Muokataan sivua FirewallD
Siirry navigaatioon
Siirry hakuun
Kumoaminen voidaan suorittaa. Varmista alla olevasta vertailusta, että haluat saada aikaan tämän lopputuloksen, ja sen jälkeen julkaise alla näkyvät muutokset.
Nykyinen versio | Oma tekstisi | ||
Rivi 10: | Rivi 10: | ||
[[Tiedosto:Firewalld ja iptables.png|right|thumb|FirewallD- ja iptables-palvelut juttelevat kernelin netfilter-pakettisuodattimelle iptables-työkalun välityksellä]] | [[Tiedosto:Firewalld ja iptables.png|right|thumb|FirewallD- ja iptables-palvelut juttelevat kernelin netfilter-pakettisuodattimelle iptables-työkalun välityksellä]] | ||
'''FirewallD''' (''Dynamic Firewall'') on [[Red Hat]]in kehittämä dynaaminen [[palomuuri]]. FirewallD on dynaamisena palomuurina monipuolisempi ja tehokkaampi verrattuna perinteiseen staattiseen palomuuriin, kuten [[iptables]]. Vanhan tyylisessä staattisessa palomuurissa uudet asetukset otetaan käyttöön käynnistämällä palomuuri uudelleen, jolloin luetaan uudet asetukset. FirewallD sen sijaan sallii asetusten muuttamisen suoraan lennosta. Kuten iptables, myös FirewallD on vain työkalu joka käyttää linux-kernelin [[netfilter]]iä. | '''FirewallD''' ('''Dynamic Firewall''') on [[Red Hat]]in kehittämä dynaaminen [[palomuuri]]. FirewallD on dynaamisena palomuurina monipuolisempi ja tehokkaampi verrattuna perinteiseen staattiseen palomuuriin, kuten [[iptables]]. Vanhan tyylisessä staattisessa palomuurissa uudet asetukset otetaan käyttöön käynnistämällä palomuuri uudelleen, jolloin luetaan uudet asetukset. FirewallD sen sijaan sallii asetusten muuttamisen suoraan lennosta. Kuten iptables, myös FirewallD on vain työkalu joka käyttää linux-kernelin [[netfilter]]iä. | ||
==Asennus== | ==Asennus== | ||
Rivi 17: | Rivi 17: | ||
==Käyttö== | ==Käyttö== | ||
{{Oikeudet}} | {{Oikeudet}} | ||
FirewallD:n asetuksia voidaan säätää graafisella <tt>firewall-config</tt>-ohjelmalla tai tekstipohjaisella <tt>firewall-cmd</tt>-ohjelmalla. [[Systemd]] hallitsee FirewallD:tä <tt>firewalld.service</tt>:n avulla, eli FirewallD voidaan käynnistää | FirewallD:n asetuksia voidaan säätää graafisella <tt>firewall-config</tt>-ohjelmalla tai tekstipohjaisella <tt>firewall-cmd</tt>-ohjelmalla. [[Systemd]] hallitsee FirewallD:tä <tt>firewalld.service</tt>:n avulla, eli FirewallD voidaan käynnistää komennolla: | ||
# systemctl start firewalld.service | # systemctl start firewalld.service | ||
Lisätietoa systemd:n käytöstä löytyy [[systemd|systemd:n omasta artikkelista]]. | Lisätietoa systemd:n käytöstä löytyy [[systemd|systemd:n omasta artikkelista]]. | ||
Rivi 26: | Rivi 25: | ||
$ firewall-cmd --state | $ firewall-cmd --state | ||
=== | ===Asetusten tarkastelu=== | ||
FirewallD käyttää | FirewallD käyttää ''alueita'' (''zones'') asetusten hallintaan. Oletusalue saadaan komennolla: | ||
$ firewall-cmd --get-default-zone | $ firewall-cmd --get-default-zone | ||
Rivi 76: | Rivi 39: | ||
$ firewall-cmd --list-all-zones | $ firewall-cmd --list-all-zones | ||
