Firewall CentOS 7: configura, abilita, disabilita e crea regole

Una delle misure incluse nei Sistemi Operativi per aumentare i livelli di sicurezza e stabilire il controllo sulle connessioni in entrata e in uscita del sistema. Il Firewall è una parte fondamentale nella sicurezza delle nostre apparecchiature indipendentemente dal sistema poiché è il custode che impedisce a contenuti impropri di danneggiare le nostre apparecchiature. Fortunatamente in sistemi come Linux, il Firewall è già integrato di default e ci offre una moltitudine di opzioni per affrontare queste situazioni. Nello specifico in CentOS il Firewall integrato si chiama firewalld ed esegue diverse attività di sicurezza nella nostra distribuzione Linux.

È molto importante sapere tutto ciò che un Firewall ci offre a livello di protezione ed è importante sapere che in CentOS 7 la soluzione inclusa a livello di Firewall si chiama Firewalld che ci offre i seguenti vantaggi.

Vantaggi del firewallI vantaggi del Firewall CentOS 7 sono:

• È un firewall dinamico.

• Stabile.

• Molteplici opzioni di configurazione.

• Supporta le configurazioni di bridging Ipv4, Ipv6 ed Ethernet.

• Possiamo definire varie forme di configurazione di Firewalld (continua e funzionante)

• Analizzeremo in dettaglio come funziona Firewalld in CentOS 7 e in questo modo capiremo tutta la sua grande portata.

1. Termini di base in Firewalld CentOS 7

Prima di vedere come utilizzare Firewalld in CentOS 7 ci sono diversi termini a cui è importante prestare attenzione poiché saranno continuamente in CentOS 7.

Cos'è una zona?Una zona di rete è quella la cui funzione è definire il livello di fiducia che avrà la connessione di rete.

Queste zone sono gestite da Firewalld in vari gruppi di regole e una zona può essere utilizzata da molte connessioni di rete.

Esistono diversi tipi di zona in Firewalld, che sono:

Far cadereÈ il livello di confidenza più basso, poiché tutti i pacchetti in entrata vengono automaticamente rifiutati e solo i pacchetti in uscita sono abilitati.

BloccareQuesto livello di attendibilità è simile a Drop con la differenza che i pacchetti in arrivo vengono rifiutati con messaggi icmp-host-prohibited per IPv4 e icmp6-adm-prohibited per IPv6.

PubblicoQuesto livello di attendibilità si riferisce a reti pubbliche non attendibili, accetta solo connessioni attendibili.

EsternoQuesto tipo di livello viene utilizzato quando utilizziamo il Firewall come gateway e il suo mascheramento è abilitato dai router.

DMZQuesto livello viene utilizzato in apparecchiature situate in una zona DMZ (Demilitarizzata), ovvero ha accesso pubblico con restrizione alla rete interna. Accetta solo connessioni accettate.

LavoroQuesto livello viene utilizzato nelle aree di lavoro, quindi la maggior parte dei computer sulla rete avrà accesso ad esso.

casaQuesto tipo di livello viene utilizzato in un ambiente domestico e la maggior parte delle apparecchiature è accettata.

InternoQuesto tipo di livello viene utilizzato nelle reti interne, quindi verranno accettate tutte le apparecchiature di rete.

FidatoQuesto è il livello più alto e si fida di tutte le connessioni in entrata.

Ognuna di queste zone può essere configurata nelle regole che creiamo utilizzando Firewalld in CentOS 7.

2. Come creare una regola CentOS 7 permanente

Quando configuriamo Firewalld in CentOS 7 possiamo creare due tipi di regole, permanenti o immediate, in questo modo quando modifichiamo una regola la modifica si vedrà automaticamente ma al prossimo login questa regola verrà annullata.

Per evitare ciò dobbiamo utilizzare il parametro -permanent in modo che la regola sia continua e non venga eliminata ad ogni login.

 -permanente

3. Come avviare il servizio Firewall in CentOS 7

Passo 1
È importante che prima di creare le regole necessarie con Firewalld attiviamo il servizio Firewalld, per questo inseriamo quanto segue.

 sudo systemctl start Firewalld.service 

Passo 2
Nel caso in cui venga visualizzato un messaggio di errore che indica che Firewalld non è installato, possiamo eseguire il seguente comando per la sua installazione:

 Sudo yum install Firewalld -y 

Passaggio 3
Per vedere lo stato del servizio Firewall utilizzeremo il seguente comando. Possiamo vedere che il suo stato è in esecuzione. In questo modo abbiamo abilitato il servizio e siamo in grado di creare e modificare le regole del Firewall in CentOS 7.

 Firewall-cmd -state

4. Come vedere la zona corrente di CentOS 7

Passo 1
Possiamo visualizzare la zona corrente in cui si trova la nostra attrezzatura utilizzando il seguente comando.

 Firewall-cmd --get-default-zone 

Passo 2
Il risultato sarà il seguente:

Passaggio 3
Per sapere quali regole sono associate a detta zona possiamo utilizzare il seguente comando:

 Firewall-cmd --list-all

5. Come esplorare le diverse zone in CentOS 7

Passo 1
Possiamo verificare quali zone sono disponibili per l'uso inserendo il seguente comando:

 Firewall-cmd --get-zones 

Passo 2
E' possibile visualizzare la configurazione associata ad una zona tramite il parametro -zone; ad esempio:

 Firewall-cmd --zone = home --list-all 

6. Come selezionare le zone per le interfacce di rete in CentOS 7

Passo 1
È possibile che in una sessione attiva desideriamo assegnare una zona specifica a un'interfaccia di rete del computer, per questo assegneremo la zona home all'interfaccia eth0 di CentOS 7:

 sudo Firewall-cmd --zone = home --change-interface = eth0 

Passo 2
Possiamo vedere che il suo stato è corretto, possiamo convalidarlo usando il seguente comando:

 Firewall-cmd --get-active-zones 

Passaggio 3
Il problema è che l'interfaccia tornerà alla sua zona predefinita se non abbiamo configurato una zona definita all'interno di detta interfaccia, queste configurazioni dell'interfaccia sono ospitate all'interno del seguente percorso:

 / etc / sysconfig / script di rete 

Passaggio 4
I file all'interno di questa directory sono nel formato dell'interfaccia ifcfg. Ad esempio, possiamo definire la zona per l'interfaccia eth0 utilizzando il seguente comando:

 sudo nano / etc / sysconfig / script di rete / ifcfg-eth0 

7. Come regolare le regole per le applicazioni in CentOS 7

Passo 1
Possiamo aggiungere eccezioni al Firewall in modo che determinate applicazioni possano essere eseguite direttamente senza alcun problema, per vedere i servizi disponibili in CentOS 7 utilizzeremo il seguente comando:

 Firewall-cmd --get-services 

Passo 2
Per abilitare un servizio in un'area specifica sarà necessario utilizzare il seguente parametro:

 --add-service = parametro 

Passaggio 3
Se vogliamo aggiungere il servizio http nella zona pubblica utilizzeremo la seguente sintassi:

 sudo Firewall-cmd --zone = public --add-service = http 

Passaggio 4
E' possibile vedere tutti i servizi in quella zona, compreso quello appena aggiunto, utilizzando il seguente comando.

 Firewall-cmd --zone = public --list-services 

Passaggio 5
Ora, se vogliamo che questo servizio sia permanente, dobbiamo aggiungere, come abbiamo detto, il parametro -permanent.

 sudo Firewall-cmd --zone = public --permanent --add-service = http 

In questo modo il servizio sarà attivo ad ogni login CentOS 7.

8. Come aprire una porta per una zona specifica in CentOS 7

Passo 1
L'apertura di una porta nel Firewall ci dà la possibilità di ottenere un supporto migliore per le nostre applicazioni e programmi, ad esempio se abbiamo un'applicazione che utilizza la porta 3500 UDP dobbiamo aggiungerla alla zona utilizzando il parametro -add-port come questo :

 sudo Firewall-cmd --zone = public --add-port = 3500 / udp 

Passo 2
Per vedere le porte aperte nel Firewall possiamo usare il seguente comando.

 Firewall-cmd --list-ports 

9. Come creare la propria zona nel Firewalld di CentOS 7

Sebbene le zone predefinite in CentOS 7 Firewall soddisfino le esigenze di un'organizzazione, potremmo voler creare le nostre regole per servizi specifici.

