Le mostraremos cómo configurar FirewallD en CentOS 7 . FirewallD es una herramienta de gestión de cortafuegos disponible de forma predeterminada en los servidores CentOS 7. Básicamente, es un envoltorio alrededor de iptables y viene con la herramienta de configuración gráfica firewall-config y la herramienta de línea de comandos firewall-cmd. Con el servicio iptables, cada cambio requiere el vaciado de las reglas antiguas y la lectura de las nuevas reglas del archivo `/etc/sysconfig/iptables`, mientras que con firewalld solo se aplican las diferencias. La instalación y configuración de FirewallD en CentOS 7 debería tomar menos de 10 minutos y es un proceso bastante fácil.
1. Zonas de FirewallD
FirewallD usa servicios y zonas en lugar de reglas y cadenas de iptables. De forma predeterminada, las siguientes zonas están disponibles:
- soltar – Descartar todos los paquetes de red entrantes sin respuesta, solo las conexiones de red salientes están disponibles.
- bloquear – Rechazar todos los paquetes de red entrantes con un mensaje icmp-host-prohibited, solo las conexiones de red salientes están disponibles.
- público – Solo se aceptan conexiones entrantes seleccionadas, para uso en áreas públicas
- externo Para redes externas con enmascaramiento habilitado, solo se aceptan conexiones entrantes seleccionadas.
- dmz – Zona desmilitarizada DMZ, de acceso público con acceso limitado a la red interna, solo se aceptan conexiones entrantes seleccionadas.
- trabajo – Para computadoras en su área local, solo se aceptan conexiones entrantes seleccionadas.
- casa – Para computadoras en su área local, solo se aceptan conexiones entrantes seleccionadas.
- interno -Para computadoras en su red interna, solo se aceptan conexiones entrantes seleccionadas.
- de confianza – Se aceptan todas las conexiones de red.
Para enumerar todas las zonas disponibles, ejecute:
# firewall-cmd --get-zones work drop internal external trusted home dmz public block
Para enumerar la zona predeterminada:
# firewall-cmd --get-default-zone public
Para cambiar la zona predeterminada:
# firewall-cmd --set-default-zone=dmz # firewall-cmd --get-default-zone dmz
2. Servicios de cortafuegos
Los servicios de FirewallD son archivos de configuración xml, con información de una entrada de servicio para firewalld. PARA enumerar todos los servicios disponibles ejecute:
# firewall-cmd --get-services amanda-client amanda-k5-client bacula bacula-client ceph ceph-mon dhcp dhcpv6 dhcpv6-client dns docker-registry dropbox-lansync freeipa-ldap freeipa-ldaps freeipa-replication ftp high-availability http https imap imaps ipp ipp-client ipsec iscsi-target kadmin kerberos kpasswd ldap ldaps libvirt libvirt-tls mdns mosh mountd ms-wbt mysql nfs ntp openvpn pmcd pmproxy pmwebapi pmwebapis pop3 pop3s postgresql privoxy proxy-dhcp ptp pulseaudio puppetmaster radius rpc-bind rsyncd samba samba-client sane smtp smtps snmp snmptrap squid ssh synergy syslog syslog-tls telnet tftp tftp-client tinc tor-socks transmission-client vdsm vnc-server wbem-https xmpp-bosh xmpp-client xmpp-local xmpp-server
Los archivos de configuración xml se almacenan en /usr/lib/firewalld/services/ y /etc/firewalld/services/ directorios.
3. Configurando su cortafuegos con FirewallD
Como ejemplo, así es como puede configurar su firewall RoseHosting VPS con FirewallD si estaba ejecutando un servidor web, SSH en el puerto 7022 y un servidor de correo.
Primero estableceremos la zona predeterminada en dmz.
# firewall-cmd --set-default-zone=dmz # firewall-cmd --get-default-zone dmz
Para agregar reglas de servicio permanentes para HTTP y HTTPS a la zona dmz, ejecute:
# firewall-cmd --zone=dmz --add-service=http --permanent # firewall-cmd --zone=dmz --add-service=https --permanent
Abra el puerto 25 (SMTP) y el puerto 465 (SMTPS):
firewall-cmd --zone=dmz --add-service=smtp --permanent firewall-cmd --zone=dmz --add-service=smtps --permanent
Puertos abiertos, IMAP, IMAPS, POP3 y POP3S:
firewall-cmd --zone=dmz --add-service=imap --permanent firewall-cmd --zone=dmz --add-service=imaps --permanent firewall-cmd --zone=dmz --add-service=pop3 --permanent firewall-cmd --zone=dmz --add-service=pop3s --permanent
4. Abrir puerto 7022
Dado que el puerto SSH se cambia a 7022, eliminaremos el servicio ssh (puerto 22) y abriremos el puerto 7022
firewall-cmd --remove-service=ssh --permanent firewall-cmd --add-port=7022/tcp --permanent
5. Vuelva a cargar el cortafuegos
Para implementar los cambios necesitamos recargar el firewall con:
firewall-cmd --reload
6. Lista de reglas de cortafuegos
Finalmente, puede enumerar las reglas con:
# firewall-cmd --list-all dmz target: default icmp-block-inversion: no interfaces: sources: services: http https imap imaps pop3 pop3s smtp smtps ports: 7022/tcp protocols: masquerade: no forward-ports: sourceports: icmp-blocks: rich rules:
Por supuesto, no tiene que configurar FirewallD en CentOS 7 , si utiliza uno de nuestros servicios de alojamiento CentOS VPS, en cuyo caso simplemente puede solicitar a nuestros administradores expertos de Linux que lo configuren por usted. Están disponibles las 24 horas del día, los 7 días de la semana y atenderán su solicitud de inmediato.
PD . Si le gustó esta publicación, sobre instalar FirewallD en CentOS 7 , por favor compártalo con sus amigos en las redes sociales usando los botones para compartir o simplemente deje una respuesta a continuación. Gracias.