Rocky Linux 9, nejnovější bezplatná a open-source distribuce určená pro podnikové prostředí, nabízí stabilní a bezpečné zázemí pro různorodé aplikace. Jednou z klíčových součástí systému je integrovaný firewall firewalld, který má za úkol chránit systém před neoprávněnými průniky a externími hrozbami. Tento článek slouží jako podrobný návod k nastavení a správě firewallu firewalld v prostředí Rocky Linux 9.
Co je firewalld?
Firewalld představuje sofistikovaný nástroj pro správu firewallu, který umožňuje flexibilní a efektivní kontrolu síťového provozu. Jeho cílem je zjednodušit správu firewallu prostřednictvím intuitivního rozhraní, které se opírá o koncept zón a služeb.
Instalace firewalld
Firewalld je v Rocky Linux 9 standardně předinstalován. Pro ověření, zda je firewall nainstalován, je možné použít následující příkaz:
rpm -q firewalld
V případě, že je firewalld nainstalován, výstup příkazu bude vypadat podobně jako:
firewalld-1.2.6-1.el9.x86_64
Základní nastavení brány firewall
1. Aktivace a automatické spouštění firewalld:
Pro spuštění firewalld a nastavení automatického startu při každém spuštění systému použijte následující příkazy:
sudo systemctl start firewalld
sudo systemctl enable firewalld
2. Ověření stavu firewalld:
Pro kontrolu, zda je firewalld aktivní, zadejte:
sudo systemctl status firewalld
Výstup příkazu by měl být podobný následujícímu:
● firewalld.service - firewalld - dynamic firewall daemon
Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled; vendor preset: enabled)
Active: active (running) since Mon 2023-03-13 16:38:05 CST; 1h 20min ago
Docs: man:firewalld(1)
https://www.firewalld.org
3. Zobrazení aktuální konfigurace:
Chcete-li zobrazit platná pravidla firewallu, použijte příkaz:
sudo firewall-cmd --list-all
Výstup poskytne přehled všech momentálně aktivních pravidel.
Zóny firewalld
Zóny ve firewalld představují odlišné úrovně důvěryhodnosti sítě a umožňují nastavit různorodá pravidla pro odlišná síťová rozhraní nebo segmenty. Rocky Linux 9 nabízí následující předdefinované zóny:
– public: Pro rozhraní přístupná z veřejného internetu
– internal: Pro rozhraní v rámci interní sítě
– dmz: Pro rozhraní v demilitarizované zóně (DMZ)
– work: Pro rozhraní používaná v pracovním prostředí
– home: Pro rozhraní v domácí síti
Správa zón
1. Výpis aktuálních zón:
Pro zobrazení seznamu definovaných zón použijte příkaz:
sudo firewall-cmd --get-zones
Výstup bude obsahovat seznam zón ve formátu:
public (default, active)
internal
dmz
work
home
2. Vytvoření nové zóny:
Pro vytvoření nové zóny s názvem „custom_zone“ použijte:
sudo firewall-cmd --new-zone=custom_zone
3. Nastavení výchozí zóny:
Pro nastavení zóny „internal“ jako výchozí použijte:
sudo firewall-cmd --set-default-zone=internal
Služby firewalld
Služby ve firewalld reprezentují síťové aplikace nebo porty, které potřebují přístup do systému nebo ze systému. Rocky Linux 9 má přednastavené následující služby:
– http: Pro přístup k webovým serverům
– https: Pro zabezpečený přístup k webovým serverům
– ssh: Pro bezpečný přístup k SSH serverům
– dns: Pro přístup k DNS serverům
– smtp: Pro přístup k poštovním serverům
Správa služeb
1. Výpis aktuálních služeb:
Pro zobrazení seznamu definovaných služeb použijte příkaz:
sudo firewall-cmd --get-services
Výstup bude obsahovat seznam služeb ve formátu:
http
https
ssh
dns
smtp
2. Vytvoření nové služby:
Pro vytvoření nové služby s názvem „custom_service“, která bude naslouchat na portu 8080, použijte:
sudo firewall-cmd --new-service=custom_service --permanent --port=8080/tcp
3. Povolení služby v zóně:
Pro povolení služby „custom_service“ ve výchozí zóně použijte:
sudo firewall-cmd --add-service=custom_service --permanent --zone=internal
Pravidla firewalld
Pravidla ve firewalld definují specifické akce, které má firewall provést s příchozím nebo odchozím síťovým provozem.
Správa pravidel
1. Výpis aktuálních pravidel:
Pro zobrazení seznamu definovaných pravidel použijte příkaz:
sudo firewall-cmd --list-rules
Výstup bude obsahovat seznam pravidel ve formátu:
rule family=ipv4 source address=192.168.1.0/24 port port=80 protocol=tcp accept
rule family=ipv4 source address=192.168.1.0/24 port port=443 protocol=tcp accept
rule family=ipv4 source address=192.168.1.0/24 port port=22 protocol=tcp accept
2. Přidání nového pravidla:
Pro vytvoření nového pravidla, které povolí veškerý příchozí provoz na portu 8080, použijte:
sudo firewall-cmd --add-port=8080/tcp --permanent --zone=internal
3. Odstranění pravidla:
Pro odstranění pravidla, které povoluje provoz na portu 8080, použijte:
sudo firewall-cmd --remove-port=8080/tcp --permanent --zone=internal
Trvalé uložení konfigurace
Po provedení změn v konfiguraci firewallu je klíčové, aby byly tyto změny trvale uloženy.
1. Uložení pravidel:
Pro trvalé uložení všech aktuálních pravidel firewallu použijte:
sudo firewall-cmd --runtime-to-permanent
2. Obnovení pravidel:
Pro obnovení pravidel firewallu z trvalého úložiště při restartu systému použijte:
sudo firewall-cmd --reload
Závěr
Firewalld je mocný a flexibilní nástroj pro správu firewallu, který nabízí rozsáhlou kontrolu nad příchozím a odchozím síťovým provozem. Správná konfigurace a správa firewalld je nezbytná pro ochranu Rocky Linux 9 před neautorizovaným přístupem a externími útoky. Tento článek poskytuje podrobný návod k nastavení a správě firewalld, včetně vysvětlení zón, služeb, pravidel a trvalé údržby konfigurace. Implementací uvedených strategií firewallu