I firewall sono una delle parti più essenziali della sicurezza quando siamo online. Qui impariamo i passaggi e i comandi per installare, configurare e come utilizzare FirewallD su Rocky Linux 8 utilizzando CLI o GUI.
Molti di noi che non sono già Linux avrebbero già familiarità con la funzionalità firewall su Windows, dove è molto facile attivare o disattivare porte o servizi utilizzando la GUI. Tuttavia, che dire di Linux come CentOS, Rocky Linux, RedHat, AlmaLinux e altro... Se stai utilizzando un desktop Linux completo, un firewall sarebbe già presente ma nella maggior parte dei casi senza un'interfaccia grafica. Tuttavia, Debian, RedHat, Ubuntu e altri sistemi Linux forniscono il software GUI del firewall appropriato direttamente dal rispettivo repository per gestire le cose con l'aiuto dei clic del mouse.
Ma cosa succede se si desidera solo un'installazione di base del sistema operativo senza interfaccia grafica? Perché le versioni minime di Linux non avrebbero nemmeno la versione CLI di Firewall per impostazione predefinita. Bene, questo è un problema molto piccolo, se hai una connessione Internet attiva e grazie a un gestore di pacchetti integrato in Linux, possiamo installare un firewall con un solo comando.
Caratteristiche di FirewallD:
• API D-Bus completa
• IPv4, IPv6, bridge e supporto ipset
• Supporto NAT IPv4 e IPv6
• zone firewall
• Un elenco predefinito di zone, servizi e tipi di ICMP
• Servizio semplice, porta, protocollo, porta di origine, mascheramento, port forwarding, filtro ICMP, regole avanzate, interfaccia e gestione dell'indirizzo di origine nelle zone
• Definizioni di servizi semplici per porte, protocolli, porte di origine, moduli (aiutanti Netfilter) e gestione degli indirizzi di destinazione
• Rich Language per regole più flessibili e complesse nelle zone
• Regole temporali nelle zone
• Registrazione semplice dei pacchetti rifiutati
• Interfaccia diretta
• Blocco:whitelist di utenti autorizzati a modificare il firewall.
• Caricamento automatico dei moduli del kernel Linux
• Funziona con Puppet
• CLI per configurazioni online e offline
• Strumento grafico (usando gtk3)
• Applet (usando Qt4)
I firewall in CentOS erano controllati da ipTables. Questo è stato in gran parte sostituito da FirewallD. Per impostazione predefinita, solo la porta 22 è aperta su Rocky Linux 8, altrimenti è chiusa per ora.
Passaggi per installare e configurare Firewalld su Rocky Linux 8
Il comando qui fornito sarà applicabile anche ad altri sistemi basati su Redhat come CentOS, Oracle Linux, Rocky Linux e RedHat.
1. Requisiti
Non ci sono requisiti speciali, tuttavia assicurati di avere le seguenti cose:
• Rocky Linux 8
• Almeno un utente sudo non root
• Una connessione a Internet
• Accesso al Terminale
2. Aggiornamento DNF
La prima cosa dopo l'installazione di un sistema operativo Linux o prima di configurare uno strumento utilizzando il gestore di pacchetti è eseguire un aggiornamento di sistema. Ciò garantirà che tutti i pacchetti siano nel loro stato più recente e aggiornerà anche la cache del repository.
sudo dnf update
3. Installa Firewalld su Rocky Linux 8
Non dobbiamo cercare alcun repository di terze parti per ottenere i pacchetti per l'installazione di FirewallD su Rocky Linux 8 o qualsiasi altro basato su Redhat. È già fornito dal repository baseOS del sistema. Quindi, esegui semplicemente il comando dato e il gioco è fatto.
sudo dnf install firewalld
4. Avvia il servizio FirewallD
Il servizio di Firewalld non si avvierà in modo atomico, dobbiamo farlo manualmente e anche abilitare lo stesso per l'esecuzione con l'avvio del sistema.
sudo systemctl unmask firewalld
sudo systemctl start firewalld
sudo systemctl enable firewald
Controlla lo stato:
sudo systemctl status firewalld
4. Controlla la versione
Dopo aver completato con successo il processo di installazione, possiamo controllare la versione del firewall per confermare che sia presente sul nostro sistema.
sudo firewall-cmd --version
5. Utilizzo di FirewallD su Rocky Linux 8
Ci sono alcune zone predefinite, che possiamo usare con il comando di Firewalld per configurare vari servizi e porte sul sistema. Ecco quelli:
abbandona :Tutti i pacchetti di rete in entrata vengono eliminati, non c'è risposta. Sono possibili solo connessioni di rete in uscita.
blocco :qualsiasi connessione di rete in entrata viene rifiutata con un messaggio icmp-host-prohibited per IPv4 e icmp6-adm-prohibited per IPv6. Sono possibili solo connessioni di rete avviate all'interno di questo sistema.
