Firewall do Linux

Uma solicitação na porta 80 da máquina local, então, geraria um logon DMESG que se parece com essa (uma linha única dividida em 3 para se ajustar a este documento):

Segurança – Firewall

O kernel Linux inclui o Netfilter Subsistema, que é usado para manipular ou decidir o destino do tráfego de rede que dirige -se para ou através do seu servidor. Todas as soluções modernas de firewall linux usam este sistema para filtragem de pacotes.

O sistema de filtragem de pacotes do kernel seria de pouca utilidade para os administradores sem uma interface de espaço para usuários para gerenciá -lo. Esse é o objetivo dos iptables: quando um pacote atingir seu servidor, ele será entregue ao subsistema Netfilter para aceitação, manipulação ou rejeição com base nas regras fornecidas a ele do Usuário, via iptables. Assim, Iptables é tudo o que você precisa para gerenciar seu firewall se estiver familiarizado com isso, mas muitos frontends estão disponíveis para simplificar a tarefa.

UFW – Firewall não complicado

A ferramenta de configuração do firewall padrão para o Ubuntu é UFW. Desenvolvido para facilitar a configuração do firewall iptables, o UFW fornece uma maneira fácil de usar um firewall baseado em host IPv4 ou IPv6.

UFW por padrão está inicialmente desativado. Na página do UFW Man:

“A UFW não se destina a fornecer funcionalidade completa do firewall por meio de sua interface de comando, mas fornece uma maneira fácil de adicionar ou remover regras simples. Atualmente é usado principalmente para firewalls baseados em host.”

A seguir, alguns exemplos de como usar o UFW:

  • Primeiro, a UFW precisa ser ativada. De um prompt de terminal, digite:

sudo ufw atability

sudo ufw permitir 22

sudo ufw insert 1 permitir 80

sudo ufw negar 22

sudo ufw delete negar 22

sudo ufw permitir proto tcp de 192.168.0.2 para qualquer porta 22

sudo ufw-run-run permitir http

*filtro: ufw-user-input-[0: 0]: ufw-user-santput-[0: 0]: ufw-user forward-[0: 0]: ufw-user-limit-[0: 0]: ufw-user-limit-acept-[0: 0] ######### ###### ### ## ### ### ## #### ### ### ####.0.0.0/0 qualquer 0.0.0.0/0 -A ufw-user-input -p tcp --dport 80 -j ACCEPT ### END RULES ### -A ufw-user-input -j RETURN -A ufw-user-output -j RETURN -A ufw-user-forward -j RETURN -A ufw-user-limit -m limit --limit 3/minute -j LOG --log-prefix "[UFW LIMIT]: " -A ufw-user-limit -j REJECT -A ufw-user-limit-accept -j ACCEPT COMMIT Rules updated

sudo ufw desativar

status sudo ufw

sudo ufw status detalhado

sudo ufw status numerado

Observação
Se a porta que você deseja abrir ou fechar for definida em /etc /serviços, você pode usar o nome da porta em vez do número. Nos exemplos acima, substitua 22 por SSH.

Esta é uma introdução rápida para usar o UFW. Consulte a página do UFW Man para obter mais informações.

Integração de aplicativos da UFW

Aplicativos que abrem portas podem incluir um perfil UFW, que detalha as portas necessárias para que o aplicativo funcione corretamente. Os perfis são mantidos em/etc/ufw/aplicativos.d e pode ser editado se as portas padrão tiverem sido alteradas.

  • Para ver quais aplicativos instalaram um perfil, insira o seguinte em um terminal:

Lista de aplicativos sudo ufw

sudo ufw permitir samba

Ufw permitir de 192.168.0.0/24 para qualquer aplicativo samba

Substitua o samba e 192.168.0.0/24 com o perfil do aplicativo que você está usando e o intervalo de IP para sua rede.

Observação Não há necessidade de especificar o protocolo para o aplicativo, porque essas informações são detalhadas no perfil. Além disso, observe que o nome do aplicativo substitui o número da porta. 

SUDO UFW App Info Samba

Nem todos os aplicativos que exigem a abertura de uma porta de rede vêm com perfis da UFW, mas se você tiver perfilado um aplicativo e deseja que o arquivo seja incluído no pacote, registre um bug no pacote no Launchpad.

