Firewalld bloquea o elimina el acceso a ciertos puertos a menos que se agreguen a una zona de firewall. Esta publicación describe los pasos para agregar fuentes, servicios y puertos a las zonas de firewall en los sistemas CentOS/RHEL 7 y 8.
Agregar servicio a la zona del cortafuegos
Agregar un servicio a una zona es la forma más sencilla de configurar el firewall.
– Para permitir el acceso a un nuevo servicio, use la opción de servicio “–add-service”.
– Incluya el “–permanent ” para hacer que la regla sea persistente en los reinicios.
Por ejemplo, para agregar los servicios cockpit, dhcpv6-client, http, https, vnc-server y ssh a la zona interna, usaría el siguiente comando:
# firewall-cmd --add-service cockpit --zone=internal --permanent # firewall-cmd --add-service dhcpv6-client --zone=internal --permanent # firewall-cmd --add-service http --zone=internal --permanent # firewall-cmd --add-service https --zone=internal --permanent # firewall-cmd --add-service vnc-server --zone=internal --permanent # firewall-cmd --add-service ssh --zone=internal --permanent
Gestionar el tráfico entrante a una zona en función de la fuente de tráfico
Para permitir el tráfico entrante desde un nodo de envío, use el siguiente comando:
# firewall-cmd --add-source=10.1.2.3 --zone=internal --permanent
Administrar tráfico de red
– El tráfico de red a través de los servicios de la zona utiliza los puertos de esos servicios.
– Los puertos deben estar abiertos para aceptar el tráfico, puede abrir puertos adicionales para el acceso a la red especificando el número de puerto y el protocolo asociado.
– Utilice el “–add-port ” opción para permitir el acceso a puertos específicos. Los puertos se deben especificar con el formato:número de puerto/tipo de puerto.
– Los tipos de puerto pueden ser tcp, udp, sctp o dccp.
– Asegúrese de que el tipo y el tráfico de la red coincidan.
– Por ejemplo, para agregar los puertos 1522, 7001, 5901, 443 y 80 sobre tcp y el puerto 53 sobre udp, usaría el siguiente comando:
# firewall-cmd --zone=internal --add-port=1522/tcp --add-port=7001/tcp --add-port=5901/tcp --add-port=443/tcp --add-port=80/tcp --add-port=53/udp --permanent
Recargar la configuración
Una vez realizados todos los cambios, vuelva a cargar la configuración para que la configuración permanente actual se convierta en la nueva configuración de tiempo de ejecución.
# firewall-cmd --reload
Configuración de zona de lista
Para enumerar todo lo agregado o habilitado en la zona "interna", use el siguiente comando:
# firewall-cmd --list-all --zone=internal internal target: default icmp-block-inversion: no interfaces: sources: 10.1.2.3 services: cockpit dhcpv6-client http https ssh vnc-server ports: 1522/tcp 7001/tcp 5901/tcp 443/tcp 80/tcp 53/udp protocols: masquerade: no forward-ports: source-ports: icmp-blocks: rich rules: