Firewalls sind einer der wichtigsten Sicherheitsaspekte, wenn wir online gehen. Hier lernen wir die Schritte und Befehle zum Installieren, Konfigurieren und Verwenden von FirewallD unter Rocky Linux 8 mit CLI oder GUI kennen.
Viele von uns, die noch kein Linux sind, sind bereits mit der Firewall-Funktion von Windows vertraut, wo es sehr einfach ist, Ports oder Dienste über die GUI ein- oder auszuschalten. Was ist jedoch mit Linux wie CentOS, Rocky Linux, RedHat, AlmaLinux und mehr ... Wenn Sie einen vollständigen Linux-Desktop verwenden, ist bereits eine Firewall vorhanden, jedoch in den meisten Fällen ohne grafische Oberfläche. Trotzdem bieten Debian, RedHat, Ubuntu und andere Linux-Systeme die passende Firewall-GUI-Software direkt aus ihrem jeweiligen Repository, um Dinge mit Hilfe von Mausklicks zu verwalten.
Aber was ist, wenn Sie nur eine einfache Betriebssysteminstallation ohne grafische Oberfläche wünschen? Weil minimale Linux-Versionen standardmäßig nicht einmal die CLI-Version von Firewall haben würden. Nun, das ist ein sehr kleines Problem, wenn Sie eine aktive Internetverbindung haben und dank eines eingebauten Paketmanagers unter Linux können wir eine Firewall mit nur einem einzigen Befehl installieren.
Eigenschaften von FirewallD:
• Vollständige D-Bus-API
• IPv4-, IPv6-, Bridge- und IPSET-Unterstützung
• IPv4- und IPv6-NAT-Unterstützung
• Firewallzonen
• Eine vordefinierte Liste von Zonen, Diensten und ICMP-Typen
• Einfacher Service, Port, Protokoll, Quellport, Masquerading, Portweiterleitung, ICMP-Filter, umfassende Regeln, Schnittstellen und Handhabung von Quelladressen in Zonen
• Einfache Dienstdefinitionen für Ports, Protokolle, Quellports, Module (Netfilter-Hilfsprogramme) und Zieladressenhandhabung
• Rich Language für flexiblere und komplexere Regeln in Zonen
• Zeitgesteuerte Regeln in Zonen
• Einfache Protokollierung abgelehnter Pakete
• Direkte Schnittstelle
• Lockdown:Weiße Liste von Benutzern, die die Firewall ändern dürfen.
• Automatisches Laden der Linux-Kernel-Module
• Funktioniert mit Puppet
• CLI für Online- und Offline-Konfigurationen
• Grafisches Tool (mit GTK3)
• Applet (mit Qt4)
Firewalls in CentOS wurden früher von ipTables gesteuert. Dies wurde weitgehend durch FirewallD ersetzt. Standardmäßig ist nur Port 22 auf Rocky Linux 8 geöffnet, ansonsten ist er vorerst geschlossen.
Schritte zum Installieren und Konfigurieren von Firewalld auf Rocky Linux 8
Der hier angegebene Befehl gilt auch für andere Redhat-basierte Systeme wie CentOS, Oracle Linux, Rocky Linux und RedHat.
1. Anforderungen
Es gibt keine besonderen Anforderungen, aber stellen Sie sicher, dass Sie die folgenden Dinge haben:
• Rocky Linux 8
• Mindestens ein Nicht-Root-Sudo-Benutzer
• Eine Internetverbindung
• Zugang zum Terminal
2. DNF-Update
Das allererste, was nach der Installation eines Linux-Betriebssystems oder vor der Einrichtung eines Tools mit dem Paketmanager erforderlich ist, ist die Ausführung eines Systemupdates. Dadurch wird sichergestellt, dass alle Pakete auf dem neuesten Stand sind und auch der Repository-Cache aktualisiert wird.
sudo dnf update
3. Installieren Sie Firewalld auf Rocky Linux 8
Wir müssen nicht nach einem Drittanbieter-Repository suchen, um die Pakete für die Installation von FirewallD auf Rocky Linux 8 oder einem anderen Redhat-basierten zu erhalten. Es wird bereits vom baseOS-Repo des Systems bereitgestellt. Führen Sie daher einfach den angegebenen Befehl aus, und Sie sind fertig.
sudo dnf install firewalld
4. Starten Sie den FirewallD-Dienst
Der Dienst von Firewalld wird nicht atomar gestartet, das müssen wir manuell tun und ihn auch beim Systemstart aktivieren.
sudo systemctl unmask firewalld
sudo systemctl start firewalld
sudo systemctl enable firewald
Überprüfen Sie den Status:
sudo systemctl status firewalld
4. Version prüfen
Nach erfolgreichem Abschluss des Installationsvorgangs können wir die Version der Firewall überprüfen, um zu bestätigen, dass sie auf unserem System vorhanden ist.
sudo firewall-cmd --version
5. Verwendung von FirewallD unter Rocky Linux 8
Es gibt einige vordefinierte Zonen, die wir mit dem Befehl von Firewalld verwenden können, um verschiedene Dienste und Ports auf dem System zu konfigurieren. Hier sind diese:
fallen :Alle eingehenden Netzwerkpakete werden verworfen, es erfolgt keine Antwort. Es sind nur ausgehende Netzwerkverbindungen möglich.
blockieren :Alle eingehenden Netzwerkverbindungen werden mit einer icmp-host-prohibited-Meldung für IPv4 und icmp6-adm-prohibited für IPv6 abgewiesen. Nur innerhalb dieses Systems initiierte Netzwerkverbindungen sind möglich.
