Admin Linux - Pengaturan Firewall
firewalld adalah pengontrol front-end default untuk iptables di CentOS. The firewalld front-end memiliki dua keuntungan utama atas iptables baku -
Menggunakan rantai dan aturan abstraksi zona yang mudah dikonfigurasi dan diterapkan.
Ruleset bersifat dinamis, yang berarti koneksi stateful tidak akan terganggu saat pengaturan diubah dan / atau dimodifikasi.
Ingat, firewalld adalah pembungkus iptables - bukan pengganti. Meskipun perintah iptables khusus dapat digunakan dengan firewalld , disarankan untuk menggunakan firewalld agar tidak merusak fungsionalitas firewall.
Pertama, mari pastikan firewalld dimulai dan diaktifkan.
[root@CentOS rdc]# systemctl status firewalld
● firewalld.service - firewalld - dynamic firewall daemon
Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled; vendor preset: enabled)
Active: active (running) since Thu 2017-01-26 21:42:05 MST; 3h 46min ago
Docs: man:firewalld(1)
Main PID: 712 (firewalld)
Memory: 34.7M
CGroup: /system.slice/firewalld.service
└─712 /usr/bin/python -Es /usr/sbin/firewalld --nofork --nopid
Kita dapat melihat, firewalld aktif (untuk memulai saat boot) dan sedang berjalan. Jika tidak aktif atau tidak mulai kita dapat menggunakan -
systemctl start firewalld && systemctl enable firewalld
Sekarang kita telah mengkonfigurasi layanan firewalld kita, mari kita pastikan itu beroperasi.
[root@CentOS]# firewall-cmd --state
running
[root@CentOS]#
Kita bisa lihat, layanan firewalld berfungsi penuh.
Firewalld bekerja pada konsep zona . Zona diterapkan ke antarmuka jaringan melalui Manajer Jaringan. Kami akan membahas ini dalam mengkonfigurasi jaringan . Tetapi untuk saat ini, secara default, mengubah zona default akan mengubah semua adapter jaringan yang tersisa di status default "Zona Default".
Mari kita lihat sekilas setiap zona yang keluar-of-the-box dengan firewalld .
Sr.No. | Zona & Deskripsi |
---|---|
1 | drop Tingkat kepercayaan rendah. Semua koneksi dan paket masuk terputus dan hanya koneksi keluar yang dimungkinkan melalui statefullness |
2 | block Koneksi masuk akan dibalas dengan pesan icmp yang memberi tahu pemrakarsa bahwa permintaan dilarang |
3 | public Semua jaringan dibatasi. Namun, koneksi masuk yang dipilih dapat diizinkan secara eksplisit |
4 | external Mengonfigurasi firewalld untuk NAT. Jaringan internal tetap pribadi tetapi dapat dijangkau |
5 | dmz Hanya koneksi masuk tertentu yang diperbolehkan. Digunakan untuk sistem dalam isolasi DMZ |
6 | work Secara default, percayai lebih banyak komputer di jaringan dengan asumsi sistem berada dalam lingkungan kerja yang aman |
7 | hone Secara default, lebih banyak layanan tidak difilter. Dengan asumsi sistem berada di jaringan rumah tempat layanan seperti NFS, SAMBA, dan SSDP akan digunakan |
8 | trusted Semua mesin di jaringan dipercaya. Sebagian besar koneksi masuk diizinkan tanpa batasan.This is not meant for interfaces exposed to the Internet |
Zona yang paling umum digunakan adalah: publik, drop, kantor, dan rumah.
Beberapa skenario di mana setiap zona umum akan digunakan adalah -
public- Ini adalah zona paling umum yang digunakan oleh administrator. Ini akan memungkinkan Anda menerapkan pengaturan khusus dan mematuhi spesifikasi RFC untuk operasi pada LAN.
drop- Contoh yang baik tentang kapan menggunakan drop adalah di konferensi keamanan, di WiFi publik, atau di antarmuka yang terhubung langsung ke Internet. drop menganggap semua permintaan yang tidak diminta berbahaya termasuk probe ICMP. Jadi setiap permintaan di luar negara bagian tidak akan menerima balasan. Kelemahan dari penurunan adalah dapat merusak fungsionalitas aplikasi dalam situasi tertentu yang membutuhkan kepatuhan RFC yang ketat.
work- Anda berada di LAN perusahaan yang semi-aman. Dimana semua lalu lintas dapat dianggap cukup aman. Ini berarti ini bukan WiFi dan kami mungkin memiliki IDS, IPS, dan keamanan fisik atau 802.1x. Kita juga harus mengenal orang-orang yang menggunakan LAN.
home- Anda menggunakan LAN rumah. Anda secara pribadi bertanggung jawab untuk setiap sistem dan pengguna di LAN. Anda tahu setiap mesin di LAN dan tidak ada yang dikompromikan. Seringkali layanan baru muncul untuk berbagi media di antara individu tepercaya dan Anda tidak perlu mengambil waktu ekstra demi keamanan.
Zona dan antarmuka jaringan bekerja pada level satu ke banyak. Satu antarmuka jaringan hanya dapat menerapkan satu zona pada satu waktu. Sementara, zona dapat diterapkan ke banyak antarmuka secara bersamaan.
Mari kita lihat zona apa yang tersedia dan zona apa yang saat ini diterapkan.
[root@CentOS]# firewall-cmd --get-zones
work drop internal external trusted home dmz public block
[root@CentOS]# firewall-cmd --get-default-zone
public
[root@CentOS]#
Siap menambahkan beberapa aturan khusus di firewalld?
