Se você está procurando um firewall moderno e poderoso para Linux que seja fácil de configurar na linha de comando ou com sua interface GUI, então firewalld é provavelmente o que você está procurando.
A necessidade de firewalls
As conexões de rede têm uma origem e um destino. O tool na origem solicita a conexão e o tool no destino a aceita ou rejeita. Se for aceito, os pacotes de dados – genericamente chamados de tráfego de rede – podem passar em ambas as direções pela conexão. Isso vale para o compartilhamento do outro lado da sala em sua própria casa, conectando-se remotamente ao trabalho de seu escritório em casa ou usando um recurso distante baseado em nuvem.
A boa prática de segurança diz que você deve limitar e controlar as conexões com seu computador. Isso é o que os firewalls fazem. Eles filtram o tráfego de rede por endereço IP, porta ou protocolo e rejeitam conexões que não atendem a um conjunto predefinido de critérios – o regras de firewall— que você configurou. Eles são como seguranças em um evento exclusivo. Se o seu nome não estiver na lista, você não entrará.
Claro, você não quer que suas regras de firewall sejam tão restritivas que suas atividades normais sejam reduzidas. Quanto mais simples for configurar seu firewall, menos likelihood você terá de configurar inadvertidamente regras conflitantes ou draconianas. Muitas vezes ouvimos de usuários que dizem que não usam um firewall porque é muito complicado de entender ou a sintaxe do comando é muito opaca.
o firewalld firewall é poderoso e simples de configurar, tanto na linha de comando quanto por meio de seu aplicativo GUI dedicado. Sob o capô, os firewalls do Linux contam com netfilter , a estrutura de filtragem de rede do lado do kernel. Aqui na terra do usuário, temos uma variedade de ferramentas para interagir netfiltercomo iptables, ufw o firewall descomplicado, e firewalld.
Em nossa opinião, firewalld oferece o melhor equilíbrio entre funcionalidade, granularidade e simplicidade.
Instalando firewalld
Existem duas partes para firewalld . Há firewalld o processo daemon que fornece a funcionalidade de firewall, e há firewall-config. Esta é a GUI opcional para firewalld. Practice que não há “d” em firewall-config.
Instalando firewalld no Ubuntu, Fedora e Manjaro é direto em todos os casos, embora cada um tenha sua própria opinião sobre o que está pré-instalado e o que está empacotado.
Para instalar no Ubuntu, precisamos instalar firewalld e firewall-config.
sudo apt set up firewalld
sudo apt set up firewall-config
No Fedora, firewalld já está instalado. Só precisamos adicionar firewall-config .
sudo dnf set up firewall-config
No Manjaro, nenhum componente é pré-instalado, mas eles são agrupados em um único pacote para que possamos instalá-los com um único comando.
sudo pacman -Sy firewalld
Precisamos habilitar o firewalld daemon para permitir que ele seja executado toda vez que o computador for inicializado.
sudo systemctl permit firewalld
E precisamos iniciar o daemon para que ele seja executado agora.
sudo systemctl get started firewalld
Podemos usar systemctl para verificar isso firewalld foi iniciado e está sendo executado sem problemas:
sudo systemctl standing firewalld
Também podemos usar firewalld para verificar se está em execução. Este u.s. o firewall-cmd comando com o --state opção. Practice que não há “d” em firewall-cmd :
sudo firewall-cmd --state
Agora que temos o firewall instalado e funcionando, podemos prosseguir para configurá-lo.
O Conceito de Zonas
o firewalld firewall é baseado em torno zonas. As zonas são coleções de regras de firewall e uma conexão de rede associada. Isso permite que você personalize diferentes zonas — e um conjunto diferente de limitações de segurança — sob as quais você pode operar. Por exemplo, você pode ter uma zona definida para corrida diária common, outra zona para corrida mais segura e uma zona de bloqueio completo “nada dentro, nada fora”.
Para mover de uma zona para outra e efetivamente de um nível de segurança para outro, você transfer sua conexão de rede da zona em que está para a zona sob a qual deseja executar.
