Come iniziare con firewalld su Linux

0
49
fatmawati achmad zaenuri/Shutterstock.com

Se stai cercando un firewall moderno e potente per Linux che sia facile da configurare su dalla riga di comando o con la sua interfaccia GUI, allora firewalld è probabilmente quello che stai cercando.

La necessità di firewall

Le connessioni di rete hanno un'origine e una destinazione. Il software all'origine richiede la connessione e il software a destinazione lo accetta o lo rifiuta. Se viene accettato, i pacchetti di dati, generalmente chiamati traffico di rete, possono passare in entrambe le direzioni attraverso la connessione. Questo è vero sia che tu stia condividendo in tutta la stanza della tua casa, che ti connetta in remoto al lavoro dal tuo ufficio di casa o che utilizzi una risorsa remota basata su cloud.

RELATEDChe cosa fa effettivamente un firewall?

Una buona pratica di sicurezza dice che dovresti limitare e controllare le connessioni al tuo computer. Questo è ciò che fanno i firewall. Filtrano il traffico di rete per indirizzo IP, porta o protocollo e rifiutano le connessioni che non soddisfano un insieme predefinito di criteri (le regole del firewall) che hai configurato. Sono come il personale di sicurezza a un evento esclusivo. Se il tuo nome non è nell'elenco, non entrerai.

Ovviamente, non vuoi che le regole del firewall siano così restrittive da limitare le tue normali attività. Più è semplice configurare il firewall, minori sono le possibilità di impostare inavvertitamente regole in conflitto o draconiane. Spesso sentiamo utenti che affermano di non utilizzare un firewall perché è troppo complicato da capire o la sintassi dei comandi è troppo opaca.

Il firewalld firewall è potente ma semplice da configurare, sia sulla riga di comando che tramite l'applicazione GUI dedicata. Sotto il cofano, i firewall Linux si basano su netfilter , il framework di filtraggio di rete lato kernel. Qui nel mondo degli utenti, abbiamo una scelta di strumenti per interagire con netfilter, come iptables, ufw il firewall semplice e firewalld.

Secondo noi, firewalld offre il miglior equilibrio tra funzionalità e granularità e semplicità.

Installazione di firewalld

Ci sono due parti per firewalld. C'è firewalld , il processo daemon che fornisce la funzionalità del firewall, e c'è firewall-config. Questa è la GUI opzionale per firewalld. Nota che non c'è nessun “d” in firewall-config.

L'installazione di firewalld su Ubuntu, Fedora e Manjaro è semplice in tutti i casi, anche se ognuno ha la propria opinione su ciò che è preinstallato e ciò che è in bundle.

< p>Per installare su Ubuntu, dobbiamo installare firewalld e firewall-config.

sudo apt install firewalld

sudo apt install firewall-config

Su Fedora, firewalld è già installato. Dobbiamo solo aggiungere firewall-config .

sudo dnf install firewall-config

Su Manjaro, nessuno dei due componenti è preinstallato, ma sono raggruppati in un unico pacchetto, quindi possiamo installarli entrambi con un unico comando.

sudo pacman – Sy firewalld

Dobbiamo abilitare il demone firewalld per consentirne l'esecuzione ogni volta che il computer si avvia .

sudo systemctl enable firewalld

E dobbiamo avviare il demone in modo che sia in esecuzione ora.

sudo systemctl start firewalld

Possiamo utilizzare systemctl per verificare che firewalld sia stato avviato e funzioni senza problemi:

sudo systemctl status firewalld

Possiamo anche usare firewalld per verificare se è in esecuzione . Questo utilizza il comando firewall-cmd con l'opzione –state. Nota che non c'è nessun “d” in firewall-cmd :

sudo firewall-cmd –state

Ora che il firewall è installato e funzionante, possiamo passare alla configurazione.

Il concetto di zone

Il firewalld firewall si basa sulle zone. Le zone sono raccolte di regole del firewall e una connessione di rete associata. Ciò ti consente di personalizzare diverse zone e un diverso insieme di limitazioni di sicurezza in base alle quali puoi operare. Ad esempio, potresti avere una zona definita per la corsa regolare e quotidiana, un'altra zona per una corsa più sicura e un “niente dentro, niente fuori” zona di blocco completo.

Per spostarti da una zona all'altra, ed effettivamente da un livello di sicurezza a un altro, sposti la tua connessione di rete dalla zona in cui si trova, alla zona in cui desideri correre.