öffentlich :Zur Verwendung in öffentlichen Bereichen. Sie vertrauen nicht darauf, dass andere Computer in Netzwerken Ihrem Computer keinen Schaden zufügen. Nur ausgewählte eingehende Verbindungen werden akzeptiert.
extern :Zur Verwendung in externen Netzwerken mit aktiviertem Masquerading speziell für Router. Sie vertrauen nicht darauf, dass andere Computer in Netzwerken Ihrem Computer keinen Schaden zufügen. Nur ausgewählte eingehende Verbindungen werden akzeptiert.
dmz :Für öffentlich zugängliche Computer in Ihrer entmilitarisierten Zone mit eingeschränktem Zugriff auf Ihr internes Netzwerk. Nur ausgewählte eingehende Verbindungen werden akzeptiert.
Arbeit :Für den Einsatz in Arbeitsbereichen. Sie vertrauen meistens darauf, dass die anderen Computer in Netzwerken Ihrem Computer keinen Schaden zufügen. Nur ausgewählte eingehende Verbindungen werden akzeptiert.
Zuhause :Für den Einsatz im Wohnbereich. Sie vertrauen meistens darauf, dass die anderen Computer in Netzwerken Ihrem Computer keinen Schaden zufügen. Nur ausgewählte eingehende Verbindungen werden akzeptiert.
intern :Zur Verwendung in internen Netzwerken. Sie vertrauen meistens darauf, dass die anderen Computer in den Netzwerken Ihrem Computer keinen Schaden zufügen. Nur ausgewählte eingehende Verbindungen werden akzeptiert.
vertrauenswürdig :Alle Netzwerkverbindungen werden akzeptiert.
Befehlssyntax zum Zulassen oder Blockieren von Ports
Bisher waren Sie bereits mit den Zonen des Firewalld-Programms vertraut, jetzt können wir ganz einfach das Befehlsterminal verwenden, um Ports oder Dienste in verschiedenen Zonen zu öffnen, zu schließen und zu verwalten.
Port zulassen
Sie möchten beispielsweise Port 80 oder den HTTP-Dienst öffnen:
sudo firewall-cmd --permanent --zone=public --add-port=80/tcp
oder
sudo firewall-cmd --permanent --zone=public --add-service=http
Auf die gleiche Weise können wir die Ports 22, 443 oder Dienste öffnen, die in der Firewall noch nicht zugelassen sind.
Nach dem Öffnen des Ports ist es wichtig, den Firewall-Dienst neu zu laden, um die von uns vorgenommenen Änderungen zu übernehmen.
sudo firewall-cmd --reload
Port blockieren/entfernen
Während wir zum Blockieren eines offenen Ports oder Dienstes nur die Option zum Entfernen verwenden müssen, hier ist die Syntax dafür.
Wenn Sie beispielsweise Port 80 blockieren möchten, lautet der Befehl:
sudo firewall-cmd --permanent --zone=public --remove-port=80/tcp
oder wenn Sie den dem Port entsprechenden Dienst kennen:
sudo firewall-cmd --permanent --zone=public --remove-service=hhtp
Danach vergessen Sie nicht, die Firewall neu zu laden:
sudo firewall-cmd --reload
Alle aktiven Ports auflisten:
Um zu wissen, welche Ports in der Firewall aktiv sind, um eine Verbindung herzustellen, können wir sie mit dem firewall-cmd auflisten Befehl:
sudo firewall-cmd --list-ports
Standardzoneninformationen auflisten
Wenn Sie nicht wissen, welche Zone welche Art von Dienst hat, oder einfach alle Informationen zur Firewall in einer anderen Zone abrufen möchten, führen Sie Folgendes aus:
Um alle Ports aufzulisten
sudo firewall-cmd --list-all
Während der Benutzer nur für eine bestimmte Zone dasselbe im Befehl deklarieren kann:
sudo firewall-cmd --list-all --zone=home
Befehl, um zu sehen, welche Dienste erlaubt sind
So erhalten Sie die einzige Liste der in der Firewall zugelassenen Dienste:
sudo firewall-cmd --list-services
6. Installieren Sie die FirewallD-GUI auf Rocky Linux 8
Nun, diejenigen, die die grafische Benutzeroberfläche von Rocky Linux 8 oder einer anderen RPM-basierten verwenden, können die GUI-Oberfläche verwenden, um die Firewall-Dienste einfach zu verwalten, wie z. B. das Hinzufügen oder Entfernen von Ports und Diensten.
sudo dnf install firewall-config
Gehen Sie nach Abschluss der Installation zu Application Launcher und suchen Sie nach –Firewall . Wenn das Symbol erscheint, klicken Sie, um es auszuführen.
Über die GUI können wir verschiedene Dienste und Ports einfach mit wenigen Klicks konfigurieren.
7. Beenden und deaktivieren Sie Firewalld
Wenn Sie nicht möchten, dass Ihre Firewall Ports/Dienste blockiert oder zulässt, können wir sie vorübergehend stoppen, bis das System startet.
sudo systemctl stop firewalld
Wenn Sie hingegen die Firewall stoppen und dauerhaft deaktivieren möchten , ausführen:
sudo systemctl disable firewalld
sudo systemctl mask firewalld
8. Deinstallieren oder entfernen
Falls Sie die FirewallD nicht mehr auf Ihrem System haben möchten, können wir sie mit dem DNF-Paketmanager entfernen, indem Sie die Schaltfläche „remove ”-Option.
sudo dnf remove firewalld
für GUI, falls installiert:
sudo dnf remove firewall-config
Schlussfolgerung
Auf diese Weise können wir FirewallD auf Allamlinux und anderen RPM-basierten Linux-Systemen installieren und verwenden, um unser System einigermaßen von der Außenwelt abzusichern. Erfahren Sie mehr darüber in der offiziellen FirewallD-Dokumentation.