Passo 1
Creeremo una nuova zona chiamata Solvetic, per la quale inseriremo quanto segue:

 sudo Firewall-cmd --permanent --new-zone = Solvetic 

Passo 2
Possiamo usare il seguente comando per vedere gli hotspot in CentOS 7:

 sudo Firewall-cmd --permanent --get-zones 

Passaggio 3
Ora per riflettere la nuova zona dobbiamo riavviare il servizio Firewalld utilizzando il seguente comando:

 sudo Firewall-cmd -reload 

Passaggio 4
Ora, se vogliamo aggiungere un servizio alla nostra nuova zona, ad esempio SSH, utilizzeremo il seguente comando:

 udo Firewall-cmd --zone = Solvetic --add-service = ssh 

10. Come abilitare il firewall per l'avvio automatico quando si accede a CentOS7

Se vogliamo che il servizio Firewall sia abilitato dall'avvio di CentOS 7 e non è necessario abilitarlo in ogni momento, possiamo utilizzare il seguente comando:

 sudo systemctl abilita Firewalld 

In questo modo Firewall sarà sempre attivo in CentOS 7 proteggendo tutti i parametri di sistema.

11. Come fermare e disabilitare Firewalld in CentOS 7

Passo 1
Per disabilitare Firewalld in CentOS 7 dobbiamo usare il seguente comando:

 systemctl disabilita Firewalld 

Passo 2
Per fermare completamente Firewalld useremo il seguente comando:

 systemctl stop Firewalld 

12. Come bloccare Firewalld su Linux CentOS e Ubuntu

Come stiamo vedendo con il firewall, siamo anche a rischio che software locali come programmi o servizi possano apportare modifiche alla configurazione del nostro Firewall se vengono avviati come root. Ma come buoni amministratori possiamo controllare quali programmi possono apportare modifiche e quali sono coperti dalla whitelist.

Passo 1
Questo è disabilitato per impostazione predefinita, ma possiamo controllarlo con i seguenti comandi:

 sudo firewall-cmd --lockdown-on (abilita) sudo firewall-cmd --lockdown-off (disabilita)

Passo 2
Un altro metodo per gestire questa opzione in modo più sicuro è farlo dal file di configurazione di base poiché firewall-cmd non sempre esiste. Pertanto eseguiamo quanto segue:

 sudo nano /etc/firewalld/firewalld.conf

Passaggio 3
Qui dobbiamo cercare la riga Lockdown = no e passiamo il suo stato a Lockdown = yes.

INGRANDIRE

Passaggio 4
Ora devi solo salvare le modifiche ed uscire con questi tasti:
Salviamo le modifiche utilizzando la seguente combinazione di tasti:

Ctrl + O

Lasciamo l'editor utilizzando:

Ctrl + X

13. Come disabilitare il firewall in Linux CentOS Ubuntu

I sistemi Linux e le loro diverse distribuzioni incorporano un tipo di firewall chiamato UFW che cerca di salvaguardare l'integrità della sicurezza della rete, controllando così le connessioni e stabilendo se sono sicure o meno. Come stiamo vedendo, all'interno di CentOS questo Firewall si chiama firewalld e la sua missione sono i livelli di fiducia e le zone di rete a seconda che siano o meno dannosi per il sistema. Questo Firewalld è integrato sia in CentOS che in RedHat.

Per impostazione predefinita, questo firewalld è disabilitato e in Solvetic ti consigliamo di averlo abilitato per controllare quali connessioni sono sicure e quali no. Tuttavia, ci sono momenti in cui dobbiamo eseguire attività o test in cui il firewall lo impedisce ed è per questo che dobbiamo disabilitarlo temporaneamente. Per attivare o disattivare il Firewall puoi fare quanto segue:

14. Come installare e configurare CSF Firewall su CentOS 7 Linux

All'interno della gestione del Firewall all'interno di CentOS possiamo parlare di CSF Firewall. Questo è un elemento di sicurezza di base all'interno della gestione del server web. La sua missione principale è fermare il traffico oscuro di contenuti dannosi che possono entrare nel server. Questo firewall funge da muro contro intrusi o attacchi grossolani che cercano di danneggiare i nostri sistemi.

Il CSF Firewall ci avvisa in tempo reale e via e-mail di tutto ciò che accade sui nostri server. Grazie a questi avvisi saremo in grado di agire rapidamente e alleviare quei problemi che si presentano. Questo firewall CSF esegue un'analisi esaustiva dei pacchetti SPI durante l'esecuzione di attività di sicurezza come quelle che abbiamo menzionato.

Per installare e configurare il firewall CSF in CentOS 7 faremo quanto segue.

In questo modo possiamo gestire tutti i valori di Firewalld in CentOS 7 per stabilire zone in base alle necessità aziendali. La sicurezza è molto importante e di più se parliamo di un ambiente di lavoro dove l'informazione è molto più delicata.