Ubuntu-bug Nameofpackage

IP disfarçado

O objetivo do IP Masquising é permitir que máquinas com endereços IP privados e não rotáveis ​​em sua rede acessem a Internet através da máquina fazendo a mascarada. O tráfego da sua rede privada destinado à Internet deve ser manipulado para que as respostas sejam rotáveis ​​de volta para a máquina que fez a solicitação. Para fazer isso, o kernel deve modificar o endereço IP de origem de cada pacote para que as respostas sejam roteadas de volta, e não para o endereço IP privado que tornou a solicitação, o que é impossível pela Internet. O Linux usa o rastreamento de conexão (Conntrack) para acompanhar quais conexões pertencem a quais máquinas e redirecionar cada pacote de retorno de acordo. O tráfego que sai da sua rede privado é, portanto, “disfarçado” como tendo se originado da sua máquina de gateway ubuntu. Este processo é referido na documentação da Microsoft como compartilhamento de conexão com a Internet.

UFW disfarçado

A disfarce de IP pode ser alcançado usando regras UFW personalizadas. Isso é possível porque o back-end atual para UFW é iptables-Restore com os arquivos de regras localizados em/etc/ufw/*.regras. Esses arquivos são um ótimo lugar para adicionar regras de iptables legadas usadas sem UFW e regras que são mais gateway de rede ou ponte relacionadas.

As regras são divididas em dois arquivos diferentes, regras que devem ser executadas antes das regras da linha de comando da UFW e regras que são executadas

Firewall do Linux

Uma solicitação na porta 80 da máquina local, então, geraria um logon DMESG que se parece com essa (uma linha única dividida em 3 para se ajustar a este documento):

Segurança – Firewall

O kernel Linux inclui o Netfilter Subsistema, que é usado para manipular ou decidir o destino do tráfego de rede que dirige -se para ou através do seu servidor. Todas as soluções modernas de firewall linux usam este sistema para filtragem de pacotes.

O kernel’S Sistema de filtragem de pacotes seria de pouca utilidade para os administradores sem uma interface de espaço para usuários para gerenciá -lo. Esse é o objetivo dos iptables: quando um pacote atingir seu servidor, ele será entregue ao subsistema Netfilter para aceitação, manipulação ou rejeição com base nas regras fornecidas a ele do Usuário, via iptables. Assim, iptables é tudo o que você precisa para gerenciar seu firewall, se você’estou familiarizado com isso, mas muitos frontends estão disponíveis para simplificar a tarefa.

UFW – Firewall não complicado

A ferramenta de configuração do firewall padrão para o Ubuntu é UFW. Desenvolvido para facilitar a configuração do firewall iptables, o UFW fornece uma maneira fácil de usar um firewall baseado em host IPv4 ou IPv6.

UFW por padrão está inicialmente desativado. Na página do UFW Man:

“A UFW não se destina a fornecer funcionalidade completa do firewall por meio de sua interface de comando, mas fornece uma maneira fácil de adicionar ou remover regras simples. Atualmente é usado principalmente para firewalls baseados em host.”

A seguir, alguns exemplos de como usar o UFW:

    Primeiro, a UFW precisa ser ativada. De um prompt de terminal, digite:

sudo ufw atability 

sudo ufw permitir 22 

sudo ufw insert 1 permitir 80 

sudo ufw negar 22 

sudo ufw delete negar 22 

sudo ufw permitir proto tcp de 192.168.0.2 para qualquer porta 22 

 sudo ufw-run-run permitir http 

*filtro: ufw-user-input-[0: 0]: ufw-user-santput-[0: 0]: ufw-user forward-[0: 0]: ufw-user-limit-[0: 0]: ufw-user-limit-acept-[0: 0] ######### ###### ### ## ### ### ## #### ### ### ####.0.0.0/0 qualquer 0.0.0.0/0 -A ufw-user-input -p tcp --dport 80 -j ACCEPT ### END RULES ### -A ufw-user-input -j RETURN -A ufw-user-output -j RETURN -A ufw-user-forward -j RETURN -A ufw-user-limit -m limit --limit 3/minute -j LOG --log-prefix "[UFW LIMIT]: " -A ufw-user-limit -j REJECT -A ufw-user-limit-accept -j ACCEPT COMMIT Rules updated 

sudo ufw desativar 

status sudo ufw 

sudo ufw status detalhado 

sudo ufw status numerado

Observação

Se a porta que você deseja abrir ou fechar for definida em /etc /serviços, você pode usar o nome da porta em vez do número. Nos exemplos acima, substitua 22 com ssh.

