Krypton Solid

Krypton Solid
Krypton Solid

La última tecnología en raciones de 5 minutos

Algunas formas de configurar Linux firewalld

Inicialmente, firewalld parece difícil de usar, pero en realidad no lo es. Los servicios y las zonas facilitan la unión de las piezas y la configuración de los firewalls de Linux.

Aunque también funciona con el código netfilter en el kernel de Linux, firewalld es totalmente incompatible con la antigua forma de configurar los firewalls de Linux. Red Hat Enterprise Linux 7 y otras distribuciones actuales se basan en este nuevo método.

Todos los ejemplos de comandos de este artículo se basan en RHEL 7.

Firewalld funciona con zonas

Primero, verifique que firewalld se esté ejecutando. Usa el comando systemctl status firewalld (Listado 1).

Listado 1. Esta secuencia muestra que firewalld está activo y en ejecución. Algunas líneas estaban en elipsis; usar -l cuando lo pruebes para mostrarlos en su totalidad.

[[email protected] ~]# systemctl status firewalld

firewalld.service – firewalld – demonio de firewall dinámico

Cargado: cargado (/usr/lib/systemd/system/firewalld.service; habilitado)

Activo: activo (corriendo) desde Thu 2014-05-22 07:48:08 EDT; Hace 14min

PID principal: 867 (firewalld)

CGroup: /system.slice/firewalld.service

└─867 / usr / bin / python -Es / usr / sbin / firewalld –nofork –nopid

22 de mayo 07:48:08 rhelserver.example.com systemd[1]: Iniciado firewalld – dynami …

Todo en firewalld se relaciona con una o más zonas.

Después de la instalación, un servidor RHEL 7 se encuentra normalmente en la zona pública, pero es posible que desee agregarlo a otra zona para configurar fácilmente el acceso al firewall. El comando firewall-cmd --get-default-zone muestra en qué zona estás y firewall-cmd --get-zones muestra las zonas disponibles. Para obtener información detallada sobre la configuración de una zona específica, puede utilizar firewall-cmd --zone=zonename --list-all (Listado 2).

Listado 2. Estos comandos muestran la zona o zonas en las que está configurando firewalls de Linux.

[email protected] ~]# firewall-cmd –get-default-zone

público

[[email protected] ~]# firewall-cmd –get-zones

bloquear dmz soltar externo hogar interno público trabajo confiable

[[email protected] ~]# firewall-cmd –zone = public –list-all

público (predeterminado, activo)

interfaces: ens33

fuentes:

servicios: dhcpv6-client sander ssh

puertos:

mascarada: no

puertos de reenvío:

bloques-icmp:

ricas reglas:

Cambiar la zona actual no es difícil: use firewall-cmd --set-default-zone=home, por ejemplo, para cambiar la asignación de zona predeterminada de público a doméstico.

Servicios y otros componentes básicos

Hay algunos componentes básicos en las zonas: los servicios son los más importantes. Firewalld utiliza su propio conjunto de servicios que se configuran mediante archivos XML en los directorios / usr / lib / firewalld / services (para los servicios predeterminados del sistema) y / etc / firewalld / services para los servicios que usted, el administrador, crea. Para configurar los servicios, cree un archivo XML basado en el ejemplo del Listado 3.

CONTENIDO RELACIONADO  Accenture Labs explora aplicaciones de computación cuántica

Listado 3. Un ejemplo de configuración de servicios firewalld.

[[email protected] servicios]# cat ftp.xml

FTP

FTP es un protocolo que se utiliza para la transferencia de archivos remota. Si planea hacer que su servidor FTP esté disponible públicamente, habilite esta opción. Necesita tener instalado el paquete vsftpd para que esta opción sea útil.

Cada definición de servicio necesita un nombre corto, una descripción, una sección de puerto que especifica el protocolo y el puerto que se utilizará, y un nombre de módulo.

Listado 4. Este ejemplo de un archivo de configuración creará un servicio firewalld.

[[email protected] servicios]# cat sander.xml

Lijadora

Sander es un servicio aleatorio para mostrar cómo funciona la configuración del servicio.

Una vez que tenga el archivo de servicio correcto, use estos comandos para manipularlo.

El comando firewall-cmd --list-services muestra una lista de todos los servicios que se encontraron en su servidor. Para agregar un servicio, use firewall-cmd --add-service yourservice para ponerlo en la zona predeterminada, o agregar --zone=zonename para elegir una zona específica.

Así es como funciona:

1. El comando firewall-cmd --zone=public --list-all muestra la configuración actual de la zona pública.

[[email protected] ~]# firewall-cmd –zone = public –list-all

público (predeterminado, activo)

interfaces: ens33

fuentes:

servicios: dhcpv6-client ssh

puertos:

mascarada: no

puertos de reenvío:

bloques-icmp:

ricas reglas:

2. El comando firewall-cmd --zone=public --add-service=ftp agrega el servicio FTP a la zona pública en el firewall de Linux.