Questo lo rende molto veloce per spostarne uno da un insieme definito di regole del firewall a un altro. Un altro modo per utilizzare le zone sarebbe fare in modo che il tuo laptop utilizzi una zona quando sei a casa e un'altra quando sei fuori e utilizzi il Wi-Fi pubblico.

firewalld viene fornito con nove zone preconfigurate. Questi possono essere modificati e più zone aggiunte o rimosse.

  • drop: tutti i pacchetti in arrivo vengono eliminati. È consentito il traffico in uscita. Questa è l'impostazione più paranoica.
  • blocco: tutti i pacchetti in arrivo vengono eliminati e un messaggio icmp-host-prohibited viene inviato all'originatore. Il traffico in uscita è consentito.
  • fidato: tutte le connessioni di rete sono accettate e gli altri sistemi sono affidabili. Questa è l'impostazione più affidabile e dovrebbe essere limitata ad ambienti molto sicuri come le reti di test captive o la tua casa.
  • pubblica: questa zona è per l'uso su reti pubbliche o altre reti in cui nessuna degli altri computer può essere considerato attendibile. Viene accettata una piccola selezione di richieste di connessione comuni e generalmente sicure.
  • esterna: questa zona è da utilizzare su reti esterne con NAT masquerading (port forwarding) abilitato. Il tuo firewall funge da router che inoltra il traffico alla tua rete privata che rimane raggiungibile, ma comunque privata.
  • interna: questa zona deve essere utilizzata su reti interne quando il tuo sistema funge da gateway o router. Gli altri sistemi su questa rete sono generalmente affidabili.
  • dmz: questa zona è per i computer che si trovano nella “zona demilitarizzata” al di fuori delle tue difese perimetrali e con accesso limitato alla tua rete.
  • lavoro: questa zona è per le macchine da lavoro. Gli altri computer su questa rete sono generalmente attendibili.
  • casa: questa zona è per le macchine domestiche. Gli altri computer su questa rete sono generalmente attendibili.

Le zone casa, lavoro e interne hanno funzioni molto simili, ma separandole in zone diverse è possibile ottimizzare una zona per a tuo piacimento, incapsulando un insieme di regole per uno scenario particolare.

Un buon punto di partenza è scoprire qual è la zona predefinita. Questa è la zona in cui vengono aggiunte le tue interfacce di rete quando viene installato firewalld.

sudo firewall-cmd –get-default-zone

La nostra zona predefinita è la zona pubblica. Per visualizzare i dettagli di configurazione di una zona, utilizzare l'opzione –list-all. Questo elenca tutto ciò che è stato aggiunto o abilitato per una zona.

sudo firewall-cmd –zone=public –list-all

Possiamo vedere che questa zona è associata alla connessione di rete enp0s3 e consente il traffico relativo a DHCP, mDNS e SSH. Poiché a questa zona è stata aggiunta almeno un'interfaccia, questa zona è attiva.

firewalld ti consente di aggiungere servizi da cui vuoi accettare il traffico verso una zona. Quella zona consente quindi il passaggio di quel tipo di traffico. Questo è più facile che ricordare che mDNS, ad esempio, utilizza la porta 5353 e il protocollo UDP e aggiungere manualmente quei dettagli alla zona. Anche se puoi farlo anche tu.

Se eseguiamo il comando precedente su un laptop con una connessione ethernet e una scheda Wi-Fi, vedremo qualcosa di simile, ma con due interfacce.

sudo firewall-cmd –zone=public –list -all

Entrambe le nostre interfacce di rete sono state aggiunte alla zona predefinita. La zona ha regole per gli stessi tre servizi del primo esempio, ma DHCP e SSH sono stati aggiunti come servizi denominati, mentre mDNS è stato aggiunto come associazione di porte e protocolli.

Per elencare tutte le zone, usa l'opzione –get-zones.

sudo firewall-cmd –get-zones

Per vedere la configurazione di tutte le zone contemporaneamente, usa l'opzione –list-all-zones. Ti consigliamo di convogliarlo in meno.

sudo firewall-cmd –list-all-zones | meno

Ciò è utile perché puoi scorrere l'elenco o utilizzare la funzione di ricerca per cercare numeri di porta, protocolli e servizi.

Sul nostro laptop, sposteremo la nostra connessione Ethernet dalla zona pubblica alla zona domestica. Possiamo farlo con le opzioni –zone e –change-interface.

sudo firewall-cmd –zone=home –change-interface=enp3s0

Diamo un'occhiata alla home zone e vediamo se la nostra modifica è stata apportata.

sudo firewall-cmd –zone=home –list-all

E lo è. La nostra connessione Ethernet viene aggiunta alla zona di casa.