Esta é uma introdução rápida para usar o UFW. Consulte a página do UFW Man para obter mais informações.

Integração de aplicativos da UFW

Aplicativos que abrem portas podem incluir um perfil UFW, que detalha as portas necessárias para que o aplicativo funcione corretamente. Os perfis são mantidos em/etc/ufw/aplicativos.d, e pode ser editado se as portas padrão tiverem sido alteradas.

    Para ver quais aplicativos instalaram um perfil, insira o seguinte em um terminal:

Lista de aplicativos sudo ufw 

sudo ufw permitir samba 

Ufw permitir de 192.168.0.0/24 para qualquer aplicativo samba

Substituir Samba e 192.168.0.0/24 com o perfil de aplicativo que você está usando e o intervalo de IP para sua rede.

Observação Não há necessidade de especificar o protocolo Para o aplicativo, porque essa informação é detalhada no perfil. Além disso, observe que o aplicativo O nome substitui o porta número.

SUDO UFW App Info Samba

Nem todos os aplicativos que exigem a abertura de uma porta de rede vêm com perfis da UFW, mas se você tiver perfilado um aplicativo e deseja que o arquivo seja incluído no pacote, registre um bug no pacote no Launchpad.

Ubuntu-bug Nameofpackage

IP disfarçado

O objetivo do IP Masquising é permitir que máquinas com endereços IP privados e não rotáveis ​​em sua rede acessem a Internet através da máquina fazendo a mascarada. O tráfego da sua rede privada destinado à Internet deve ser manipulado para que as respostas sejam rotáveis ​​de volta para a máquina que fez a solicitação. Para fazer isso, o kernel deve modificar o fonte Endereço IP de cada pacote para que as respostas sejam roteadas de volta, e não para o endereço IP privado que tornou a solicitação, o que é impossível pela Internet. Usos Linux Rastreamento de conexão (Conntrack) para acompanhar quais conexões pertencem a quais máquinas e redirecionar cada pacote de retorno de acordo. Tráfego saindo da sua rede privada é assim “mascarado” como tendo se originado na sua máquina de gateway ubuntu. Este processo é referido na documentação da Microsoft como compartilhamento de conexão com a Internet.

UFW disfarçado

A disfarce de IP pode ser alcançado usando regras UFW personalizadas. Isso é possível porque o back-end atual para UFW é iptables-Restore com os arquivos de regras localizados em/etc/ufw/*.regras . Esses arquivos são um ótimo lugar para adicionar regras de iptables legadas usadas sem UFW e regras que são mais gateway de rede ou ponte relacionadas.

As regras são divididas em dois arquivos diferentes, regras que devem ser executadas antes das regras da linha de comando da UFW e regras que são executadas após as regras da linha de comando da UFW.

    Primeiro, o encaminhamento de pacotes precisa ser ativado na UFW. Dois arquivos de configuração precisarão ser ajustados, em/etc/padrão/ufw altere o Default_forward_policy para “ACEITAR”:

Default_forward_policy = "aceitar"

Em seguida, edite/etc/ufw/sysctl.conf e descomment:

net/ipv4/ip_forward = 1

Da mesma forma, para o impulso para encaminhamento IPv6:

net/ipv6/conf/default/encaminhamento = 1 

# NAT Tabela Regras *Nat: Postrouting aceita [0: 0] # tráfego encaminhado de eth1 a eth0. -Um pós -turno -s 192.168.0.0/24 -O ETH0 -J Masquerade # Não exclua a linha 'Commits' ou essas regras da tabela NAT não serão processadas

Os comentários não são estritamente necessários, mas é considerado uma boa prática documentar sua configuração. Além disso, ao modificar qualquer um dos regras Arquivos em /etc /ufw, verifique se essas linhas são a última linha para cada tabela modificada:

# Não exclua a linha 'Commit' ou essas regras não serão processadas

Para cada Mesa um correspondente COMPROMETER-SE Declaração é necessária. Nesses exemplos apenas o Nat e filtro As tabelas são mostradas, mas você também pode adicionar regras para o cru e Mangle mesas.