3. Verifique que el servicio FTP se agregó correctamente repitiendo el paso 1. Lo verá en la lista de servicios.

4. Reinicie su servidor y repita el paso 1. Verá que el servicio FTP ha desaparecido. En firewalld, nada es permanente a menos que use la opción –permanent.

CONTENIDO RELACIONADO  AWS Outposts moldeados por el precursor local de Microsoft

5. Para agregar FTP a la zona pública y convertirlo en una configuración permanente, use firewall-cmd  --permanent --zone=public --add-service=ftp. Ahora sobrevivirá a un reinicio.

6. Escriba firewall-cmd --reload para aplicar todas las reglas y recargar el cortafuegos.

Es extremadamente importante cuando se trabaja con firewalld utilizar el --permanent opción para hacer que la configuración sea permanente.

Rompiendo las reglas

Los servicios son la forma preferida de configurar firewalld, ya que brindan fácilmente una descripción general global de lo que está haciendo su firewall. Pero si no desea crear su propio archivo de servicio en / etc / firewalld / service, puede agregar puertos sin ellos.

Para asignar un puerto específico a una zona específica, use un comando como firewall-cmd --permanent --zone=dmz --add-port=22/tcp, luego usa firewall-cmd --zone=dmz --list-all para verificar que el puerto se agregó correctamente. Si bien esta es una forma sencilla de agregar un puerto, pasar por los servicios facilita la distribución de reglas similares en diferentes hosts. Sin servicios, los archivos son difíciles de distribuir y las reglas en un archivo de configuración no son tan fáciles.

Para tener aún más control, puede, pero no debe, usar una regla directa. Este es el por qué:

1. Tipo firewall-cmd --direct --add-rule ipv4 filter INPUT 0 -p tcp --dport 80 -j ACCEPT.

2. Ahora escribe firewall-cdm --list-all para mostrar la configuración de su zona predeterminada. No se agregó nada que se relacione con el puerto 80.

[[email protected] ~]# firewall-cmd –list-all

público (predeterminado, activo)

interfaces: ens33

fuentes:

servicios: dhcpv6-client ftp ssh

puertos:

mascarada: no

puertos de reenvío:

bloques-icmp:

ricas reglas:

No aparece nada sobre el puerto HTTP que agregó porque las reglas directas se escriben en la interfaz de iptables, no en firewalld.

3. Para mostrar reglas directas, use firewall-cmd --direct --get-all-rules. O usa el comando obsoleto iptables -L en lugar de.

En lugar de reglas directas, utilice reglas enriquecidas, que se escriben en firewalld en lugar de iptables (Listado 5).

Listado 5. Un ejemplo de una regla rica en firewalld de Linux.

firewall-cmd –permanent –zone = public –add-rich-rule = «familia de reglas =» ipv4 «dirección de origen =» 192.168.4.0/24 «nombre de servicio =» tftp «prefijo de registro =» tftp «nivel = valor límite «info» = «1 / m» aceptar «

CONTENIDO RELACIONADO  ¿Qué es un adaptador de red convergente (CNA)?

Las reglas enriquecidas de Firewalld ofrecen una cantidad máxima de flexibilidad que es similar a lo que es posible en un firewall de iptables.

Se logran y aplican muchas cosas en la única regla del Listado 5. La especificación de la familia de IP, la dirección de origen y el nombre de los servicios pueden ser obvios, pero tenga en cuenta cómo maneja la regla el registro: se define un prefijo de registro específico, así como una información de nivel de registro y un valor límite de un mensaje por minuto. máx.

El administrador de Linux puede aplicar filtros que miran más que solo puertos, por lo que las reglas enriquecidas son particularmente útiles para filtrar por direcciones IP (Listado 6).

Listado 6. Esta rica regla aplica un filtro en las direcciones IP para el firewall de Linux.

firewall-cmd –permanent –zone = public –add-rich-rule = «familia de reglas =» ipv4 «

dirección de origen = «192.168.0.4/24» nombre del servicio = «http» aceptar «

Analizando zonas

El firewall-cmd El comando es uno de los muchos métodos para configurar firewalld. Alternativamente, puede editar el archivo de configuración de zona directamente. Esto no le da ningún comentario sobre la sintaxis incorrecta, pero es un archivo de configuración limpio y sencillo que es fácil de modificar y distribuir en varios servidores.

Listado 7. Puede configurar firewalld editando el archivo de configuración de la zona.

Público

Para uso en áreas públicas. No confía en las otras computadoras en las redes para no dañar su computadora. Solo se aceptan las conexiones entrantes seleccionadas.

