Firewall CentOS 7: Configurar, habilitar, desabilitar e criar regras

Uma das medidas incluídas nos Sistemas Operacionais é aumentar os níveis de segurança e estabelecer o controle sobre as conexões de entrada e saída do sistema. O Firewall é peça fundamental na segurança de nossos equipamentos independente do sistema, pois é o guardião que impede que conteúdos impróprios danifiquem nosso equipamento. Felizmente em sistemas como o Linux, o Firewall já está integrado por padrão e nos oferece uma infinidade de opções para enfrentar essas situações. Especificamente no CentOS, o Firewall integrado é chamado firewalld e executa diferentes tarefas de segurança em nossa distribuição Linux.

É muito importante saber tudo o que um Firewall nos oferece ao nível da proteção e é importante saber que no CentOS 7 a solução incluída ao nível do Firewall chama-se Firewalld o que nos oferece as seguintes vantagens.

Vantagens FirewalldAs vantagens do Firewall CentOS 7 são:

• É um firewall dinâmico.

• Estábulo.

• Várias opções de configuração.

• Suporta configurações de ponte Ipv4, Ipv6 e Ethernet.

• Podemos definir várias formas de configuração do Firewalld (contínua e em execução)

• Analisaremos em detalhes como o Firewalld funciona no CentOS 7 e assim entenderemos toda a sua grande abrangência.

1. Termos básicos no Firewalld CentOS 7

Antes de ver como usar o Firewalld no CentOS 7, existem vários termos aos quais é importante prestar atenção, pois eles estarão continuamente no CentOS 7.

O que é uma zonaUma zona de rede é aquela cuja função é definir o nível de confiança que a conexão de rede terá.

Essas zonas são gerenciadas pelo Firewalld em vários grupos de regras e uma zona pode ser usada por várias conexões de rede.

Existem vários tipos de zona no Firewalld, que são:

DerrubarÉ o nível de confiança mais baixo, pois todos os pacotes de entrada são rejeitados automaticamente e apenas os pacotes de saída são habilitados.

QuadraEste nível de confiança é semelhante ao Drop, com a diferença de que os pacotes recebidos são rejeitados com mensagens icmp-host-forbidden para IPv4 e icmp6-adm-forbidden para IPv6.

PúblicoEste nível de confiança se refere a redes públicas não confiáveis, ele só aceita conexões confiáveis.

ExternoEste tipo de nível é utilizado quando utilizamos o Firewall como gateway e seu mascaramento é habilitado pelos roteadores.

DMZEste nível é utilizado em equipamentos localizados em zona DMZ (Desmilitarizada), ou seja, possui acesso público com restrição à rede interna. Ele só aceita conexões aceitas.

TrabalharEste nível é usado em áreas de trabalho, portanto, a maioria dos computadores da rede terá acesso a ele.

casaEste tipo de nível é usado em um ambiente doméstico e a maioria dos equipamentos é aceita.

internoEste tipo de nível é usado em redes internas, portanto todos os equipamentos de rede serão aceitos.

ConfiávelEste é o nível mais alto e confia em todas as conexões de entrada.

Qualquer uma dessas zonas pode ser configurada nas regras que criamos usando Firewalld no CentOS 7.

2. Como criar uma regra permanente do CentOS 7

Quando configuramos Firewalld no CentOS 7 podemos criar dois tipos de regras, permanentes ou imediatas, desta forma quando editamos uma regra a mudança será vista automaticamente mas no próximo login esta regra será revertida.

Para evitar isso, devemos usar o parâmetro -permanent para que a regra seja contínua e não seja eliminada a cada login.

 -permanente

3. Como iniciar o serviço de Firewall no CentOS 7

Passo 1
É importante que antes de criar as regras necessárias com Firewalld ative o serviço Firewalld, para isso entramos com o seguinte.

 sudo systemctl start Firewalld.service 

Passo 2
Caso seja exibida uma mensagem de erro indicando que o Firewalld não está instalado, podemos executar o seguinte comando para sua instalação:

 Sudo yum install Firewalld -y 

etapa 3
Para ver o status do serviço de Firewall, usaremos o seguinte comando. Podemos ver que seu estado está funcionando. Desta forma, habilitamos o serviço e podemos criar e editar as regras de Firewall no CentOS 7.

