firewalld è il metodo predefinito in Red Hat Enterprise Linux 7 per la gestione dei firewall a livello di host. Avviato dal firewalld. service systemd service, firewalld gestisce il sottosistema netfilter del kernel Linux utilizzando i comandi di basso livello iptables, ip6tables ed ebtables.
Configurazione predefinita delle zone firewalld
| Nome zona | Configurazione predefinita |
|---|---|
| fidato | Consenti tutto il traffico in entrata. |
| casa | Rifiuta il traffico in entrata a meno che non sia correlato al traffico in uscita o corrispondente ai servizi predefiniti ssh, mdns, ipp-client, samba-client o dhcpv6-client. |
| interno | Rifiuta il traffico in entrata a meno che non sia correlato al traffico in uscita o che corrisponda ai servizi predefiniti ssh, mdns, ipp-client, samba-client o dhcpv6-client (come la home zone per cominciare). |
| lavoro | Rifiuta il traffico in entrata a meno che non sia correlato al traffico in uscita o corrispondente ai servizi predefiniti ssh, ipp – client o dhcpv6 – client. |
| pubblico | Rifiuta il traffico in entrata a meno che non sia correlato al traffico in uscita o corrispondente ai servizi predefiniti del client ssh o dhcpv6. La zona predefinita per le interfacce di rete appena aggiunte |
| esterno | Rifiuta il traffico in entrata a meno che non sia correlato al traffico in uscita o corrispondente al servizio predefinito ssh. Il traffico 1Pv4 in uscita inoltrato attraverso questa zona viene mascherato per sembrare originato dall'indirizzo 1Pv4 dell'interfaccia di rete in uscita. |
| dmz | Rifiuta il traffico in entrata a meno che non sia correlato al traffico in uscita o corrispondente al servizio predefinito ssh. |
| blocco | Rifiuta tutto il traffico in entrata a meno che non sia correlato al traffico in uscita. |
| lascia | Elimina tutto il traffico in entrata a meno che non sia correlato al traffico in uscita (non rispondere nemmeno con errori ICMP). |
Riferimento alla riga di comando di Firewall
| Comandi Firewall -cmd | Spiegazione |
|---|---|
| –get-default-zone | Interroga la zona predefinita corrente. |
| –set-default-zone=[ZONA] | Imposta la zona predefinita. Questo cambia sia il runtime che la configurazione permanente. |
| –get-zone | Elenca tutte le zone disponibili. |
| –get-servizi | Elenca tutti i servizi predefiniti. |
| –get-active-zones | Elenca tutte le zone attualmente in uso (hanno un'interfaccia o una fonte collegata ad esse), insieme alla loro interfaccia e alle informazioni sulla fonte. |
| –add-source=[CIDR] [ –zone=[ZONA] | Indirizza tutto il traffico proveniente dall'indirizzo IP o dalla maschera di rete/rete [CIDR] alla zona specificata. Se non viene fornita l'opzione –zone=, verrà utilizzata la zona predefinita. |
| –remove-source=[CIDR] [ –zone=[ZONA] | Rimuovi la regola che instrada tutto il traffico proveniente dall'indirizzo IP o dalla maschera di rete/rete [CIDR] dalla zona specificata. Se non viene fornita l'opzione –zone=, verrà utilizzata la zona predefinita. |
| –add-interface=[INTERFACCIA] [ –zone=[ZONA] | Indirizza tutto il traffico proveniente da [INTERFACE] alla zona specificata. Se non viene fornita l'opzione –zone=, verrà utilizzata la zona predefinita. |
| –change -interface=[INTERFACCIA] [–zone=[ZONA] | Associa l'interfaccia con [ZONE] invece della sua zona corrente. Se non viene fornita l'opzione –zone=, verrà utilizzata la zona predefinita. |
| –list-all [–zone=[ZONA]] | Elenco di interfacce, sorgenti, servizi e porte configurati per [ZONE]. Se non viene fornita l'opzione –zone=, verrà utilizzata la zona predefinita. |
| –list-all-zones | Recupera tutte le informazioni per tutte le zone (interfacce, sorgenti, porte, servizi, ecc.). |
| –add-service=[SERVIZIO] | Consenti traffico verso [SERVICE]. Se non viene fornita l'opzione –zone=, verrà utilizzata la zona predefinita. |
| –add-port=[PORTA/PROTOCOLLO] | Consenti il traffico verso le porte [PORT/PROTOCOL]. Se non viene fornita l'opzione –zone=, verrà utilizzata la zona predefinita. |
| –remove-service=[SERVIZIO] | Rimuovere [SERVICE] dall'elenco consentito per la zona. Se non viene fornita l'opzione –zone=, verrà utilizzata la zona predefinita. |
| –remove-port=[PORTA/PROTOCOLLO] | Rimuovere le porte [PORTA/PROTOCOLLO] dall'elenco consentito per la zona. Se non viene fornita l'opzione –zone=, verrà utilizzata la zona predefinita. |
| –ricarica | Elimina la configurazione di runtime e applica la configurazione persistente. |