Da es immer mal wieder Fragen zu firewalld gibt, habe ich mal hier die wichtigsten Konsolen-Befehle / Beispiele aufgeführt.
Natürlich kann man, um seine Firewall zu konfigurieren, auch Yast benutzen.
Aber nicht jeder hat eine grafische Oberfläche bzw. der Eine oder Andere möchte es einfach nur besser verstehen.
Anmerkung:
Alle Firewall-Änderungen (nur als Root) können immer mit oder ohne den Befehl "--permanent" erfolgen.
Ohne "--permanent" ist spätestens nach einem Reboot alles wieder hinfällig - somit gut zum Testen.
Vordefinierte Standard-Zonen:
(Der Standard ist, dass eingehende Verbindungen blockiert und ausgehende Verbindungen akzeptiert werden)
Block:
Eingehende Verbindungen werden blockiert, aber der Absender / Angreifer erhält zumindest eine Antwort, dass er hier von außen nicht reinkommt (icmp-host-deny oder icmp6-adm-deny).
DMZ:
DeMilitarisierte Zone ist für Systeme, die sich innerhalb eines Netzwerkes und zwischen zwei Firewalls befinden.
Drop (mein Favorit - Dank an Tamerlain
Alle eingehenden Verbindungen werden ohne eine Antwort blockiert und nur ausgehende Verbindungen sind möglich.
External:
Firewall als Gateway verwenden. Hier ist firewalld für NAT-Masquerading konfiguriert, so dass das interne Netzwerk privat aber erreichbar ist.
Home:
Es bedeutet im Allgemeinen, dass man den eigenen Computern im Home-Netz vertraut und dass weitere Dienste akzeptiert werden.
Internal:
Die andere Seite der externen Zone, die für den internen Teil eines Gateways verwendet wird. Die Computer sind ziemlich vertrauenswürdig und einige zusätzliche Dienste sind verfügbar.
Public (Standard):
Sie vertrauen anderen Computern nicht, sondern können ausgewählte eingehende Verbindungen manuell zulassen.
Trusted:
Vertraut allen Rechnern im Netzwerk - VORSICHT.
Work:
Wird für PC`s & Workstations verwendet. Vertraut den meisten Computern im Netzwerk. Ein paar weitere Dienste sind erlaubt.
Welche Zonen gibt es zur Zeit auf meinem System zur Auswahl:
Läuft meine Firewall z.Z.:
Sollte der Firewall-Dienst, warum auch immer, nicht laufen, so können wir dies ändern mit:
Und:
Um etwas auszuprobieren, kann die Firewall auch vorübergehend deaktiviert werden mit:
Allgemeine Firewall-Konfiguration abfragen:
firewall-cmd --list-all
drop (active)
target: DROP
icmp-block-inversion: no
interfaces: wlan0
sources:
services:
ports:
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
Alles anzeigen
Firewall-Konfiguration einer bestimmten Zone abfragen (z.B. Zone "drop"):
firewall-cmd --zone=drop --list-all
drop (active)
target: DROP
icmp-block-inversion: no
interfaces: wlan0
sources:
services:
ports:
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
Alles anzeigen
Standard-Zone anzeigen lassen:
Standard-Zone ändern (z.B. in Zone "Drop"):
...oder für immer (mit permanent):
Danach noch den Firewall-Dienst neu laden mit:
Als Beispiel wollen wir "samba" in unserer Firewall freigeben:
Dazu müssen wir aber ersteinmal wissen, in welcher Zone wir uns befinden.
Und ebenfalls brauchen wir die exakten Namen der uns zur Verfügung stehenden Services.
In welcher Zone wir uns gerade befinden, zeigt uns:
In unseren Beispiel befinden wir uns also in der Zone "drop".
Alle verfügbaren Dienste / Services lassen wir uns anzeigen mit:
Nun sehen wir, welche Services zur Auswahl stehen und können Samba in der Zone "drop" freigeben mit:
...oder für immer (mit permanent):
Danach noch den Firewall-Dienst neu laden mit:
Kontrolle mit:
Samba aus der Zone "Drop" wieder entfernen:
Danach noch den Firewall-Dienst neu laden mit:
Kontrolle mit:
Ähnlich fünktioniert es, wenn wir einen bestimmten Port öffnen möchten.
Voraussetzng ist natürlich wieder, dass wir unsere aktuelle Zone kennen - siehe weiter oben.
Ziel ist jetzt, den Port 5555 / TCP, in der Zone "drop" zu öffnen:
...oder für immer (mit permanent):
Danach noch den Firewall-Dienst neu laden mit
Kontrolle mit:
Den freigegebenen Port löschen wir ganz einfach wieder mit:
Danach noch den Firewall-Dienst neu laden mit:
Kontrolle mit:
Es gibt unzählige Möglichkeiten, mit "firewall-cmd" zu arbeiten.
firewall-cmd --[TAB][TAB]
... also zwei Mal schnell hintereinander die Tabulator-Taste, zeigt weitere Optionen.
Für Interessierte kann ich diese Seite empfehlen:
Documentation - Manual Pages - firewall-cmd | firewalld
Viel Spaß und Gruß,
sterun