FirewallD

Linux.fista
Versio hetkellä 24. joulukuuta 2015 kello 12.57 – tehnyt Oselotti (keskustelu | muokkaukset)
Siirry navigaatioon Siirry hakuun
FirewallD
Käyttöliittymä teksti, GTK
Lisenssi GPLv2+
Kotisivu fedorahosted.org/firewalld

FirewallD (Dynamic Firewall) on Red Hatin kehittämä dynaaminen palomuuri.

FirewallD on dynaamisena palomuurina monipuolisempi ja tehokkaampi verrattuna perinteiseen staattiseen palomuuriin, kuten iptables. Vanhan tyylisessä staattisessa palomuurissa uudet asetukset otetaan käyttöön käynnistämällä palomuuri uudelleen, jolloin luetaan uudet asetukset. FirewallD sen sijaan sallii asetusten muuttamisen suoraan lennosta.

Asennus

FirewallD löytyy useimpien jakeluiden paketinhallinnasta nimellä firewalld. Lisätietoja ohjelmien asentamisesta löytyy artikkelista Ohjelmien asentaminen.

Käyttö

Komennot, jotka alkavat $-merkillä suoritetaan tavallisena käyttäjänä ja komennot, jotka alkavat #-merkillä suoritetaan pääkäyttäjänä. Katso myös su, sudo ja doas.

FirewallD:n asetuksia voidaan säätää graafisella firewall-config-ohjelmalla tai tekstipohjaisella firewall-cmd-ohjelmalla. Systemd hallitsee FirewallD:tä firewalld.service:n avulla, eli FirewallD voidaan käynnistää komennolla:

# systemctl start firewalld.service

Lisätietoa systemd:n käytöstä löytyy systemd:n omasta artikkelista.

Nyt voidaan tarkistaa palomuurin tila komentamalla:

$ firewall-cmd --state

Asetusten tarkastelu

FirewallD käyttää alueita (zones) asetusten hallintaan. Oletusalue saadaan komennolla:

$ firewall-cmd --get-default-zone

Jos palomuuria ei ole muokattu mitenkään, pitäisi tämän oletusalueen olla ainoa aktiivinen alue. Aktiiviset alueet ja niiden hallitseman verkkoliitännät saadaan komennolla:

$ firewall-cmd --get-active-zones

Oletusaluetta koskevat säännöt nähdään komennolla:

$ firewall-cmd --list-all

Samalla tavalla voidaan katsoa myös muita alueita koskevat säännöt --zone=ALUE parametrin avulla tai kaikkien alueiden säännöt kerralla --list-all-zones -parametrilla.

$ firewall-cmd --zone=home --list-all
$ firewall-cmd --list-all-zones

Asetusten säätäminen

Oletuksena kaikki verkkoliitännät lisätään oletusalueen alle, yleensä tämä oletusalue on public. Usein kuitenkin halutaan lisätä oma koti- tai työverkko sallivammalle alueelle. Erityisen kätevä ominaisuus tämä on esimerkiksi kannettavien tietokoneiden kanssa, jotka liitetään usein avoimiin WLAN-verkkoihin julkisilla paikoilla. Epäluotettaville verkoille, joissa saattaa olla vihamielisiä laitteita, tulee käyttää tiukempia asetuksia, kuten esimerkiksi drop -aluetta, joka pudottaa kaikki sisääntulevat yhteydet suoraan ilman vastausta.

Kun palomuurin asetuksia muokataan, tarvitaan luonnollisesti pääkäyttäjän oikeudet. Kun verkkoliitäntä halutaan siirtää toisen alueen alle, käytetään --zone=ALUE ja --change-interface=VERKKOLIITÄNTÄ -parametreja. Siirretään esimerkiksi eth0 home-alueelle:

# firewall-cmd --zone=home --change-interface=eth0
success

Asetukset voidaan tallentaa kahdella tavalla. Ne voidaan tallentaa pysyviksi, jolloin ne säilyvät vaikka tietokone tai palomuuri käynnistettäisiin uudelleen tai väliaikaisiksi, jolloin asetukset nollautuvat kun tietokone tai palomuuri sammutetaan. Suurin osa firewall-cmd:n operaatioista osaa ottaa vastaan --permanent parametrin, jolloin asetukset tallentuvat eivätkä katoa uudelleenkäynnistyksen yhteydessä. Jos palomuuri nyt käynnistetään uudelleen, siirtyy eth0 takaisin oletusalueelle.

Aiheesta muualla

FirewallD-projektin IRC-kanava #firewalld löytyy palvelimelta irc.freenode.net. Voit liittyä kanavalle käyttäen