FirewallD
Управление файерволом
| Команда | Описание | |
|---|---|---|
| sudo dnf install firewalld | установка firewalld | |
| sudo systemctl enable firewalld | Разрешить автозапуск | |
| sudo systemctl start firewalld | Запустить firewalld | |
| sudo firewall-cmd --state | состояние | |
| sudo firewall-cmd --reload | Перезапустить файервол | |
| sudo firewall-cmd --list-all | Посмотреть открытые порты | |
| sudo firewall-cmd --info-service ssh | Посмотреть информацию о сервисе | |
Управление зонами
| Команда | Описание |
|---|---|
| sudo firewall-cmd --get-zones | Список зон |
| firewall-cmd –zone=trusted –add-source=10.11.12.128/25 | Добавить в доверенную зону сеть |
| firewall-cmd --zone=trusted --list-all | Посмотреть настройки зоны trusted |
| sudo firewall-cmd --list-all-zones | Информация по всем зонам |
| sudo firewall-cmd -get-default-zone | Зона по умолчанию public, zone=block всё блокируется, в зоне drop - дропается, trusted разрешается |
| sudo firewall-cmd --change-interface=enp08 --zone=trusted | Зоны привязываются к интерфейсам |
Приоритет у public зоны над trusted зоной и если они будут перекрываться, то trusted зона использоваться не будет.
Управление сервисами
| Команда | Описание |
|---|---|
| sudo firewall-cmd --get-services | Посмотреть информацию о всех сервисах |
| sudo firewall-cmd --service=ssh --remove-port=22/tcp --permanent | Удалить из сервиса SSH порт 22 |
| sudo firewall-cmd --service=ssh --add-port=2222/tcp --permanent | Добавить в сервис SSH порт 2222 |
| cat /etc/firewalld/services/ssh.xml | Настройки лежат в этом файле |
| cat /usr/lib/firewalld/services | Описание всех сервисов, можно файл модифицировать и скопировать в /etc/firewalld/services/ |
| sudo firewall-cmd --zone=public --add-port=10100-11000/udp --add-port=13107/udp --permanent | Открыть постоянно несколько портов |
| sudo firewall-cmd --add-port=3456/tcp --permanent | Разрешить порт |
| firewall-cmd --add-port=3478/{udp,tcp} --permanent | Добавить два типа за один раз |
Управление севисами правилами
| Команда | Описание |
|---|---|
| sudo ss -altnp4 | grep sshd | Посмотреть на каком порту сидит sshd |
| sudo firewall-cmd --add-icmp-block-inversion | Заблокировать ICMP полностью |
| sudo firewall-cmd --get-icmp-types | Получить информацию о всех ICMP, которые можно блокировать |
| sudo firewall-cmd --set-target=default | default это отбой Reject(packed filtered) и понятно, что fw используется. set-target=DROP - будет таймаут(предпочтительный способ для скрытия).Дропаются все пакеты, которые не разрешены в настроках. |
| sudo firewall-cmd --runtime-to-permanent | сохраняем сразу все текущие настройки постоянно |
| sudo firewall-cmd --panic-on | режим паники, дропаются все пакеты |
| sudo firewall-cmd --permanent --zone=public --add-rich-rule='rule family="ipv4" source address="3.5.2.1/32" port protocol="tcp" port="333" accept' | добавить точечное правило |
| sudo firewall-cmd --permanent --zone=public --add-rich-rule='rule family="ipv4" source address="3.5.2.1/32" service name="tftp" log prefix "tftp" level = "info" limit value="1/m" accept' | Разрешить соединение с адреса 3.5.2.1/32 к сервису tftp, логировать не чаще раза в минуту, к логам приписывать tftp и важность info |
| sudo journalctl -p crit \| tail -1 | Проверить логи с уровнем "crit" |
| sudo firewall-cmd --permanent --zone=public --remove-rich-rule='rule family="ipv4" source address="3.5.2.1/32" port protocol="tcp" port="333" accept' | удалить правило |
| sudo firewall-cmd --delete-zone=myzone --permanent | Удалить зону |
| sudo firewall-cmd --permanent --zone=public --set-target=DROP | по умолчанию REJECT, DROP, чтобы сканеры не могли определить защищён ли сервер файерволом |
rich-rule без зоны добавляется в дефолтную зону.
Просмотри логов tail -f /var/log/firewalld
в файле /etc/sysconfig/firewalld повышаем уровень детализации FIREWALLD_ARGS=--debug=10 логов и sudo systemctl restart firewalld