pubblico :Per l'uso in aree pubbliche. Non ti fidi degli altri computer sulle reti per non danneggiare il tuo computer. Vengono accettate solo le connessioni in entrata selezionate.
esterno :Per l'uso su reti esterne con masquerading abilitato in particolare per i router. Non ti fidi degli altri computer sulle reti per non danneggiare il tuo computer. Vengono accettate solo le connessioni in entrata selezionate.
dmz :Per i computer nella tua zona demilitarizzata che sono pubblicamente accessibili con accesso limitato alla tua rete interna. Vengono accettate solo le connessioni in entrata selezionate.
lavoro :Per l'uso nelle aree di lavoro. Ti fidi principalmente degli altri computer sulle reti per non danneggiare il tuo computer. Vengono accettate solo le connessioni in entrata selezionate.
casa :Per l'uso in aree domestiche. Ti fidi principalmente degli altri computer sulle reti per non danneggiare il tuo computer. Vengono accettate solo le connessioni in entrata selezionate.
interno :Per l'uso su reti interne. Ti fidi principalmente degli altri computer sulle reti per non danneggiare il tuo computer. Vengono accettate solo le connessioni in entrata selezionate.
fidato :Vengono accettate tutte le connessioni di rete.
Sintassi dei comandi per consentire o bloccare le porte
Finora avresti già familiarità con le zone del programma Firewalld, ora possiamo facilmente utilizzare il terminale di comando per aprire, chiudere e gestire porte o servizi in varie zone.
Consenti porto
Ad esempio, vuoi aprire la porta 80 o il servizio HTTP:
sudo firewall-cmd --permanent --zone=public --add-port=80/tcp
o
sudo firewall-cmd --permanent --zone=public --add-service=http
Allo stesso modo, possiamo aprire le porte 22, 443 o servizi non già consentiti nel firewall.
Dopo aver aperto la porta, è importante ricaricare il servizio firewall per applicare le modifiche apportate.
sudo firewall-cmd --reload
Blocca/rimuovi porta
Considerando che per bloccare qualsiasi porta o servizio aperto, dobbiamo solo usare l'opzione di rimozione, ecco la sintassi per questo.
Ad esempio, se vuoi bloccare la porta 80, il comando sarà:
sudo firewall-cmd --permanent --zone=public --remove-port=80/tcp
oppure se conosci il servizio corrispondente alla porta:
sudo firewall-cmd --permanent --zone=public --remove-service=hhtp
Dopodiché non dimenticare di ricaricare il firewall:
sudo firewall-cmd --reload
Elenca tutte le porte attive:
Per sapere quali sono le porte attive nel firewall per la connessione, possiamo elencarle utilizzando il firewall-cmd comando:
sudo firewall-cmd --list-ports
Elenca le informazioni sulla zona predefinita
Quando non sai quale zona ha quale tipo di servizio o desideri semplicemente ottenere tutte le informazioni relative al firewall in una zona diversa, esegui:
Per elencare tutte le porte
sudo firewall-cmd --list-all
Considerando che solo per alcune zone specifiche, l'utente può dichiarare lo stesso nel comando:
sudo firewall-cmd --list-all --zone=home
Comando per vedere quali servizi sono consentiti
Per ottenere l'unico elenco di servizi consentiti nel firewall:
sudo firewall-cmd --list-services
6. Installa la GUI di FirewallD su Rocky Linux 8
Ebbene, coloro che utilizzano l'interfaccia utente grafica di Rocky Linux 8 o qualsiasi altra basata su RPM, possono utilizzare l'interfaccia GUI per gestire facilmente i servizi del firewall, come aggiungere o rimuovere porte e servizi.
sudo dnf install firewall-config
Una volta completata l'installazione, vai su Application Launcher e cerca –Firewall . Quando appare la sua icona, fai clic per eseguire lo stesso.
Utilizzando la GUI possiamo configurare facilmente vari servizi e porte con l'aiuto di pochi clic.
7. Arresta e disabilita Firewalld
Ogni volta che non desideri che il tuo Firewall blocchi o consenta alcuna porta/servizio, possiamo interromperlo temporaneamente fino all'avvio del sistema.
sudo systemctl stop firewalld
Se invece vuoi interrompere e disattivare il Firewall in modo permanente , esegui:
sudo systemctl disable firewalld
sudo systemctl mask firewalld
8. Disinstalla o rimuovi
Nel caso in cui non desideri più il FirewallD sul tuo sistema, possiamo rimuoverlo utilizzando il gestore di pacchetti DNF utilizzando "remove opzione ".
sudo dnf remove firewalld
per la GUI, se hai installato:
sudo dnf remove firewall-config
Conclusione
In questo modo, possiamo installare e utilizzare FirewallD su Allamlinux e altri sistemi Linux basati su RPM per proteggere in una certa misura il nostro sistema dal mondo esterno. Scopri di più a riguardo nella documentazione ufficiale di FirewallD.