Ero sivun ”FirewallD” versioiden välillä
Siirry navigaatioon
Siirry hakuun
p
<syntaxhighlight>
Ei muokkausyhteenvetoa |
p (<syntaxhighlight>) |
||
| (6 välissä olevaa versiota toisen käyttäjän tekemänä ei näytetä) | |||
| Rivi 10: | Rivi 10: | ||
[[Tiedosto:Firewalld ja iptables.png|right|thumb|FirewallD- ja iptables-palvelut juttelevat kernelin netfilter-pakettisuodattimelle iptables-työkalun välityksellä]] | [[Tiedosto:Firewalld ja iptables.png|right|thumb|FirewallD- ja iptables-palvelut juttelevat kernelin netfilter-pakettisuodattimelle iptables-työkalun välityksellä]] | ||
'''FirewallD''' ( | '''FirewallD''' (''Dynamic Firewall'') on [[Red Hat]]in kehittämä dynaaminen [[palomuuri]]. FirewallD on dynaamisena palomuurina monipuolisempi ja tehokkaampi verrattuna perinteiseen staattiseen palomuuriin, kuten [[iptables]]. Vanhan tyylisessä staattisessa palomuurissa uudet asetukset otetaan käyttöön käynnistämällä palomuuri uudelleen, jolloin luetaan uudet asetukset. FirewallD sen sijaan sallii asetusten muuttamisen suoraan lennosta. Kuten iptables, myös FirewallD on vain työkalu joka käyttää linux-kernelin [[netfilter]]iä. | ||
==Asennus== | ==Asennus== | ||
| Rivi 17: | Rivi 17: | ||
==Käyttö== | ==Käyttö== | ||
{{Oikeudet}} | {{Oikeudet}} | ||
FirewallD:n asetuksia voidaan säätää graafisella <tt>firewall-config</tt>-ohjelmalla tai tekstipohjaisella <tt>firewall-cmd</tt>-ohjelmalla. [[Systemd]] hallitsee FirewallD:tä <tt>firewalld.service</tt>:n avulla, eli FirewallD voidaan käynnistää | FirewallD:n asetuksia voidaan säätää graafisella <tt>firewall-config</tt>-ohjelmalla tai tekstipohjaisella <tt>firewall-cmd</tt>-ohjelmalla. [[Systemd]] hallitsee FirewallD:tä <tt>firewalld.service</tt>:n avulla, eli FirewallD voidaan käynnistää ja asettaa käynnistymään tietokoneen käynnistyessä komennoilla: | ||
# systemctl start firewalld.service | # systemctl start firewalld.service | ||
# systemctl enable firewalld.service | |||
Lisätietoa systemd:n käytöstä löytyy [[systemd|systemd:n omasta artikkelista]]. | Lisätietoa systemd:n käytöstä löytyy [[systemd|systemd:n omasta artikkelista]]. | ||
| Rivi 28: | Rivi 29: | ||
FirewallD käyttää eri ''alueita'' (engl. ''zones''). Oletusalue on määritelty <tt>/etc/firewalld/firewalld.conf</tt> -tiedostossa. | FirewallD käyttää eri ''alueita'' (engl. ''zones''). Oletusalue on määritelty <tt>/etc/firewalld/firewalld.conf</tt> -tiedostossa. | ||
{| class=wikitable | {| class=wikitable | ||
! colspan="2" | Alueet järjestettynä tiukimmasta sallivimpaan | |||
|- | |||
! Alue (''zone'') | ! Alue (''zone'') | ||
! Kuvaus | ! Kuvaus | ||
| Rivi 38: | Rivi 41: | ||
|- | |- | ||
| '''public''' | | '''public''' | ||
| Tarkoitettu julkisiin epäluotettaviin verkkoihin, kuten avoimiin WLAN-verkkoihin | | Tarkoitettu julkisiin epäluotettaviin verkkoihin, kuten avoimiin WLAN-verkkoihin, joissa ei luoteta muihin verkon laitteisiin. | ||
|- | |- | ||
| '''external''' | | '''external''' | ||
| | | Tarkoitettu erityisesti ulkoverkkoihin reitittimiin jotka tekevät osoitteenmuutosta. | ||
|- | |- | ||
| '''dmz''' | | '''dmz''' | ||
| Rivi 50: | Rivi 50: | ||
|- | |- | ||
| '''work''' | | '''work''' | ||
| Tarkoitettu työpaikan verkkoihin joissa voidaan luottaa pääosin muihin laitteisiin | | Tarkoitettu työpaikan verkkoihin joissa voidaan luottaa pääosin muihin laitteisiin. | ||
|- | |- | ||
| '''home''' | | '''home''' | ||
| Tarkoitettu kodin verkkoihin joissa voidaan luottaa pääosin muihin laitteisiin | | Tarkoitettu kodin verkkoihin joissa voidaan luottaa pääosin muihin laitteisiin. | ||
|- | |||
| '''internal''' | |||
| Tarkoitettu sisäverkkoihin, joissa voidaan luottaa pääosin muihin laitteisiin. | |||
|- | |- | ||
| '''trusted''' | | '''trusted''' | ||
| Kaikki yhteydet sallitaan | | Kaikki yhteydet sallitaan. | ||
|} | |} | ||
| Rivi 123: | Rivi 126: | ||
Tiedoston tulee olla XML-muodossa, jotta FirewallD osaa parsia sen oikein. | Tiedoston tulee olla XML-muodossa, jotta FirewallD osaa parsia sen oikein. | ||
< | <syntaxhighlight lang="xml"> | ||
<?xml version="1.0" encoding="utf-8"?> | <?xml version="1.0" encoding="utf-8"?> | ||
<service> | <service> | ||
| Rivi 131: | Rivi 134: | ||
<port protocol="udp" port="5555"/> | <port protocol="udp" port="5555"/> | ||
</service> | </service> | ||
</ | </syntaxhighlight> | ||
Jotta palomuuri näkisi uuden palvelun, tulee se ladata uudelleen: | Jotta palomuuri näkisi uuden palvelun, tulee se ladata uudelleen: | ||
# firewall-cmd --reload | |||
===Alueiden määrittäminen=== | |||
Joissain tapauksissa valmiiksi määritellyt alueet eivät ole riittäviä vaan tarvitaan lisäksi oma alueita. Esimerkiksi omalle aliverkolle voidaan määrittää oma alue. Kun alue määritellään, tehdään se <tt>--new-zone=ALUE</tt> -parametrilla, tähän tarvitaan myös <tt>--permanent</tt> -parametria. | |||
# firewall-cmd --permanent --new-zone=omaverkko | |||
Nyt uudelle alueelle voidaan lisätä halutut palvelut ja verkkoliitännät. Palomuurin asetukset tulee ladata uudestaan jotta uusi alue näkyisi nykyisessä istunnossa. | |||
# firewall-cmd --reload | # firewall-cmd --reload | ||