Muokataan sivua FirewallD
Siirry navigaatioon
Siirry hakuun
Kumoaminen voidaan suorittaa. Varmista alla olevasta vertailusta, että haluat saada aikaan tämän lopputuloksen, ja sen jälkeen julkaise alla näkyvät muutokset.
Nykyinen versio | Oma tekstisi | ||
Rivi 10: | Rivi 10: | ||
[[Tiedosto:Firewalld ja iptables.png|right|thumb|FirewallD- ja iptables-palvelut juttelevat kernelin netfilter-pakettisuodattimelle iptables-työkalun välityksellä]] | [[Tiedosto:Firewalld ja iptables.png|right|thumb|FirewallD- ja iptables-palvelut juttelevat kernelin netfilter-pakettisuodattimelle iptables-työkalun välityksellä]] | ||
'''FirewallD''' (''Dynamic Firewall'') on [[Red Hat]]in kehittämä dynaaminen [[palomuuri]]. FirewallD on dynaamisena palomuurina monipuolisempi ja tehokkaampi verrattuna perinteiseen staattiseen palomuuriin, kuten [[iptables]]. Vanhan tyylisessä staattisessa palomuurissa uudet asetukset otetaan käyttöön käynnistämällä palomuuri uudelleen, jolloin luetaan uudet asetukset. FirewallD sen sijaan sallii asetusten muuttamisen suoraan lennosta. Kuten iptables, myös FirewallD on vain työkalu joka käyttää linux-kernelin [[netfilter]]iä. | '''FirewallD''' ('''Dynamic Firewall''') on [[Red Hat]]in kehittämä dynaaminen [[palomuuri]]. FirewallD on dynaamisena palomuurina monipuolisempi ja tehokkaampi verrattuna perinteiseen staattiseen palomuuriin, kuten [[iptables]]. Vanhan tyylisessä staattisessa palomuurissa uudet asetukset otetaan käyttöön käynnistämällä palomuuri uudelleen, jolloin luetaan uudet asetukset. FirewallD sen sijaan sallii asetusten muuttamisen suoraan lennosta. Kuten iptables, myös FirewallD on vain työkalu joka käyttää linux-kernelin [[netfilter]]iä. | ||
==Asennus== | ==Asennus== | ||
Rivi 17: | Rivi 17: | ||
==Käyttö== | ==Käyttö== | ||
{{Oikeudet}} | {{Oikeudet}} | ||
FirewallD:n asetuksia voidaan säätää graafisella <tt>firewall-config</tt>-ohjelmalla tai tekstipohjaisella <tt>firewall-cmd</tt>-ohjelmalla. [[Systemd]] hallitsee FirewallD:tä <tt>firewalld.service</tt>:n avulla, eli FirewallD voidaan käynnistää | FirewallD:n asetuksia voidaan säätää graafisella <tt>firewall-config</tt>-ohjelmalla tai tekstipohjaisella <tt>firewall-cmd</tt>-ohjelmalla. [[Systemd]] hallitsee FirewallD:tä <tt>firewalld.service</tt>:n avulla, eli FirewallD voidaan käynnistää komennolla: | ||
# systemctl start firewalld.service | # systemctl start firewalld.service | ||
Lisätietoa systemd:n käytöstä löytyy [[systemd|systemd:n omasta artikkelista]]. | Lisätietoa systemd:n käytöstä löytyy [[systemd|systemd:n omasta artikkelista]]. | ||
Rivi 29: | Rivi 28: | ||
FirewallD käyttää eri ''alueita'' (engl. ''zones''). Oletusalue on määritelty <tt>/etc/firewalld/firewalld.conf</tt> -tiedostossa. | FirewallD käyttää eri ''alueita'' (engl. ''zones''). Oletusalue on määritelty <tt>/etc/firewalld/firewalld.conf</tt> -tiedostossa. | ||
{| class=wikitable | {| class=wikitable | ||
! Alue (''zone'') | ! Alue (''zone'') | ||
! Kuvaus | ! Kuvaus | ||
Rivi 41: | Rivi 38: | ||
|- | |- | ||
| '''public''' | | '''public''' | ||
| Tarkoitettu julkisiin epäluotettaviin verkkoihin, kuten avoimiin WLAN-verkkoihin | | Tarkoitettu julkisiin epäluotettaviin verkkoihin, kuten avoimiin WLAN-verkkoihin. Ei luoteta muihin verkon laitteisiin. | ||
|- | |- | ||
| '''external''' | | '''external''' | ||
| | | | ||
|- | |||
| '''internal''' | |||
| | |||
|- | |- | ||
| '''dmz''' | | '''dmz''' | ||
Rivi 50: | Rivi 50: | ||
|- | |- | ||
| '''work''' | | '''work''' | ||
| Tarkoitettu työpaikan verkkoihin joissa voidaan luottaa pääosin muihin laitteisiin | | Tarkoitettu työpaikan verkkoihin joissa voidaan luottaa pääosin muihin laitteisiin | ||
|- | |- | ||
| '''home''' | | '''home''' | ||
| Tarkoitettu kodin verkkoihin joissa voidaan luottaa pääosin muihin laitteisiin | | Tarkoitettu kodin verkkoihin joissa voidaan luottaa pääosin muihin laitteisiin | ||
|- | |- | ||
| '''trusted''' | | '''trusted''' | ||
| Kaikki yhteydet sallitaan | | Kaikki yhteydet sallitaan | ||
|} | |} | ||
Rivi 96: | Rivi 93: | ||
$ firewall-cmd --get-services | $ firewall-cmd --get-services | ||
Enemmän tietoa yksittäisistä palveluista löytyy <tt>/usr/lib/firewalld/services</tt> - | Enemmän tietoa yksittäisistä palveluista löytyy <tt>/usr/lib/firewalld/services</tt> -tiedostosta, jossa eri palvelut ovat [[XML]]-tiedostoissa. Kun halutaan lisätä jokin palvelu haluttuun alueeseen, voidaan se tehdä <tt>--add-service=PALVELU</tt>-parametrilla. Esimerkiksi oletusalueelle voitaisiin avata portti http-palvelimelle näin: | ||
# firewall-cmd --add-service=http | # firewall-cmd --add-service=http | ||
Rivi 109: | Rivi 106: | ||
===Portit=== | ===Portit=== | ||
Joskus tarjolla olevista palveluista ei löydy sopivaa | Joskus tarjolla olevista palveluista ei löydy sopivaa, vaan tulee avata halutut portit manuaalisesti itse. Esimerkiksi jos joku oma ohjelma kuuntelisi porttia 5875 ja käyttäisi [[TCP]]-protokollaa, voitaisiin portti avata <tt>--add-port=PORTTI/PROTOKOLLA</tt> -parametrilla. | ||
# firewall-cmd --zone=public --add-port=5875/tcp | # firewall-cmd --zone=public --add-port=5875/tcp | ||
Rivi 120: | Rivi 117: | ||
Portteja ei tulisi avata turhaan. Yleisesti hyvä tapa on pitää kaikki portit kiinni ja avata niitä vasta tarpeen vaatiessa. | Portteja ei tulisi avata turhaan. Yleisesti hyvä tapa on pitää kaikki portit kiinni ja avata niitä vasta tarpeen vaatiessa. | ||
[[Tiedosto:firewall-config 0.3.9.png|thumb|none|500px|firewall-config on graafinen työkalu FirewallD:n asetusten säätämiseen]] | [[Tiedosto:firewall-config 0.3.9.png|thumb|none|500px|firewall-config on graafinen työkalu FirewallD:n asetusten säätämiseen]] |