Admin Linux - Pengaturan Firewall

firewalld adalah pengontrol front-end default untuk iptables di CentOS. The firewalld front-end memiliki dua keuntungan utama atas iptables baku -

  • Menggunakan rantai dan aturan abstraksi zona yang mudah dikonfigurasi dan diterapkan.

  • Ruleset bersifat dinamis, yang berarti koneksi stateful tidak akan terganggu saat pengaturan diubah dan / atau dimodifikasi.

Ingat, firewalld adalah pembungkus iptables - bukan pengganti. Meskipun perintah iptables khusus dapat digunakan dengan firewalld , disarankan untuk menggunakan firewalld agar tidak merusak fungsionalitas firewall.

Pertama, mari pastikan firewalld dimulai dan diaktifkan.

[root@CentOS rdc]# systemctl status firewalld 
● firewalld.service - firewalld - dynamic firewall daemon 
Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled; vendor preset: enabled) 
Active: active (running) since Thu 2017-01-26 21:42:05 MST; 3h 46min ago 
 Docs: man:firewalld(1) 
Main PID: 712 (firewalld) 
  Memory: 34.7M 
 CGroup: /system.slice/firewalld.service 
       └─712 /usr/bin/python -Es /usr/sbin/firewalld --nofork --nopid

Kita dapat melihat, firewalld aktif (untuk memulai saat boot) dan sedang berjalan. Jika tidak aktif atau tidak mulai kita dapat menggunakan -

systemctl start firewalld && systemctl enable firewalld

Sekarang kita telah mengkonfigurasi layanan firewalld kita, mari kita pastikan itu beroperasi.

[root@CentOS]# firewall-cmd --state 
running 
[root@CentOS]#

Kita bisa lihat, layanan firewalld berfungsi penuh.

Firewalld bekerja pada konsep zona . Zona diterapkan ke antarmuka jaringan melalui Manajer Jaringan. Kami akan membahas ini dalam mengkonfigurasi jaringan . Tetapi untuk saat ini, secara default, mengubah zona default akan mengubah semua adapter jaringan yang tersisa di status default "Zona Default".

Mari kita lihat sekilas setiap zona yang keluar-of-the-box dengan firewalld .

Sr.No. Zona & Deskripsi
1

drop

Tingkat kepercayaan rendah. Semua koneksi dan paket masuk terputus dan hanya koneksi keluar yang dimungkinkan melalui statefullness

2

block

Koneksi masuk akan dibalas dengan pesan icmp yang memberi tahu pemrakarsa bahwa permintaan dilarang

3

public

Semua jaringan dibatasi. Namun, koneksi masuk yang dipilih dapat diizinkan secara eksplisit

4

external

Mengonfigurasi firewalld untuk NAT. Jaringan internal tetap pribadi tetapi dapat dijangkau

5

dmz

Hanya koneksi masuk tertentu yang diperbolehkan. Digunakan untuk sistem dalam isolasi DMZ

6

work

Secara default, percayai lebih banyak komputer di jaringan dengan asumsi sistem berada dalam lingkungan kerja yang aman

7

hone

Secara default, lebih banyak layanan tidak difilter. Dengan asumsi sistem berada di jaringan rumah tempat layanan seperti NFS, SAMBA, dan SSDP akan digunakan

8

trusted

Semua mesin di jaringan dipercaya. Sebagian besar koneksi masuk diizinkan tanpa batasan.This is not meant for interfaces exposed to the Internet

Zona yang paling umum digunakan adalah: publik, drop, kantor, dan rumah.

Beberapa skenario di mana setiap zona umum akan digunakan adalah -

  • public- Ini adalah zona paling umum yang digunakan oleh administrator. Ini akan memungkinkan Anda menerapkan pengaturan khusus dan mematuhi spesifikasi RFC untuk operasi pada LAN.

  • drop- Contoh yang baik tentang kapan menggunakan drop adalah di konferensi keamanan, di WiFi publik, atau di antarmuka yang terhubung langsung ke Internet. drop menganggap semua permintaan yang tidak diminta berbahaya termasuk probe ICMP. Jadi setiap permintaan di luar negara bagian tidak akan menerima balasan. Kelemahan dari penurunan adalah dapat merusak fungsionalitas aplikasi dalam situasi tertentu yang membutuhkan kepatuhan RFC yang ketat.

  • work- Anda berada di LAN perusahaan yang semi-aman. Dimana semua lalu lintas dapat dianggap cukup aman. Ini berarti ini bukan WiFi dan kami mungkin memiliki IDS, IPS, dan keamanan fisik atau 802.1x. Kita juga harus mengenal orang-orang yang menggunakan LAN.

  • home- Anda menggunakan LAN rumah. Anda secara pribadi bertanggung jawab untuk setiap sistem dan pengguna di LAN. Anda tahu setiap mesin di LAN dan tidak ada yang dikompromikan. Seringkali layanan baru muncul untuk berbagi media di antara individu tepercaya dan Anda tidak perlu mengambil waktu ekstra demi keamanan.

Zona dan antarmuka jaringan bekerja pada level satu ke banyak. Satu antarmuka jaringan hanya dapat menerapkan satu zona pada satu waktu. Sementara, zona dapat diterapkan ke banyak antarmuka secara bersamaan.

Mari kita lihat zona apa yang tersedia dan zona apa yang saat ini diterapkan.

[root@CentOS]# firewall-cmd --get-zones 
 work drop internal external trusted home dmz public block

[root@CentOS]# firewall-cmd --get-default-zone 
public
[root@CentOS]#

Siap menambahkan beberapa aturan khusus di firewalld?

