dystrybucjach Linuksa, w tym Fedora, CentOS, Red Hat Enterprise Linux i innych. Niniejszy przewodnik zawiera wprowadzenie do Firewalld, jego kluczowe koncepcje i sposób jego efektywnego wykorzystania.

Czym jest Firewalld?

Firewalld jest interfejsem front-end dla iptables i nftables, które są podstawowymi mechanizmami zapory sieciowej w systemach Linux. Podczas gdy te tradycyjne narzędzia wymagają ręcznego tworzenia reguł i zarządzania nimi, Firewalld zapewnia prostszy sposób dynamicznego tworzenia, modyfikowania i zarządzania regułami zapory. Jego główną zaletą jest możliwość zmiany ustawień bez konieczności ponownego uruchamiania usługi zapory sieciowej lub przerywania aktywnych połączeń sieciowych.

Kluczowe pojęcia w Firewalld

Przed zagłębieniem się w sposób korzystania z Firewalld, konieczne jest zrozumienie kilku kluczowych pojęć, które stanowią podstawę jego działania.

1. Strefy

Strefy są centralnym pojęciem w Firewalld i reprezentują różne poziomy zaufania dla połączeń sieciowych. Każda strefa może być skonfigurowana z własnym zestawem reguł firewalla, a interfejsy sieciowe mogą być przypisane do określonych stref w oparciu o ich potrzeby bezpieczeństwa.

Firewalld zawiera kilka predefiniowanych stref, takich jak:

• Publiczna: Nadaje się do użytku w miejscach publicznych, takich jak lotniska i kawiarnie, gdzie bezpieczeństwo jest najwyższym priorytetem.
• Prywatna: Używana dla zaufanych sieci, takich jak sieć domowa lub biurowa.
• Zaufane: Wszystkie połączenia przychodzące są dozwolone. Ta opcja powinna być używana tylko w przypadku wysoce zaufanych sieci.
• Blokuj: Połączenia przychodzące są odrzucane bez żadnej odpowiedzi.
• Drop: podobne do Block, ale po cichu odrzuca cały ruch przychodzący.
• Internal: Używany w zaufanych sieciach wewnętrznych, pozwalając na łagodniejsze reguły zapory.

Można również tworzyć niestandardowe strefy w oparciu o konkretne wymagania.

2. Usługi

Usługi w Firewalld reprezentują zestaw predefiniowanych reguł zapory sieciowej dla określonych usług sieciowych, takich jak HTTP, FTP lub SSH. Zamiast ręcznie konfigurować porty i protokoły, Firewalld pozwala włączyć lub wyłączyć usługi za pomocą prostego polecenia. Ułatwia to zarządzanie regułami zapory sieciowej bez konieczności rozumienia każdego szczegółu technicznego związanego z daną usługą.

3. Bogate reguły

Reguły rozszerzone to zaawansowane reguły w Firewalld, które zapewniają bardziej szczegółową kontrolę nad filtrowaniem ruchu. Pozwalają one na użycie określonych warunków, takich jak adresy IP, protokoły i porty. Reguły Rich są przydatne, gdy potrzebne są bardziej złożone konfiguracje, które wykraczają poza to, co jest dostępne za pośrednictwem domyślnych reguł opartych na strefach.

4. Runtime a konfiguracja stała

Firewalld umożliwia wprowadzanie zmian zarówno w czasie wykonywania, jak i na stałe. Zmiany w czasie wykonywania są natychmiastowe, ale tracone po ponownym uruchomieniu systemu, podczas gdy trwałe zmiany utrzymują się po ponownym uruchomieniu.

• Konfiguracja w czasie działania: Natychmiastowe, ale tymczasowe.
• Konfiguracja trwała: Długotrwała, ale stosowana tylko po przeładowaniu lub ponownym uruchomieniu systemu.

Ta separacja pozwala przetestować zmiany przed ich trwałym zatwierdzeniem.

Instalacja Firewalld

Jeśli Firewalld nie jest domyślnie zainstalowany w systemie, można go łatwo zainstalować za pomocą menedżera pakietów dla danej dystrybucji Linuksa. Na przykład:

• Na RHEL/CentOS/Fedora:
  sudo yum install firewalld

• Na Debian/Ubuntu:
  sudo apt-get install firewalld


Po instalacji uruchom usługę Firewalld i włącz jej uruchamianie przy starcie systemu:

Podstawowe polecenia Firewalld

Oto kilka typowych poleceń Firewalld, które pomogą ci zacząć.

1. Sprawdź status Firewalld

Aby sprawdzić, czy Firewalld jest uruchomiony, użyj:

Jeśli jest uruchomiony, na wyjściu pojawi się komunikat running .

2. Lista aktywnych stref

Aby sprawdzić, które strefy są aktywne i które interfejsy sieciowe są do nich przypisane, uruchom:

3. Ustaw strefę domyślną

Jeśli chcesz ustawić domyślną strefę dla nowych połączeń sieciowych, możesz to zrobić za pomocą:

4. Dodawanie usług do strefy

Możesz zezwolić na usługę (taką jak SSH lub HTTP) w strefie za pomocą następującego polecenia:

Aby uczynić tę zmianę trwałą, należy użyć flagi –permanent:

5. Otwieranie określonych portów

Jeśli chcesz otworzyć określone porty zamiast włączać predefiniowane usługi, możesz to zrobić za pomocą:

Ustaw to na stałe, dodając –permanent jak poprzednio.

6. Usuwanie usług lub portów

Aby usunąć usługę lub port ze strefy, należy użyć poleceń –remove-service lub –remove-port: