Muokataan sivua FirewallD

{{Ohjelma
| nimi=FirewallD
| kuva=
| kuvateksti=
| lisenssi=[[GPLv2+]]
| käyttöliittymä=teksti, [[GTK]]
| kotisivu=[https://fedorahosted.org/firewalld/ fedorahosted.org/firewalld]
}}

[[Tiedosto:Firewalld ja iptables.png|right|thumb|FirewallD- ja iptables-palvelut juttelevat kernelin netfilter-pakettisuodattimelle iptables-työkalun välityksellä]]

'''FirewallD''' ('''Dynamic Firewall''') on [[Red Hat]]in kehittämä dynaaminen [[palomuuri]]. FirewallD on dynaamisena palomuurina monipuolisempi ja tehokkaampi verrattuna perinteiseen staattiseen palomuuriin, kuten [[iptables]]. Vanhan tyylisessä staattisessa palomuurissa uudet asetukset otetaan käyttöön käynnistämällä palomuuri uudelleen, jolloin luetaan uudet asetukset. FirewallD sen sijaan sallii asetusten muuttamisen suoraan lennosta. Kuten iptables, myös FirewallD on vain työkalu joka käyttää linux-kernelin [[netfilter]]iä.

==Asennus==
{{Asenna|FirewallD|firewalld}}

==Käyttö==
{{Oikeudet}}
FirewallD:n asetuksia voidaan säätää graafisella <tt>firewall-config</tt>-ohjelmalla tai tekstipohjaisella <tt>firewall-cmd</tt>-ohjelmalla. [[Systemd]] hallitsee FirewallD:tä <tt>firewalld.service</tt>:n avulla, eli FirewallD voidaan käynnistää komennolla:
 # systemctl start firewalld.service

Lisätietoa systemd:n käytöstä löytyy [[systemd|systemd:n omasta artikkelista]].

Nyt voidaan tarkistaa palomuurin tila komentamalla:
 $ firewall-cmd --state

===Alueet===
FirewallD käyttää eri ''alueita'' (engl. ''zones''). Oletusalue on määritelty <tt>/etc/firewalld/firewalld.conf</tt> -tiedostossa.
{| class=wikitable
! Alue (''zone'')
! Kuvaus
|-
| '''drop'''
| Alimman luottamustason alue. Kaikki sisääntulevat yhteydet pudotetaan ilman vastausta. Ainoastaan ulospäin menevät yhteydet sallitaan.
|-
| '''block'''
| Samankaltainen kuin '''drop''', mutta sisääntuleviin yhteyksiin vastataan <tt>icmp-host-prohibited</tt> tai <tt>icmp6-adm-prohibited</tt> -viestillä.
|-
| '''public'''
| Tarkoitettu julkisiin epäluotettaviin verkkoihin, kuten avoimiin WLAN-verkkoihin. Ei luoteta muihin verkon laitteisiin.
|-
| '''external'''
| 
|-
| '''internal'''
| 
|-
| '''dmz'''
| Käytetään laitteissa jotka sijaitsevat [[wikipedia:fi:Demilitarisoitu alue (tietotekniikka)|DMZ-alueella]].
|-
| '''work'''
| Tarkoitettu työpaikan verkkoihin joissa voidaan luottaa pääosin muihin laitteisiin
|-
| '''home'''
| Tarkoitettu kodin verkkoihin joissa voidaan luottaa pääosin muihin laitteisiin
|-
| '''trusted'''
| Kaikki yhteydet sallitaan
|}

===Alueiden tarkastelu===
Käytössä oleva oletusalue saadaan komennolla:
 $ firewall-cmd --get-default-zone

Jos palomuuria ei ole muokattu mitenkään, pitäisi tämän oletusalueen olla ainoa aktiivinen alue. Aktiiviset alueet ja niiden hallitseman verkkoliitännät saadaan komennolla:
 $ firewall-cmd --get-active-zones

Oletusaluetta koskevat säännöt nähdään komennolla:
 $ firewall-cmd --list-all

Samalla tavalla voidaan katsoa myös muita alueita koskevat säännöt <tt>--zone=ALUE</tt> parametrin avulla tai kaikkien alueiden säännöt kerralla <tt>--list-all-zones</tt> -parametrilla.
 $ firewall-cmd --zone=home --list-all
 $ firewall-cmd --list-all-zones

===Alueiden hallinta===
Oletuksena kaikki verkkoliitännät lisätään oletusalueen alle, yleensä tämä oletusalue on <tt>public</tt>. Usein kuitenkin halutaan lisätä oma koti- tai työverkko sallivammalle alueelle. Erityisen kätevä ominaisuus tämä on esimerkiksi kannettavien tietokoneiden kanssa, jotka liitetään usein avoimiin WLAN-verkkoihin julkisilla paikoilla. Epäluotettaville verkoille, joissa saattaa olla vihamielisiä laitteita, tulee käyttää tiukempia asetuksia, kuten esimerkiksi <tt>drop</tt> -aluetta, joka pudottaa kaikki sisääntulevat yhteydet suoraan ilman vastausta.