 Firewall-cmd -state

4. Como ver a zona atual do CentOS 7

Passo 1
Podemos visualizar a zona atual na qual nosso equipamento está localizado usando o seguinte comando.

 Firewall-cmd --get-default-zone 

Passo 2
O resultado será o seguinte:

etapa 3
Para saber quais regras estão associadas a essa zona, podemos usar o seguinte comando:

 Firewall-cmd --list-all

5. Como explorar as diferentes zonas do CentOS 7

Passo 1
Podemos verificar quais zonas estão disponíveis para uso digitando o seguinte comando:

 Firewall-cmd --get-zones 

Passo 2
É possível visualizar a configuração associada a uma zona usando o parâmetro -zone; por exemplo:

 Firewall-cmd --zone = home --list-all 

6. Como selecionar zonas para interfaces de rede no CentOS 7

Passo 1
É possível que em uma sessão ativa queiramos atribuir uma zona específica a uma interface de rede do computador, para isso iremos atribuir a zona inicial à interface eth0 do CentOS 7:

 sudo Firewall-cmd --zone = home --change-interface = eth0 

Passo 2
Podemos ver que seu status está correto, podemos validar isso usando o seguinte comando:

 Firewall-cmd --get-active-zones 

etapa 3
O problema é que a interface retornará à sua zona padrão se não tivermos configurado uma zona definida dentro da referida interface, essas configurações de interface estão alojadas na seguinte rota:

 / etc / sysconfig / network-scripts 

Passo 4
Os arquivos neste diretório estão no formato de interface ifcfg. Por exemplo, podemos definir a zona para a interface eth0 usando o seguinte comando:

 sudo nano / etc / sysconfig / network-scripts / ifcfg-eth0 

7. Como ajustar regras para aplicativos no CentOS 7

Passo 1
Podemos adicionar exceções ao Firewall para que certas aplicações possam ser executadas diretamente sem nenhum problema, para ver os serviços disponíveis no CentOS 7 usaremos o seguinte comando:

 Firewall-cmd --get-services 

Passo 2
Para habilitar um serviço em uma área específica será necessário utilizar o seguinte parâmetro:

 --add-service = parâmetro 

etapa 3
Se quisermos adicionar o serviço http na zona pública, usaremos a seguinte sintaxe:

 sudo Firewall-cmd --zone = public --add-service = http 

Passo 4
É possível ver todos os serviços dessa zona, incluindo aquele que acabou de ser adicionado, usando o seguinte comando.

 Firewall-cmd --zone = public --list-services 

Etapa 5
Agora, se queremos que este serviço seja permanente, devemos adicionar, como mencionamos, o parâmetro -permanent.

 sudo Firewall-cmd --zone = public --permanent --add-service = http 

Desta forma, o serviço estará ativo a cada login do CentOS 7.

8. Como abrir uma porta para uma zona específica no CentOS 7

Passo 1
Abrir uma porta no Firewall nos dá a possibilidade de obter um melhor suporte para nossos aplicativos e programas, por exemplo, se temos um aplicativo que usa a porta UDP 3500 devemos adicioná-lo à zona usando o parâmetro -add-port como este :

 sudo Firewall-cmd --zone = public --add-port = 3500 / udp 

Passo 2
Para ver as portas abertas no Firewall, podemos usar o seguinte comando.

 Firewall-cmd --list-ports 

9. Como criar sua própria zona no Firewalld do CentOS 7

Embora as zonas que são por padrão no Firewall CentOS 7 atendam às necessidades de uma organização, podemos querer criar nossas regras para serviços específicos.

