firewalld es el método predeterminado en Red Hat Enterprise Linux 7 para administrar firewalls a nivel de host. Comenzó desde el firewalld. service systemd service, firewalld administra el subsistema netfilter del kernel de Linux mediante los comandos de bajo nivel iptables, ip6tables y ebtables.
Configuración por defecto de zonas cortafuegos
| Nombre de la zona | Configuración por defecto |
|---|---|
| de confianza | Permitir todo el tráfico entrante. |
| inicio | Rechazar el tráfico entrante a menos que esté relacionado con el tráfico saliente o coincida con los servicios predefinidos ssh, mdns, ipp-client, samba-client o dhcpv6-client. |
| interno | Rechazar el tráfico entrante a menos que esté relacionado con el tráfico saliente o coincida con los servicios predefinidos ssh, mdns, ipp-client, samba-client o dhcpv6-client (igual que la zona de origen para empezar). |
| trabajo | Rechazar el tráfico entrante a menos que esté relacionado con el tráfico saliente o coincida con los servicios predefinidos de cliente ssh, ipp o dhcpv6. |
| público | Rechazar el tráfico entrante a menos que esté relacionado con el tráfico saliente o coincida con los servicios predefinidos del cliente ssh o dhcpv6. La zona predeterminada para las interfaces de red recién agregadas |
| externo | Rechazar el tráfico entrante a menos que esté relacionado con el tráfico saliente o coincida con el servicio predefinido ssh. El tráfico 1Pv4 saliente reenviado a través de esta zona se enmascara para que parezca que se originó en la dirección 1Pv4 de la interfaz de red saliente. |
| dmz | Rechazar el tráfico entrante a menos que esté relacionado con el tráfico saliente o coincida con el servicio predefinido ssh. |
| bloquear | Rechazar todo el tráfico entrante a menos que esté relacionado con el tráfico saliente. |
| soltar | Elimine todo el tráfico entrante a menos que esté relacionado con el tráfico saliente (ni siquiera responda con errores ICMP). |
Referencia de la línea de comandos del cortafuegos
| comandos de cortafuegos -cmd | Explicación |
|---|---|
| –get-default-zone | Consulta la zona predeterminada actual. |
| –set-default-zone=[ZONA] | Establecer la zona predeterminada. Esto cambia tanto el tiempo de ejecución como la configuración permanente. |
| –get-zones | Lista de todas las zonas disponibles. |
| –obtener-servicios | Lista de todos los servicios predefinidos. |
| –get-active-zones | Enumere todas las zonas actualmente en uso (que tengan una interfaz o fuente vinculada a ellas), junto con su interfaz e información de fuente. |
| –add-source=[CIDR] [ –zone=[ZONA] | Enruta todo el tráfico procedente de la dirección IP o red/máscara de red [CIDR] a la zona especificada. Si no se proporciona la opción –zone=, se utilizará la zona predeterminada. |
| –remove-source=[CIDR] [ –zone=[ZONA] | Eliminar la regla de enrutamiento de todo el tráfico proveniente de la dirección IP o red/máscara de red [CIDR] de la zona especificada. Si no se proporciona la opción –zone=, se utilizará la zona predeterminada. |
| –add-interface=[INTERFAZ] [ –zone=[ZONA] | Enruta todo el tráfico procedente de [INTERFAZ] a la zona especificada. Si no se proporciona la opción –zone=, se utilizará la zona predeterminada. |
| –change -interface=[INTERFAZ] [–zone=[ZONE] | Asocie la interfaz con [ZONE] en lugar de su zona actual. Si no se proporciona la opción –zone=, se utilizará la zona predeterminada. |
| –list-all [–zone=[ZONE]] | Enumerar todas las interfaces, fuentes, servicios y puertos configurados para [ZONA]. Si no se proporciona la opción –zone=, se utilizará la zona predeterminada. |
| –lista-todas-las-zonas | Recuperar toda la información de todas las zonas (interfaces, fuentes, puertos, servicios, etc.). |
| –add-service=[SERVICIO] | Permitir tráfico a [SERVICIO]. Si no se proporciona la opción –zone=, se utilizará la zona predeterminada. |
| –add-port=[PUERTO/PROTOCOLO] | Permitir el tráfico a los puertos [PORT/PROTOCOL]. Si no se proporciona la opción –zone=, se utilizará la zona predeterminada. |
| –remove-service=[SERVICIO] | Eliminar [SERVICIO] de la lista permitida para la zona. Si no se proporciona la opción –zone=, se utilizará la zona predeterminada. |
| –remove-port=[PUERTO/PROTOCOLO] | Elimine los puertos [PUERTO/PROTOCOLO] de la lista permitida para la zona. Si no se proporciona la opción –zone=, se utilizará la zona predeterminada. |
| –recargar | Elimine la configuración de tiempo de ejecución y aplique la configuración persistente. |