Kun palomuurin asetuksia muokataan, tarvitaan luonnollisesti [[pääkäyttäjä]]n oikeudet. Kun verkkoliitäntä halutaan siirtää toisen alueen alle, käytetään <tt>--zone=ALUE</tt> ja <tt>--change-interface=VERKKOLIITÄNTÄ</tt> -parametreja. Siirretään esimerkiksi <tt>eth0</tt> <tt>home</tt>-alueelle:
 # firewall-cmd --zone=home --change-interface=eth0
 success

Jos palomuuri nyt käynnistetään uudelleen, siirtyy <tt>eth0</tt> takaisin oletusalueelle. Jos liitäntä halutaan pysyvästi siirtää toiselle alueelle, tulee tämä määritellä verkkoyhteyden käynnistysskriptissä. Skriptien sijainnit vaihtelevat jonkin verran jakeluittain. Esimerkiksi tiedostoon <tt>/etc/sysconfig/network-scripts/ifcfg-<b>eth0</b></tt> voidaan lisätä rivi:
 ZONE=home
ja käynnistää sen jälkeen verkkoyhteys ja palomuuri uudelleen, jolloin <tt>eth0</tt> on <tt>home</tt>-alueella.
 # systemctl restart network.service
 # systemctl restart firewalld.service

Oletusalue voidaan vaihtaa <tt>--set-default-zone=ALUE</tt> -parametrilla.
 # firewall-cmd --set-default-zone=home

===Palvelut===
Lista käytettävissä olevista palveluista saadaan <tt>--get-services</tt> -parametrilla.
 $ firewall-cmd --get-services

Enemmän tietoa yksittäisistä palveluista löytyy <tt>/usr/lib/firewalld/services</tt> -tiedostosta, jossa eri palvelut ovat [[XML]]-tiedostoissa. Kun halutaan lisätä jokin palvelu haluttuun alueeseen, voidaan se tehdä <tt>--add-service=PALVELU</tt>-parametrilla. Esimerkiksi oletusalueelle voitaisiin avata portti http-palvelimelle näin:
 # firewall-cmd --add-service=http

Halutulle alueelle voidaan avata portti <tt>--zone=ALUE</tt> -parametrilla.
 # firewall-cmd --zone=public --add-service=http

Nyt voidaan tarkistaa <tt>--list-services</tt> -parametrilla että haluttu palvelu löytyy alueelta johon se lisättiin.
 $ firewall-cmd --zone=public --list-services

Asetukset voidaan tallentaa kahdella tavalla. Ne voidaan tallentaa pysyviksi, jolloin ne säilyvät vaikka tietokone tai palomuuri käynnistettäisiin uudelleen tai väliaikaisiksi, jolloin asetukset nollautuvat kun tietokone tai palomuuri sammutetaan. Suurin osa <tt>firewall-cmd</tt>:n operaatioista osaa ottaa vastaan <tt>--permanent</tt> parametrin, jolloin asetukset tallentuvat eivätkä katoa uudelleenkäynnistyksen yhteydessä. Esimerkiksi edellinen voitaisiin tehdä pysyväksi näin:
 # firewall-cmd --zone=public --permanent --add-service=http

===Portit===
Joskus tarjolla olevista palveluista ei löydy sopivaa, vaan tulee avata halutut portit manuaalisesti itse. Esimerkiksi jos joku oma ohjelma kuuntelisi porttia 5875 ja käyttäisi [[TCP]]-protokollaa, voitaisiin portti avata <tt>--add-port=PORTTI/PROTOKOLLA</tt> -parametrilla.
 # firewall-cmd --zone=public --add-port=5875/tcp

Tietyltä alueelta voidaan avata kaikki portit määrittelemällä tuon alueen alku- ja loppuportit. Avataan esimerkiksi portit 2000-2100 [[UDP]]-protokollalle.
 # firewall-cmd --zone=public --add-port=2000-2100/udp

Avoimet portit voidaan katsoa <tt>--list-ports</tt> -parametrilla.
 $ firewall-cmd --list-ports
 5875/tcp 2000-2100/udp

Portteja ei tulisi avata turhaan. Yleisesti hyvä tapa on pitää kaikki portit kiinni ja avata niitä vasta tarpeen vaatiessa.

[[Tiedosto:firewall-config 0.3.9.png|thumb|none|500px|firewall-config on graafinen työkalu FirewallD:n asetusten säätämiseen]]

==Aiheesta muualla==
* [https://github.com/t-woerner/firewalld github.com/t-woerner/firewalld] - Ohjelman lähdekoodit GitHubissa
* [https://fedoraproject.org/wiki/FirewallD fedoraproject.org/wiki/FirewallD]

{{IRC-kanava|firewalld|irc.freenode.net}}

[[Luokka:Verkko]]
[[Luokka:Tietoturva]]
[[Luokka:Ylläpitotyökalut]]