Ero sivun ”FirewallD” versioiden välillä
pEi muokkausyhteenvetoa |
Ei muokkausyhteenvetoa |
||
Rivi 46: | Rivi 46: | ||
success | success | ||
Asetukset voidaan tallentaa kahdella tavalla. Ne voidaan tallentaa pysyviksi, jolloin ne säilyvät vaikka tietokone tai palomuuri käynnistettäisiin uudelleen tai väliaikaisiksi, jolloin asetukset nollautuvat kun tietokone tai palomuuri sammutetaan. Suurin osa <tt>firewall-cmd</tt>:n operaatioista osaa ottaa vastaan <tt>--permanent</tt> parametrin, jolloin asetukset tallentuvat eivätkä katoa uudelleenkäynnistyksen yhteydessä | Jos palomuuri nyt käynnistetään uudelleen, siirtyy <tt>eth0</tt> takaisin oletusalueelle. Jos liitäntä halutaan pysyvästi siirtää toiselle alueelle, tulee tämä määritellä verkkoyhteyden käynnistysskriptissä. Skriptien sijainnit vaihtelevat jonkin verran jakeluittain. Esimerkiksi tiedostoon <tt>/etc/sysconfig/network-scripts/ifcfg-<b>eth0</b></tt> voidaan lisätä rivi: | ||
ZONE=home | |||
ja käynnistää sen jälkeen verkkoyhteys ja palomuuri uudelleen, jolloin <tt>eth0</tt> on <tt>home</tt>-alueella. | |||
# systemctl restart network.service | |||
# systemctl restart firewalld.service | |||
Oletusalue voidaan vaihtaa <tt>--set-default-zone=ALUE</tt> -parametrilla. | |||
# firewall-cmd --set-default-zone=home | |||
Asetukset voidaan tallentaa kahdella tavalla. Ne voidaan tallentaa pysyviksi, jolloin ne säilyvät vaikka tietokone tai palomuuri käynnistettäisiin uudelleen tai väliaikaisiksi, jolloin asetukset nollautuvat kun tietokone tai palomuuri sammutetaan. Suurin osa <tt>firewall-cmd</tt>:n operaatioista osaa ottaa vastaan <tt>--permanent</tt> parametrin, jolloin asetukset tallentuvat eivätkä katoa uudelleenkäynnistyksen yhteydessä. | |||
===Alueet=== | ===Alueet=== |
Versio 25. joulukuuta 2015 kello 21.27
FirewallD | |
---|---|
Käyttöliittymä | teksti, GTK |
Lisenssi | GPLv2+ |
Kotisivu | fedorahosted.org/firewalld |
FirewallD (Dynamic Firewall) on Red Hatin kehittämä dynaaminen palomuuri.
FirewallD on dynaamisena palomuurina monipuolisempi ja tehokkaampi verrattuna perinteiseen staattiseen palomuuriin, kuten iptables. Vanhan tyylisessä staattisessa palomuurissa uudet asetukset otetaan käyttöön käynnistämällä palomuuri uudelleen, jolloin luetaan uudet asetukset. FirewallD sen sijaan sallii asetusten muuttamisen suoraan lennosta. Kuten iptables, myös FirewallD on vain työkalu joka käyttää linux-kernelin netfilteriä.
Asennus
FirewallD löytyy useimpien jakeluiden paketinhallinnasta nimellä firewalld. Lisätietoja ohjelmien asentamisesta löytyy artikkelista Ohjelmien asentaminen.
Käyttö
FirewallD:n asetuksia voidaan säätää graafisella firewall-config-ohjelmalla tai tekstipohjaisella firewall-cmd-ohjelmalla. Systemd hallitsee FirewallD:tä firewalld.service:n avulla, eli FirewallD voidaan käynnistää komennolla:
# systemctl start firewalld.service
Lisätietoa systemd:n käytöstä löytyy systemd:n omasta artikkelista.