Passo 1
Vamos criar uma nova zona chamada Solvética, para a qual inseriremos o seguinte:

 sudo Firewall-cmd --permanent --new-zone = Solvético 

Passo 2
Podemos usar o seguinte comando para ver os pontos de acesso no CentOS 7:

 sudo Firewall-cmd --permanent --get-zones 

etapa 3
Agora, para que a nova zona seja refletida, devemos reiniciar o serviço Firewalld usando o seguinte comando:

 sudo Firewall-cmd -reload 

Passo 4
Agora, se quisermos adicionar um serviço à nossa nova zona, por exemplo, SSH, usaremos o seguinte comando:

 udo Firewall-cmd --zone = Solvético --add-service = ssh 

10. Como habilitar o Firewall para inicialização automática ao fazer login no CentOS7

Se quisermos que o serviço de Firewall seja habilitado desde o início do CentOS 7 e não for necessário habilitá-lo em todos os momentos, podemos usar o seguinte comando:

 sudo systemctl enable Firewalld 

Desta forma, o Firewall estará ativo o tempo todo no CentOS 7 protegendo todos os parâmetros do sistema.

11. Como parar e desabilitar Firewalld no CentOS 7

Passo 1
Para desabilitar Firewalld no CentOS 7, devemos usar o seguinte comando:

 systemctl disable Firewalld 

Passo 2
Para parar completamente o Firewalld, usaremos o seguinte comando:

 systemctl stop Firewalld 

12. Como bloquear Firewalld no Linux CentOS e Ubuntu

Como estamos vendo com o firewall, também corremos o risco de que softwares locais, como programas ou serviços, possam fazer alterações na configuração de nosso Firewall se eles forem iniciados como root. Mas, como bons administradores, podemos controlar quais programas podem fazer alterações e quais são incluídos na lista de permissões.

Passo 1
Isso está desabilitado por padrão, mas podemos controlá-lo com os seguintes comandos:

 sudo firewall-cmd --lockdown-on (Ativar) sudo firewall-cmd --lockdown-off (desativar)

Passo 2
Outro método para gerenciar esta opção de uma forma mais segura é fazê-lo a partir do arquivo de configuração básico, pois firewall-cmd nem sempre existe. Portanto, executamos o seguinte:

 sudo nano /etc/firewalld/firewalld.conf

etapa 3
Aqui devemos procurar a linha Lockdown = no e passar seu status para Lockdown = yes.

PROLONGAR

Passo 4
Agora você só precisa salvar as alterações e sair com estas teclas:
Salvamos as alterações usando a seguinte combinação de teclas:

Ctrl + O

Saímos do editor usando:

Ctrl + X

13. Como desativar o Firewall no Linux CentOS Ubuntu

Os sistemas Linux e suas diferentes distribuições incorporam um tipo de Firewall denominado UFW que visa salvaguardar a integridade da segurança da rede, controlando assim as conexões e estabelecendo se são seguras ou não. Como estamos vendo, dentro do CentOS este Firewall é chamado de firewalld e sua missão são os níveis de confiança e zonas de rede dependendo se são ou não prejudiciais ao sistema. Este Firewalld é integrado ao CentOS e RedHat.

Por padrão, este firewalld está desabilitado e no Solvetic recomendamos que você tenha habilitado para controlar quais conexões são seguras e quais não são. No entanto, há momentos em que precisamos realizar tarefas ou testes em que o Firewall o impede e é por isso que precisamos desativá-lo temporariamente. Para ativar ou desativar o Firewall, você pode fazer o seguinte:

14. Como instalar e configurar o CSF ​​Firewall no CentOS 7 Linux

No gerenciamento de Firewall dentro do CentOS podemos falar sobre o Firewall CSF. Este é um elemento básico de segurança no gerenciamento de servidores web. Sua principal missão é impedir o tráfego escuro de conteúdo malicioso que pode entrar no servidor. Este Firewall atua como uma parede contra intrusos ou ataques grosseiros que tentam danificar nossos sistemas.

O Firewall CSF nos avisa em tempo real e via e-mail de tudo o que acontece em nossos servidores. Graças a estes avisos poderemos agir com rapidez e amenizar os problemas que surgirem. Este firewall CSF realiza uma análise exaustiva dos pacotes SPI enquanto executa tarefas de segurança como as que mencionamos.

Para instalar e configurar o Firewall CSF no CentOS 7, faremos o seguinte.

Desta forma podemos gerenciar todos os valores Firewalld no CentOS 7 para estabelecer zonas de acordo com a necessidade corporativa. A segurança é muito importante e ainda mais se falamos de um ambiente de trabalho onde a informação é muito mais delicada.