Observação No exemplo acima, substitua eth0, Eth1, e 192.168.0.0/24 com as interfaces apropriadas e o intervalo de IP para sua rede.

sudo ufw desabilitar && sudo ufw atable

A máscara de IP agora deve ser ativada. Você também pode adicionar regras adicionais para o/etc/ufw/antes.regras . Recomenda -se que essas regras adicionais sejam adicionadas ao ufw-se antes da frente corrente.

iptables disfarçados

iptables também podem ser usados ​​para ativar a disfarce.

    Semelhante ao UFW, a primeira etapa é ativar o encaminhamento de pacotes IPv4 editando /etc /sysctl.conf and descomment a seguinte linha:

líquido.IPv4.ip_forward = 1

Se você deseja ativar o encaminhamento do IPv6, também o descomment:

líquido.IPv6.conf.padrão.encaminhamento = 1 

sudo sysctl -p 

sudo iptables -t nat -a postouting -s 192.168.0.0/16 -O PPP0 -J

  • -t Nat – A regra é entrar na mesa de nat
  • -Uma pós-truta-a regra deve ser anexada (-a) à cadeia pós-truta
  • -S 192.168.0.0/16 – A regra se aplica ao tráfego originário do espaço de endereço especificado
  • -o PPP0 – A regra se aplica ao tráfego programado para ser roteado através do dispositivo de rede especificado
  • -J Masquerade – o tráfego correspondente a esta regra é para “pular” (-j) ao alvo de máscaras a ser manipulado como descrito acima

sudo iptables -award -s 192.168.0.0/16 -O ppp0 -j Aceitar sudo iptables -a forward -d 192.168.0.0/16 -M Estado \ -Estado estabelecido, relacionado -i ppp0 -j aceita 

iptables -t nat -a postouting -s 192.168.0.0/16 -O PPP0 -J

Histórico

Os toras de firewall são essenciais para reconhecer ataques, solucionar suas regras de firewall e perceber atividades incomuns em sua rede. Você deve incluir regras de registro em seu firewall para que elas sejam geradas, e as regras de registro devem vir antes de qualquer regra de rescisão aplicável (uma regra com um alvo que decide o destino do pacote, como aceitar, soltar ou rejeitar).

Se você estiver usando o UFW, poderá ativar o registro digitando o seguinte em um terminal:

sudo ufw logon

Para desligar o login na UFW, basta substituir sobre com desligado No comando acima.

Se estiver usando iptables em vez de ufw, digite:

sudo iptables -a input -m state -estatal novo -p tcp - -dport 80 \ -j log - -log -prefix "new_http_conn:"

Uma solicitação na porta 80 da máquina local, então, geraria um logon DMESG que se parece com essa (uma linha única dividida em 3 para se ajustar a este documento):

[4304885.870000] new_http_conn: in = lo out = mac = 00: 00: 00: 00: 00: 00: 00: 00: 00: 00: 00: 00: 08: 00 src = 127.0.0.1 dst = 127.0.0.1 len = 60 tos = 0x00 prec = 0x00 ttl = 64 df proto = tcp spt = 53981 dpt = 80 janela = 32767 res = 0x00 syn urgp = 0

O log acima também aparecerá em/var/log/mensagens,/var/log/syslog e/var/log/kern.registro . Este comportamento pode ser modificado pela edição /etc /syslog.confer. O daemon ULOGD é um servidor de space de usuários que escuta as instruções de registro do kernel especificamente para firewalls e podem fazer login em qualquer arquivo que desejar, ou mesmo em um banco de dados PostGresql ou MySQL. Compreendendo seus toros de firewall podem ser simplificados usando uma ferramenta de análise de log, como logwatch, fwanalog, fwlogwatch ou lire.