Pertama, mari kita lihat seperti apa kotak kita, ke portscanner dari luar.

bash-3.2# nmap -sS -p 1-1024 -T 5  10.211.55.1
 
Starting Nmap 7.30 ( https://nmap.org ) at 2017-01-27 23:36 MST 
Nmap scan report for centos.shared (10.211.55.1) 
Host is up (0.00046s latency). 
Not shown: 1023 filtered ports 
PORT   STATE SERVICE 
22/tcp open  ssh


Nmap done: 1 IP address (1 host up) scanned in 3.71 seconds 
bash-3.2#

Mari izinkan permintaan masuk ke port 80.

Pertama, periksa untuk melihat zona apa yang diterapkan sebagai default.

[root@CentOs]# firewall-cmd --get-default-zone 
public
[root@CentOS]#

Kemudian, setel aturan yang mengizinkan port 80 ke zona default saat ini.

[root@CentOS]# firewall-cmd --zone=public --add-port = 80/tcp 
success
[root@CentOS]#

Sekarang, mari kita centang kotak kita setelah mengizinkan koneksi port 80.

bash-3.2# nmap -sS -p 1-1024 -T 5  10.211.55.1

Starting Nmap 7.30 ( https://nmap.org ) at 2017-01-27 23:42 MST 
Nmap scan report for centos.shared (10.211.55.1) 
Host is up (0.00053s latency). 
Not shown: 1022 filtered ports 
PORT   STATE  SERVICE 
22/tcp open   ssh 
80/tcp closed http

Nmap done: 1 IP address (1 host up) scanned in 3.67 seconds 
bash-3.2#

Sekarang memungkinkan lalu lintas yang tidak diminta menjadi 80.

Mari kita letakkan zona default untuk dijatuhkan dan lihat apa yang terjadi pada pemindaian port.

[root@CentOS]# firewall-cmd --set-default-zone=drop 
success

[root@CentOS]# firewall-cmd --get-default-zone 
drop

[root@CentOs]#

Sekarang mari kita pindai host dengan antarmuka jaringan di zona yang lebih aman.

bash-3.2# nmap -sS -p 1-1024 -T 5  10.211.55.1 
Starting Nmap 7.30 ( https://nmap.org ) at 2017-01-27 23:50 MST 
Nmap scan report for centos.shared (10.211.55.1) 
Host is up (0.00094s latency). 
All 1024 scanned ports on centos.shared (10.211.55.1) are filtered

Nmap done: 1 IP address (1 host up) scanned in 12.61 seconds 
bash-3.2#

Sekarang, semuanya disaring dari luar.

Seperti yang ditunjukkan di bawah ini, host bahkan tidak akan menanggapi permintaan ping ICMP saat drop .

bash-3.2# ping 10.211.55.1 
PING 10.211.55.1 (10.211.55.1): 56 data bytes 
Request timeout for icmp_seq 0 
Request timeout for icmp_seq 1 
Request timeout for icmp_seq 2

Mari kita setel zona default ke publik lagi.

[root@CentOs]# firewall-cmd --set-default-zone=public 
success

[root@CentOS]# firewall-cmd --get-default-zone 
public

[root@CentOS]#

Sekarang mari kita periksa kumpulan aturan pemfilteran kita saat ini di depan umum .

[root@CentOS]# firewall-cmd --zone=public --list-all 
public (active) 
target: default 
icmp-block-inversion: no 
interfaces: enp0s5 
sources:  
services: dhcpv6-client ssh 
ports: 80/tcp 
protocols:  
masquerade: no 
forward-ports:  
sourceports:  
icmp-blocks:  
rich rules:

[root@CentOS rdc]#

Seperti yang telah dikonfigurasi, aturan filter port 80 kami hanya dalam konteks konfigurasi yang sedang berjalan. Ini berarti setelah sistem di-boot ulang atau layanan firewalld dimulai ulang, aturan kami akan dihapus.

Kami akan segera mengonfigurasi daemon httpd , jadi mari buat perubahan terus-menerus -

[root@CentOS]# firewall-cmd --zone=public --add-port=80/tcp --permanent 
success

[root@CentOS]# systemctl restart firewalld

[root@CentOS]#

Sekarang aturan port 80 kami di zona publik tetap ada saat boot ulang dan layanan dimulai ulang.

Berikut adalah perintah firewalld umum yang diterapkan dengan firewall-cmd .

Perintah Tindakan
firewall-cmd --get-zone Mencantumkan semua zona yang dapat diterapkan ke antarmuka
firewall-cmd —status Mengembalikan status saat ini dari layanan firewalld
firewall-cmd --get-default-zone Mendapat zona default saat ini
firewall-cmd --set-default-zone = <zone> Menetapkan zona default ke dalam konteks saat ini
firewall-cmd --get-active-zone Mendapat zona saat ini dalam konteks seperti yang diterapkan pada antarmuka
firewall-cmd --zone = <zone> --list-all Mencantumkan konfigurasi zona yang disediakan
firewall-cmd --zone = <zone> --addport = <port / transport protocol> Menerapkan aturan port ke filter zona
--permanen Membuat perubahan pada zona tetap ada. Bendera digunakan sejajar dengan perintah modifikasi

Ini adalah konsep dasar pengadministrasian dan konfigurasi firewalld .

Mengonfigurasi layanan firewall berbasis host di CentOS bisa menjadi tugas yang kompleks dalam skenario jaringan yang lebih canggih. Penggunaan lanjutan dan konfigurasi firewalld dan iptables di CentOS dapat mengambil seluruh tutorial. Namun, kami telah menyajikan dasar-dasar yang seharusnya cukup untuk menyelesaikan sebagian besar tugas harian.