Nyt voidaan tarkistaa palomuurin tila komentamalla:
$ firewall-cmd --state
Asetusten tarkastelu
FirewallD käyttää alueita (zones) asetusten hallintaan. Oletusalue saadaan komennolla:
$ firewall-cmd --get-default-zone
Jos palomuuria ei ole muokattu mitenkään, pitäisi tämän oletusalueen olla ainoa aktiivinen alue. Aktiiviset alueet ja niiden hallitseman verkkoliitännät saadaan komennolla:
$ firewall-cmd --get-active-zones
Oletusaluetta koskevat säännöt nähdään komennolla:
$ firewall-cmd --list-all
Samalla tavalla voidaan katsoa myös muita alueita koskevat säännöt --zone=ALUE parametrin avulla tai kaikkien alueiden säännöt kerralla --list-all-zones -parametrilla.
$ firewall-cmd --zone=home --list-all $ firewall-cmd --list-all-zones
Asetusten säätäminen
Oletuksena kaikki verkkoliitännät lisätään oletusalueen alle, yleensä tämä oletusalue on public. Usein kuitenkin halutaan lisätä oma koti- tai työverkko sallivammalle alueelle. Erityisen kätevä ominaisuus tämä on esimerkiksi kannettavien tietokoneiden kanssa, jotka liitetään usein avoimiin WLAN-verkkoihin julkisilla paikoilla. Epäluotettaville verkoille, joissa saattaa olla vihamielisiä laitteita, tulee käyttää tiukempia asetuksia, kuten esimerkiksi drop -aluetta, joka pudottaa kaikki sisääntulevat yhteydet suoraan ilman vastausta.
Kun palomuurin asetuksia muokataan, tarvitaan luonnollisesti pääkäyttäjän oikeudet. Kun verkkoliitäntä halutaan siirtää toisen alueen alle, käytetään --zone=ALUE ja --change-interface=VERKKOLIITÄNTÄ -parametreja. Siirretään esimerkiksi eth0 home-alueelle:
# firewall-cmd --zone=home --change-interface=eth0 success
Jos palomuuri nyt käynnistetään uudelleen, siirtyy eth0 takaisin oletusalueelle. Jos liitäntä halutaan pysyvästi siirtää toiselle alueelle, tulee tämä määritellä verkkoyhteyden käynnistysskriptissä. Skriptien sijainnit vaihtelevat jonkin verran jakeluittain. Esimerkiksi tiedostoon /etc/sysconfig/network-scripts/ifcfg-eth0 voidaan lisätä rivi:
ZONE=home
ja käynnistää sen jälkeen verkkoyhteys ja palomuuri uudelleen, jolloin eth0 on home-alueella.
# systemctl restart network.service # systemctl restart firewalld.service
Oletusalue voidaan vaihtaa --set-default-zone=ALUE -parametrilla.
# firewall-cmd --set-default-zone=home
Asetukset voidaan tallentaa kahdella tavalla. Ne voidaan tallentaa pysyviksi, jolloin ne säilyvät vaikka tietokone tai palomuuri käynnistettäisiin uudelleen tai väliaikaisiksi, jolloin asetukset nollautuvat kun tietokone tai palomuuri sammutetaan. Suurin osa firewall-cmd:n operaatioista osaa ottaa vastaan --permanent parametrin, jolloin asetukset tallentuvat eivätkä katoa uudelleenkäynnistyksen yhteydessä.
Alueet
FirewallD käyttää eri alueita (engl. zones). Oletusalue on määritelty /etc/firewalld/firewalld.conf -tiedostossa.
Alue (zone) | Kuvaus |
---|---|
drop | Alimman luottamustason alue. Kaikki sisääntulevat yhteydet pudotetaan ilman vastausta. Ainoastaan ulospäin menevät yhteydet sallitaan. |
block | Samankaltainen kuin drop, mutta sisääntuleviin yhteyksiin vastataan icmp-host-prohibited tai icmp6-adm-prohibited -viestillä. |
public | Tarkoitettu julkisiin epäluotettaviin verkkoihin, kuten avoimiin WLAN-verkkoihin. Ei luoteta muihin verkon laitteisiin. |
external | |
internal | |
dmz | Käytetään laitteissa jotka sijaitsevat DMZ-alueella. |
work | Tarkoitettu työpaikan verkkoihin joissa voidaan luottaa pääosin muihin laitteisiin |
home | Tarkoitettu kodin verkkoihin joissa voidaan luottaa pääosin muihin laitteisiin |
trusted | Kaikki yhteydet sallitaan |
Aiheesta muualla
- github.com/t-woerner/firewalld - Ohjelman lähdekoodit GitHubissa
- fedoraproject.org/wiki/FirewallD