Outras ferramentas

Existem muitas ferramentas disponíveis para ajudá -lo a construir um firewall completo sem conhecimento íntimo de iptables. Uma ferramenta de linha de comando com arquivos de configuração de texto simples:

  • Shorewall é uma solução muito poderosa para ajudá -lo a configurar um firewall avançado para qualquer rede.

Referências

  • A página Wiki do Ubuntu Firewall contém informações sobre o desenvolvimento da UFW.
  • Além disso, a página manual do UFW contém algumas informações muito úteis: homem ufw .
  • Consulte o pacote que filtrou-se para obter mais informações sobre o uso de iptables.
  • O Nat-Howto contém mais detalhes sobre disfarce.
  • Os iptables Howto no Ubuntu Wiki são um ótimo recurso.

Firewall do Linux

Muitas vezes, é mal interpretado que o firewall é desnecessário para o Linux. Obviamente, o sistema Linux é meticulosamente criado para dar segurança máxima. Por exemplo, possui vários níveis de autorização impedindo a instalação de malware e códigos maliciosos. Por padrão, o sistema Linux não possui portas abertas, o que significa que nenhum dispositivo ou programas externos pode ter acesso ao seu dispositivo sem abrir portas, ao contrário do Windows. Além disso, vírus e malwares feitos para o Linux são extremamente raros devido ao fato de o sistema operacional Linux ser o sistema operacional menos popular. Isso praticamente torna inadimplente para atacantes cibernéticos atacá -lo.

Não obstante, ainda existem brechas principais que podem expor seu sistema Linux. Além disso, como a maioria dos usuários do Linux se sente confiante de que não precisa de proteção extra, eles são mais vulneráveis, caso um ataque seja lançado. Para esse fim, faz sentido garantir que você obtenha um firewall Linux respeitável que lhe dará a proteção necessária. Aqui estão quatro motivos pelos quais você deve considerar instalar um firewall para o seu dispositivo Linux.

Firewall do Linux

Por que você precisa de firewall para o seu sistema Linux?

eu. Camada extra de proteção

Como afirmado, o Linux é feito de tal forma que é extremamente difícil para malwares e outras falhas de segurança acontecer. Por padrão, ele tem seu próprio firewall interno, embora desativado. Primeiro de tudo, antes de instalar um novo firewall do Linux, você deve garantir que seu firewall nativo já esteja ativado. Como a maioria dos usuários do Linux tem conhecimento técnico, eles podem facilmente manipular seus sistemas de firewall para atender às suas necessidades de segurança. Adicionar uma camada extra de proteção instalando um firewall de terceiros significa que seu dispositivo Linux terá várias camadas de segurança, tornando ainda mais difícil para hackers e malwares.

ii. Prevenção de malware

Malwares para linux são extremamente raros. Mas quando eles atacam, o dano é de magnitudes extremas. Melhor estar seguro do que remediar. Um bom firewall do Linux é feito meticulosamente para combater malware e vírus Linux de entrar no sistema. Usando um conjunto de regras, ele identificará códigos maliciosos transmitidos pela sua rede privada. Agora, concedido, seu sistema Linux não possui portas abertas por padrão e possui vários níveis de autorização. No entanto, um pequeno erro como ter uma porta aberta e conceder autorização do sistema a um código malicioso deixará você vulnerável. O firewall impede que esse malware ganhe acesso ao dispositivo em primeiro lugar. Dessa forma, independentemente de portos abertos ou autorização, não há malware que entre no sistema.

iii. Proteção contra ataques cibernéticos

Cibercriminosos’ A agenda principal está ganhando informações importantes de um sistema ou extorquiram dinheiro de suas vítimas. Os usuários do Linux geralmente são pessoas com experiência em tecnologia ou grandes organizações. Faz sentido os cibercriminosos investirem pesadamente em seus ataques, pois os lucros serão igualmente grandes, caso tenham sucesso. Portanto, significa que os ataques realizados nos sistemas Linux causam perdas extremas quando bem -sucedidas.

Um bom software de firewall linux deve ser forte o suficiente para poder impedir que esses ataques aconteçam. Ele examina todos os pacotes de dados que acessam seu sistema e alienam dados maliciosos e impede que sejam transmitidos. Isso é especialmente verdade quando um invasor ganhou acesso ao sistema e tenta transmitir dados importantes.