Isso torna muito rápido mover um de um conjunto definido de regras de firewall para outro. Outra maneira de usar zonas seria fazer com que seu pc use uma zona quando você estiver em casa e outra quando estiver fora e usando Wi-Fi público.
firewalld vem com nove zonas pré-configuradas. Estes podem ser editados e mais zonas adicionadas ou removidas.
- derrubar: Todos os pacotes recebidos são descartados. O tráfego de saída é permitido. Este é o cenário mais paranóico.
- quadra: Todos os pacotes de entrada são descartados e um
icmp-host-prohibitedmensagem é enviada ao originador. O tráfego de saída é permitido. - confiável: Todas as conexões de rede são aceitas e outros sistemas são confiáveis. Essa é a configuração mais confiável e deve ser restrita a ambientes muito seguros, como redes de teste cativas ou sua casa.
- público: esta zona é para uso em redes públicas ou outras onde nenhum dos outros computadores pode ser confiável. Uma pequena seleção de solicitações de conexão comuns e geralmente seguras são aceitas.
- externo: Esta zona é para uso em redes externas com mascaramento NAT (encaminhamento de porta) habilitado. Seu firewall atua como um roteador que encaminha o tráfego para sua rede privada que permanece acessível, mas ainda privada.
- interno: Esta zona destina-se a ser utilizada em redes internas quando o seu sistema funciona como gateway ou router. Outros sistemas nesta rede são geralmente confiáveis.
- dmz: esta zona é para computadores localizados na “zona desmilitarizada” fora de suas defesas de perímetro e com acesso limitado de volta à sua rede.
- trabalhar: Esta zona é para máquinas de trabalho. Outros computadores nesta rede são geralmente confiáveis.
- casa: Esta zona é para máquinas domésticas. Outros computadores nesta rede são geralmente confiáveis.
As zonas doméstica, de trabalho e interna são muito semelhantes em função, mas separá-las em zonas diferentes permite ajustar uma zona ao seu gosto, encapsulando um conjunto de regras para um cenário específico.
Um bom ponto de partida é descobrir qual é a zona padrão. Esta é a zona à qual suas interfaces de rede são adicionadas quando firewalld está instalado.
sudo firewall-cmd --get-default-zone
Nossa zona padrão é a zona pública. Para ver os detalhes de configuração de uma zona, use o --list-all opção. Isso lista tudo o que foi adicionado ou habilitado para uma zona.
sudo firewall-cmd --zone=public --list-all
Podemos ver que esta zona está associada à conexão de rede enp0s3 e está permitindo tráfego relacionado a DHCP, mDNS e SSH. Como pelo menos uma interface foi adicionada a esta zona, esta zona está ativa.
firewalld permite adicionar Serviços da qual você gostaria de aceitar tráfego para uma zona. Essa zona permite que esse tipo de tráfego passe. Isso é mais fácil do que lembrar que o mDNS, por exemplo, u.s. a porta 5353 e o protocolo UDP e adicionar manualmente esses detalhes à zona. Embora você também possa fazer isso.
Se executarmos o comando anterior em um pc com conexão ethernet e placa Wi-Fi, veremos algo semelhante, mas com duas interfaces.
sudo firewall-cmd --zone=public --list-all
Ambas as nossas interfaces de rede foram adicionadas à zona padrão. A zona tem regras para os mesmos três serviços do primeiro exemplo, mas DHCP e SSH foram adicionados como serviços nomeados, enquanto o mDNS foi adicionado como um emparelhamento de porta e protocolo.
Para listar todas as zonas, use o --get-zones opção.
sudo firewall-cmd --get-zones
Para ver a configuração de todas as zonas de uma vez, use o --list-all-zones opção. Você vai querer canalizar isso para much less.
sudo firewall-cmd --list-all-zones | much less
Isso é útil porque você pode rolar pela lista ou usar o recurso de pesquisa para procurar números de porta, protocolos e serviços.