=== | ===Asetusten säätäminen=== | ||
Oletuksena kaikki verkkoliitännät lisätään oletusalueen alle, yleensä tämä oletusalue on <tt>public</tt>. Usein kuitenkin halutaan lisätä oma koti- tai työverkko sallivammalle alueelle. Erityisen kätevä ominaisuus tämä on esimerkiksi kannettavien tietokoneiden kanssa, jotka liitetään usein avoimiin WLAN-verkkoihin julkisilla paikoilla. Epäluotettaville verkoille, joissa saattaa olla vihamielisiä laitteita, tulee käyttää tiukempia asetuksia, kuten esimerkiksi <tt>drop</tt> -aluetta, joka pudottaa kaikki sisääntulevat yhteydet suoraan ilman vastausta. | Oletuksena kaikki verkkoliitännät lisätään oletusalueen alle, yleensä tämä oletusalue on <tt>public</tt>. Usein kuitenkin halutaan lisätä oma koti- tai työverkko sallivammalle alueelle. Erityisen kätevä ominaisuus tämä on esimerkiksi kannettavien tietokoneiden kanssa, jotka liitetään usein avoimiin WLAN-verkkoihin julkisilla paikoilla. Epäluotettaville verkoille, joissa saattaa olla vihamielisiä laitteita, tulee käyttää tiukempia asetuksia, kuten esimerkiksi <tt>drop</tt> -aluetta, joka pudottaa kaikki sisääntulevat yhteydet suoraan ilman vastausta. | ||
Rivi 92: | Rivi 55: | ||
# firewall-cmd --set-default-zone=home | # firewall-cmd --set-default-zone=home | ||
Asetukset voidaan tallentaa kahdella tavalla. Ne voidaan tallentaa pysyviksi, jolloin ne säilyvät vaikka tietokone tai palomuuri käynnistettäisiin uudelleen tai väliaikaisiksi, jolloin asetukset nollautuvat kun tietokone tai palomuuri sammutetaan. Suurin osa <tt>firewall-cmd</tt>:n operaatioista osaa ottaa vastaan <tt>--permanent</tt> parametrin, jolloin asetukset tallentuvat eivätkä katoa uudelleenkäynnistyksen yhteydessä. | |||
===Alueet=== | |||
FirewallD käyttää eri ''alueita'' (engl. ''zones''). Oletusalue on määritelty <tt>/etc/firewalld/firewalld.conf</tt> -tiedostossa. | |||
{| class=wikitable | |||
! Alue (''zone'') | |||
! Kuvaus | |||
|- | |||
| '''drop''' | |||
| Alimman luottamustason alue. Kaikki sisääntulevat yhteydet pudotetaan ilman vastausta. Ainoastaan ulospäin menevät yhteydet sallitaan. | |||
|- | |||
| '''block''' | |||
| Samankaltainen kuin '''drop''', mutta sisääntuleviin yhteyksiin vastataan <tt>icmp-host-prohibited</tt> tai <tt>icmp6-adm-prohibited</tt> -viestillä. | |||
|- | |||
| '''public''' | |||
| Tarkoitettu julkisiin epäluotettaviin verkkoihin, kuten avoimiin WLAN-verkkoihin. Ei luoteta muihin verkon laitteisiin. | |||
|- | |||
| '''external''' | |||
| | |||
|- | |||
| '''internal''' | |||
| | |||
|- | |||
| '''dmz''' | |||
| Käytetään laitteissa jotka sijaitsevat [[wikipedia:fi:Demilitarisoitu alue (tietotekniikka)|DMZ-alueella]]. | |||
|- | |||
| '''work''' | |||
| Tarkoitettu työpaikan verkkoihin joissa voidaan luottaa pääosin muihin laitteisiin | |||
|- | |||
| '''home''' | |||
| Tarkoitettu kodin verkkoihin joissa voidaan luottaa pääosin muihin laitteisiin | |||
|- | |||
| '''trusted''' | |||
| Kaikki yhteydet sallitaan | |||
|} | |||
==Aiheesta muualla== | ==Aiheesta muualla== |