4. Privacidade

Todo mundo valoriza a privacidade. Os usuários do Linux têm a vantagem de ter um sistema operacional seguro que seja menos atacado por malware e cibercriminosos. Mas isso não significa que eles não podem entrar, especialmente se você estiver usando uma rede pública. Embora esses ataques dependam muito de portas abertas no seu sistema Linux, quando elas acontecem, você pode acabar exposto e alguns de seus arquivos pessoais podem entrar no domínio público. Pior ainda, suas atividades on -line podem ser rastreadas e você pode ser espionado. Escusado será dizer que ter um firewall linux superior deve ser sua prioridade número um se você valorizar sua privacidade. E você não deveria’t arriscado nisso.

Software Comodo Firewall para Linux

A Comodo é uma das principais empresas de segurança de rede que existem por várias décadas. Essa vasta experiência, juntamente com nossa equipe de especialistas em TI altamente experiente, nos permitiu criar um dos principais softwares de firewall do Linux que oferece alta funcionalidade e usabilidade, mesmo para indivíduos com menos tecnologia. Com os principais prêmios do AV-Test 2019 e a uma taxa acessível de US $ 29.99, você tem proteção máxima garantida 24/7 com 100% de veredicto 100% do tempo.

Linux precisa de um firewall e como configurar o firewall do Linux com o Firewall-CMD

Brian Avtar

Linux é mais seguro do que outros sistemas operacionais. Mas essa não é a única razão pela qual você pode não precisar de um antivírus ou firewall enquanto estiver usando o Linux.

Linux não é invulnerável. Na verdade, esse é um dos mitos mais comuns de segurança cibernética que colocam problemas nos usuários do Linux. Essa crença facilita o abaixamento da guarda e, quando sua guarda está abaixada, é mais provável que você seja um soco em. Mas só porque o Linux tem orifícios de segurança não significa que você precisa de antivírus ou software de firewall. Sua escolha de configurações de segurança terá sido discutida em detalhes durante a instalação do seu sistema Linux, mas você pode não se lembrar delas até agora. Neste artigo, falaremos sobre a configuração do firewall com o comando firewall-cmd.

O que é um firewall?

Os firewalls são um aspecto essencial da segurança da rede, portanto, um sysadmin deve entender como eles funcionam. Se você entender os firewalls, pode manter sua rede segura tomando decisões informadas sobre qual tráfego deixar entrar e sair. Um firewall é simplesmente um filtro que determina quais pacotes de rede podem entrar no seu computador da Internet e quais podem deixar seu computador para a Internet. É usado principalmente para permitir e/ou proibir conexões de entrada. As conexões de saída raramente são filtradas. Em palavras simples, é uma espécie de parede entre o seu computador e o mundo exterior.

Linux precisa de um firewall?

Isso é quase sempre uma pergunta. 99% dos usuários do Linux acreditam que o Linux é seguro por padrão. Por padrão, quase todas as distribuições Linux não têm um firewall. Para ser mais preciso, eles têm um firewall adormecido. Como o kernel Linux inclui um firewall embutido e, teoricamente, todas as distribuições Linux incluem uma, mas não está configurada ou ativa. Mas não se preocupe, mesmo sem um firewall ativo, seu Linux ainda está seguro. A maioria das distribuições, incluindo Ubuntu e Linux Mint, não possui portas abertas por padrão, garantindo que pessoas de fora não possam acessar sua máquina. No entanto, peço que você ative um firewall. É preferível estar seguro do que remediar. Discutiremos ainda mais como configurar o firewall do Linux usando o firewall-cmd.

O que é iptables?

Iptables é uma ferramenta de firewall da linha de comando que permite ou bloqueia o tráfego usando cadeias de políticas. Quando uma conexão tenta se estabelecer em seu sistema, iptables pesquisa sua lista de regras para uma correspondência. Se não puder descobrir um, volta à ação padrão. iptables é quase geralmente incluído em cada distribuição Linux. Os iptables tendem a usar 3 cadeias diferentes: entrada, avanço e saída. Com isso, você pode criar diferentes conjuntos de regras para diferentes máquinas na rede, no entanto, por que não facilitar o uso do Firewall-CMD!

O que é firewall-cmd e firewalld?

Firewall-CMD é uma interface de linha de comando para o daemon do firewalld, que se comunica com a estrutura de netfilter do kernel Linux. É improvável que essa pilha seja encontrada nos modems incorporados comumente encontrados em pequenas e médias empresas, mas está presente ou disponível para qualquer distribuição Linux que suporta Systemd. O Firewalld é um firewall controlado dinamicamente que suporta zonas de rede/firewall, que especificam o nível de confiança para conexões de rede ou interfaces. Ele suporta configurações de firewall IPv4 e IPv6, bem como pontes Ethernet e conjuntos de IP. O tempo de execução e as opções de configuração permanente são separadas. Ele também fornece uma interface através de quais serviços ou programas podem facilmente adicionar regras de firewall.

Configurando o firewall com o Firewall-CMD

Dependendo da sua distribuição Linux, você pode ou não ter o comando firewall-cmd já instalado. Sem um firewall operacional, o Firewall-CMD não tem nada a controlar, portanto, o primeiro passo é verificar se o Firewalld está em execução:

$ sudo systemctl atabille -agora firewalld

As zonas são usadas como predefinições no Firewall-CMD, oferecendo opções razoáveis ​​para escolher. Isso evita que você precise projetar um firewall desde o início. As zonas são atribuídas a interfaces de rede. Execute o comando abaixo para verificar suas zonas:

Se eu quisesse criar uma nova zona, usaria o comando:

$ sudo firewall-cmd–new-zon [zoneName] –permanente

Além disso, posso usar os seguintes comandos para verificar quais portas e serviços são permitidos:

Para verificar quais zonas estão ativas, execute o comando:

$ sudo firewall-cmd-get-attive-zonas

Para adicionar um serviço e permitir conexões para esse serviço, você usa o argumento –Add-Service, como mostrado abaixo:

$ sudo firewall-cmd-add-service http-permanente

O comando acima permite que os serviços HTTP sejam executados na zona padrão. Se você deseja especificar a zona, pode executar:

$ sudo firewall-cmd-zone = public –Add-Service http –permanent

O comando acima permite o tráfego HTTP para a zona “público”. Para remover um serviço e bloquear a conexão, basta removê -lo como abaixo:

$ sudo firewall-cmd-Remove-service http-permanente
$ sudo firewall-cmd–reload

Sempre que você faz uma alteração no firewall usando o firewall-cmd, certifique-se de recarregar todas as configurações ou então a alteração não terá efeito. Para verificar se há argumentos adicionais, você pode executar o comando firewall-cmd –Help.

Firewall do LinuxPor que firewalld e firewall-cmd?

Você pode fazer muito mais com o Firewall-CMD, como definir seus próprios serviços, bloqueio do ICMP e designar fontes de tráfego permitido de entrada. Embora não seja excessivamente sugerido para a segurança no nível da empresa, o Firewall-CMD ainda é uma solução excelente e viável para usuários e empresas diárias que exigem um rápido grau de segurança. Se você é novo no Linux Security, o firewall-cmd é uma maneira maravilhosa de começar com ipchains e iptables. Firewall-CMD permite que você configure rapidamente um firewall básico se você já conhece o ipchains. Além disso, o ambiente de tempo de execução é facilmente modificável. Não há necessidade de reiniciar o daemon ou serviço. É direto para serviços, programas e usuários modificar as configurações de firewall graças à interface D-Bus Firewalld. Isso é útil para os administradores, pois permite testes e avaliação de tempo de execução devido à separação do tempo de execução e configuração permanente.

Pensamentos finais

A única vez que você precisaria de um firewall é se você estiver executando algum tipo de aplicativo de servidor em seu sistema na maioria das vezes. Nesse caso, um firewall restringirá as conexões recebidas a certas portas, certificando -se de que elas só podem interagir com o aplicativo de servidor adequado. Novamente, não há mal em não ter um firewall ativado em sua máquina Linux. Tudo o que estamos dizendo é que você deve pensar em implementar um firewall usando o firewall-cmd para aumentar a segurança!