Em nosso pc, vamos mover nossa conexão Ethernet da zona pública para a zona doméstica. Podemos fazer isso com o --zone e --change-interface opções.
sudo firewall-cmd --zone=house --change-interface=enp3s0
Vamos dar uma olhada na zona de origem e ver se nossa mudança foi feita.
sudo firewall-cmd --zone=house --list-all
E tem. Nossa conexão Ethernet é adicionada à zona inicial.
No entanto, esta não é uma mudança permanente. Nós mudamos o corrida configuração do firewall, não sua armazenado configuração. Se reiniciarmos ou usarmos o --reload opção, voltaremos às nossas configurações anteriores.
Para tornar uma mudança permanente, precisamos usar o nome apropriadamente --permanent opção.
Isso significa que podemos alterar o firewall para requisitos pontuais sem alterar a configuração armazenada do firewall. Também podemos testar as alterações antes de enviá-las para a configuração. Para tornar nossa mudança permanente, o formato que devemos usar é:
sudo firewall-cmd --zone=house --change-interface=enp3s0 --permanent
Se você fizer algumas alterações, mas esquecer de usar --permanent em alguns deles, você pode gravar as configurações da sessão atual do firewall em execução na configuração usando o --runtime-to-permanent opção.
sudo firewall-cmd --runtime-to-permanent
RELACIONADO: O que é DHCP (Dynamic Host Configuration Protocol)?
Adicionando e removendo serviços
firewalld conhece muitos serviços. Você pode listá-los usando o --get-services opção.
sudo firewall-cmd --get-services
Nossa versão de firewalld listados 192 serviços. Para habilitar um serviço em uma zona, use o --add-service opção.
Podemos adicionar um serviço a uma zona usando o --add-service opção.
sudo firewall-cmd --zone=public --add-service=http
O nome do serviço deve corresponder à sua entrada na lista de serviços de firewalld.
Para remover um serviço, substitua --add-service com --remove-service
Adicionando e removendo portas e protocolos
Se você preferir escolher quais portas e protocolos serão adicionados, também poderá fazer isso. Você precisará saber o número da porta e o protocolo para o tipo de tráfego que está adicionando.
Vamos adicionar tráfego HTTPS à zona pública. Isso u.s. a porta 443 e é uma forma de tráfego TCP.
sudo firewall-cmd --zone=public --add-port=443/tcp
Você pode fornecer um intervalo de portas fornecendo a primeira e a última portas com um hífen “-” entre eles, como “400-450”.
Para remover uma porta, substitua --add-port com --remove-port .
RELACIONADO: Qual é a diferença entre TCP e UDP?
Usando a GUI
Pressione a tecla “Tremendous” e comece a digitar “firewall”. Você verá o ícone da parede de tijolos para o firewall-config inscrição.
Clique nesse ícone para iniciar o aplicativo.
Para adicionar um serviço a firewalld usar a GUI é tão fácil quanto selecionar uma zona da lista de zonas e selecionar o serviço da lista de serviços.
Você pode optar por modificar a sessão em execução ou a configuração permanente selecionando “Runtime” ou “Everlasting” no menu suspenso “Configuration”.
Para fazer alterações na sessão em execução e apenas confirmar as alterações depois de testar se funcionam, defina o menu “Configuração” como “Pace de execução”. Faça suas alterações. Quando estiver satisfeito com o que você deseja, use a opção de menu Opções > Pace de execução para permanente.
Para adicionar uma porta e entrada de protocolo a uma zona, selecione a zona na lista de zonas e clique em “Portas”. Clicar no botão adicionar permite fornecer o número da porta e escolher o protocolo em um menu.
Para adicionar um protocolo, clique em “Protocolos”, clique no botão “Adicionar” e selecione o protocolo no menu pop-up.
Para mover uma interface de uma zona para outra, clique duas vezes na interface na lista “Conexões” e selecione a zona no menu pop-up.
A ponta do iceberg
Há muito mais que você pode fazer com firewalld, mas isso é suficiente para colocá-lo em funcionamento. Com as informações que fornecemos, você poderá criar regras significativas em suas zonas.
Fonte da Notícia: www.howtogeek.com