Tuttavia, questo non è un cambiamento permanente. Abbiamo modificato la configurazione di esecuzione del firewall, non la sua configurazione memorizzata. Se riavviamo o utilizziamo l'opzione –reload, torneremo alle impostazioni precedenti.

Per rendere permanente una modifica, dobbiamo utilizzare l'opzione –permanent opportunamente denominata.

Ciò significa che possiamo modificare il firewall per requisiti una tantum senza alterare la configurazione memorizzata del firewall. Possiamo anche testare le modifiche prima di inviarle alla configurazione. Per rendere permanente la nostra modifica, il formato che dovremmo usare è:

sudo firewall-cmd –zone=home –change-interface=enp3s0 –permanent

Se apporti alcune modifiche ma dimentichi di usare –permanent su alcune di esse, puoi scrivere le impostazioni della sessione corrente in esecuzione del firewall nella configurazione usando l'opzione –runtime-to-permanent.

sudo firewall -cmd –runtime-to-permanent

RELAZIONATO:< /strong> Che cos'è DHCP (Dynamic Host Configuration Protocol)?

Aggiunta e rimozione di servizi

firewalld conosce molti servizi. Puoi elencarli usando l'opzione –get-services.

sudo firewall-cmd –get-services

La nostra versione di firewalld elencava 192 servizi. Per abilitare un servizio in una zona, usa l'opzione –add-service.

< /p>

Possiamo aggiungere un servizio a una zona usando l'opzione –add-service.

sudo firewall-cmd –zone=public –add-service=http

Il nome del servizio deve corrispondere alla sua voce nell'elenco dei servizi da firewalld.

Per rimuovere un servizio, sostituisci –add-service con –remove-service

Aggiunta e rimozione di porte e protocolli

Se preferisci scegliere quali porte e protocolli aggiungere, puoi farlo anche tu. Devi conoscere il numero di porta e il protocollo per il tipo di traffico che stai aggiungendo.

Aggiungiamo il traffico HTTPS alla zona pubblica. Utilizza la porta 443 ed è una forma di traffico TCP.

sudo firewall-cmd –zone=public –add-port=443/tcp

Potresti fornire una gamma di porte fornendo la prima e l'ultima porta con un trattino “-” tra di loro, come “400-450.”

Per rimuovere una porta, sostituisci –add-port con –remove-port .

CORRELATI: Qual ​​è la differenza tra TCP e UDP?

Utilizzo della GUI

Premi il tuo “Super” e inizia a digitare “firewall.” Vedrai l'icona del muro di mattoni per l'applicazione di configurazione del firewall.

< /p>

Fai clic sull'icona per avviare l'applicazione.

Per aggiungere un servizio a firewalld utilizzando la GUI è facile come selezionare una zona dall'elenco di zone e selezionare il servizio dall'elenco di servizi.

Puoi scegliere di modificare la sessione in esecuzione o la configurazione permanente selezionando “Runtime” o “Permanente” dalla “Configurazione” menu a discesa.

Per apportare modifiche alla sessione in esecuzione e salvarle solo dopo averne verificato il funzionamento, imposta la “Configurazione” menu a “Runtime.” Apporta le tue modifiche. Quando sei felice che stiano facendo quello che vuoi, usa le Opzioni > Opzione dal menu Runtime a Permanente.

Per aggiungere una porta e una voce di protocollo a una zona, seleziona la zona dall'elenco delle zone e fai clic su “Porte.” Facendo clic sul pulsante Aggiungi è possibile fornire il numero di porta e selezionare il protocollo da un menu.

Per aggiungere un protocollo, fai clic su “Protocolli”, fai clic su “Aggiungi” e seleziona il protocollo dal menu a comparsa.

Per spostare un'interfaccia da una zona all'altra, fai doppio clic sull'interfaccia in & #8220;Connessioni” elenco, quindi seleziona la zona dal menu a comparsa.

< h2 role="heading" aria-level="2">La punta dell'iceberg

C'è molto di più che puoi fare con firewalld, ma questo è abbastanza per farti funzionare. Con le informazioni che ti abbiamo fornito, sarai in grado di creare regole significative nelle tue zone.

LEGGI SUCCESSIVO

  • › Quanto costa azionare un tosaerba elettrico?
  • › Quali sono i migliori giochi per Nintendo Switch del 2022?
  • › Novità dell'aggiornamento 22H2 di Windows 11: le 10 migliori nuove funzionalità
  • › Cosa fare se si lascia cadere lo smartphone nell'oceano
  • › Non mettere la TV sopra il caminetto
  • › Un mondo senza fili: 25 anni di Wi-Fi