El ejemplo del Listado 7 incluye todo lo que se agregó en los ejemplos anteriores, escrito directamente en el archivo de configuración de la zona, con la excepción de las reglas directas. Las reglas directas tienen su propio archivo de configuración:

[[email protected] firewalld]# cat direct.xml

– p tcp –dport 80 -j ACCEPT

¡Haz clic para puntuar esta entrada!
(Votos: Promedio: )

También te puede interesar...

La importancia de la limpieza de DriverStore

He escrito en un blog repetidamente aquí sobre una pequeña herramienta de software gratuita llamada DriverStore Explorer (RAPR.EXE). En entornos Windows hasta Windows 10 inclusive, los controladores que se han cargado e instalado en el

¿Cuál es el estado del mercado?

El almacenamiento en caché de unidades de estado sólido ha existido lo suficiente como para que se lo considere más un elemento de la lista de verificación que una característica excelente. Como tal, gran parte

Supere estos 5 desafíos de DevOps

A medida que DevOps madura en su segunda década, más organizaciones de TI ven sus beneficios. Pero el viaje de los flujos de trabajo de TI tradicionales y en silos a canales de colaboración más

Transforme las ventas para transformar su negocio

Salesforce ha sido pionera en capacitar a las organizaciones para que modernicen las ventas y las relaciones con los clientes a través de la colaboración digital, la movilidad, las redes sociales, conocimientos en tiempo real

Requisitos de hardware de Citrix XenServer 5.5

Si planea ofrecer servicios de implementación para Citrix XenServer 5.5 o VMware vSphere 4, asegúrese de que sus clientes cumplan con todos los requisitos de hardware antes de comenzar su proyecto. Los proveedores de soluciones

IA en el núcleo de la BI de próxima generación

BI de próxima generación está sobre nosotros, y lo ha estado durante algunos años. La primera generación de inteligencia empresarial, que comenzó en la década de 1980 y se extendió hasta principios del siglo XXI,

¿Quién tiene el control de sus sistemas de control?

Los ciberdelincuentes investigan constantemente los dispositivos de IoT de consumo, como enrutadores domésticos, cámaras IP e impresoras, para encontrar puntos de acceso a la red. Una vez que tienen acceso, pueden interrumpir las funciones de

¿Cuáles son sus objetivos de disponibilidad del sistema?

P: ¿Cuáles son los criterios de disponibilidad del sistema? La disponibilidad del sistema es particularmente importante, especialmente en términos de recuperación ante desastres y tolerancia a fallas. Esto es en términos de: ¿Cómo se va

NetApp lleva SSD de autocifrado de Toshiba

NetApp es el primer proveedor de almacenamiento en vender las nuevas unidades de estado sólido (SSD) altamente seguras de Toshiba. Los arreglos híbridos FAS y E-Series de NetApp incluirán unidades SSD SAS Toshiba PXO4S de

¿Qué es la prueba de Turing?

¿Qué es la prueba de Turing? La prueba de Turing es un método de investigación en inteligencia artificial (IA) para determinar si una computadora es capaz de pensar como un ser humano. La prueba lleva

Probando VSAN 6.2 en una máquina virtual

La Actualización 2 de vSphere 6.0 de VMware incluye actualizaciones tanto para ESXi como para vCenter, pero los cambios más importantes llegaron con Virtual SAN 6.2, que ahora incluye deduplicación y compresión para configuraciones all-flash.

Asegure su perímetro digital

El perímetro digital es el límite entre los sistemas internos o la información y el mundo exterior y cómo aseguramos que el perímetro está cambiando debido a la movilidad, la nube y el acceso remoto

Descripción general de RHEV-M, RHEV-H y RHEL

Red Hat Enterprise Virtualization es una plataforma de virtualización de servidores poderosa y versátil que a menudo se ve eclipsada por vSphere e Hyper-V. Debido a que el hipervisor KVM subyacente está integrado en el

Principales opciones para comprar hardware de cliente ligero

Los clientes ligeros han evolucionado considerablemente durante la última década, con una multitud de selecciones ahora disponibles cuando los compradores deben tomar la decisión de adquirir un cliente para la infraestructura de escritorio virtual. Algunos

¿Qué es LTE-Advanced (Long Term Evolution-Advanced)?

Long Term Evolution-Advanced (LTE-Advanced) es un estándar de red celular que ofrece un rendimiento más alto que su predecesor, el estándar Long Term Evolution (LTE). Las redes Long Term Evolution-Advanced pueden entregar hasta 1 GB

Cómo realizar el monitoreo de WVD con Azure Log Analytics

Windows Virtual Desktops es una oferta de escritorio como servicio basada en Microsoft Azure y, como cualquier tecnología de escritorio virtual, requiere una supervisión exhaustiva para garantizar una experiencia de calidad para los usuarios finales.

Deja un comentario