Pertama, mari kita lihat seperti apa kotak kita, ke portscanner dari luar.
bash-3.2# nmap -sS -p 1-1024 -T 5 10.211.55.1
Starting Nmap 7.30 ( https://nmap.org ) at 2017-01-27 23:36 MST
Nmap scan report for centos.shared (10.211.55.1)
Host is up (0.00046s latency).
Not shown: 1023 filtered ports
PORT STATE SERVICE
22/tcp open ssh
Nmap done: 1 IP address (1 host up) scanned in 3.71 seconds
bash-3.2#
Mari izinkan permintaan masuk ke port 80.
Pertama, periksa untuk melihat zona apa yang diterapkan sebagai default.
[root@CentOs]# firewall-cmd --get-default-zone
public
[root@CentOS]#
Kemudian, setel aturan yang mengizinkan port 80 ke zona default saat ini.
[root@CentOS]# firewall-cmd --zone=public --add-port = 80/tcp
success
[root@CentOS]#
Sekarang, mari kita centang kotak kita setelah mengizinkan koneksi port 80.
bash-3.2# nmap -sS -p 1-1024 -T 5 10.211.55.1
Starting Nmap 7.30 ( https://nmap.org ) at 2017-01-27 23:42 MST
Nmap scan report for centos.shared (10.211.55.1)
Host is up (0.00053s latency).
Not shown: 1022 filtered ports
PORT STATE SERVICE
22/tcp open ssh
80/tcp closed http
Nmap done: 1 IP address (1 host up) scanned in 3.67 seconds
bash-3.2#
Sekarang memungkinkan lalu lintas yang tidak diminta menjadi 80.
Mari kita letakkan zona default untuk dijatuhkan dan lihat apa yang terjadi pada pemindaian port.
[root@CentOS]# firewall-cmd --set-default-zone=drop
success
[root@CentOS]# firewall-cmd --get-default-zone
drop
[root@CentOs]#
Sekarang mari kita pindai host dengan antarmuka jaringan di zona yang lebih aman.
bash-3.2# nmap -sS -p 1-1024 -T 5 10.211.55.1
Starting Nmap 7.30 ( https://nmap.org ) at 2017-01-27 23:50 MST
Nmap scan report for centos.shared (10.211.55.1)
Host is up (0.00094s latency).
All 1024 scanned ports on centos.shared (10.211.55.1) are filtered
Nmap done: 1 IP address (1 host up) scanned in 12.61 seconds
bash-3.2#
Sekarang, semuanya disaring dari luar.
Seperti yang ditunjukkan di bawah ini, host bahkan tidak akan menanggapi permintaan ping ICMP saat drop .
bash-3.2# ping 10.211.55.1
PING 10.211.55.1 (10.211.55.1): 56 data bytes
Request timeout for icmp_seq 0
Request timeout for icmp_seq 1
Request timeout for icmp_seq 2
Mari kita setel zona default ke publik lagi.
[root@CentOs]# firewall-cmd --set-default-zone=public
success
[root@CentOS]# firewall-cmd --get-default-zone
public
[root@CentOS]#
Sekarang mari kita periksa kumpulan aturan pemfilteran kita saat ini di depan umum .
[root@CentOS]# firewall-cmd --zone=public --list-all
public (active)
target: default
icmp-block-inversion: no
interfaces: enp0s5
sources:
services: dhcpv6-client ssh
ports: 80/tcp
protocols:
masquerade: no
forward-ports:
sourceports:
icmp-blocks:
rich rules:
[root@CentOS rdc]#
Seperti yang telah dikonfigurasi, aturan filter port 80 kami hanya dalam konteks konfigurasi yang sedang berjalan. Ini berarti setelah sistem di-boot ulang atau layanan firewalld dimulai ulang, aturan kami akan dihapus.
Kami akan segera mengonfigurasi daemon httpd , jadi mari buat perubahan terus-menerus -
[root@CentOS]# firewall-cmd --zone=public --add-port=80/tcp --permanent
success
[root@CentOS]# systemctl restart firewalld
[root@CentOS]#
Sekarang aturan port 80 kami di zona publik tetap ada saat boot ulang dan layanan dimulai ulang.
Berikut adalah perintah firewalld umum yang diterapkan dengan firewall-cmd .
Perintah | Tindakan |
---|---|
firewall-cmd --get-zone | Mencantumkan semua zona yang dapat diterapkan ke antarmuka |
firewall-cmd —status | Mengembalikan status saat ini dari layanan firewalld |
firewall-cmd --get-default-zone | Mendapat zona default saat ini |
firewall-cmd --set-default-zone = <zone> | Menetapkan zona default ke dalam konteks saat ini |
firewall-cmd --get-active-zone | Mendapat zona saat ini dalam konteks seperti yang diterapkan pada antarmuka |
firewall-cmd --zone = <zone> --list-all | Mencantumkan konfigurasi zona yang disediakan |
firewall-cmd --zone = <zone> --addport = <port / transport protocol> | Menerapkan aturan port ke filter zona |
--permanen | Membuat perubahan pada zona tetap ada. Bendera digunakan sejajar dengan perintah modifikasi |
Ini adalah konsep dasar pengadministrasian dan konfigurasi firewalld .
Mengonfigurasi layanan firewall berbasis host di CentOS bisa menjadi tugas yang kompleks dalam skenario jaringan yang lebih canggih. Penggunaan lanjutan dan konfigurasi firewalld dan iptables di CentOS dapat mengambil seluruh tutorial. Namun, kami telah menyajikan dasar-dasar yang seharusnya cukup untuk menyelesaikan sebagian besar tugas harian.