Блог: Настройка сетевого фильтра firewalld в CentOS

До сравнительно недавнего времени администраторы Linux использовали для настройки сетевого фильтра Iptables.
Однако последний немного неудобен для использования, и разработчики начали придумывать более лояльные к пользователю продукты.
Debian-системы обзавелись очень удобной системой UFW (лично мне она нравится больше всех).
Redhat-системы (в т.ч. CentOS и Fedora) разработали свою систему, firewalld.
Про неё и пойдёт речь в этой статье.
Существенное отличие firewalld от iptables в том, что тут используются зоны и службы (сервисы).
В зону firewalld могут входить интерфейсы, ip-адреса или подсети.
Службы — уже готовые именованные наборы портов. Примеры служб: http, ssh, ftp

Простота достигается за счёт добавления необходимых IP-адресов в нужную зону, а также добавления на зону правила открытия/закрытия сервиса (а если его не предопределено, то порта).

УСТАНОВКА И ЗАПУСК

В подавляющем большинстве случаев firewalld уже установлен в системе.
Если этого вдруг не оказалось, то установить его необходимо с помощью команды:

▏yum install firewalld

далее добавляем сервис в автозапуск при старте системы:

▏systemctl enable firewalld

и запускаем службу:

▏systemctl start firewalld

УПРАВЛЕНИЕ

Для управления firewalld используется консольная утилита firewall-cmd

Полное руководство по утилите можно найти на сайте производителя либо командами:

▏firewall-cmd —help
▏man firewall-cmd

Тут я опишу список самых часто используемых опций.

Посмотреть состояние сервиса:

▏firewall-cmd —state

Применить внесённые настройки:

▏firewall-cmd —reload

Посмотреть созданные правила:

▏firewall-cmd —list-all

УПРАВЛЕНИЕ ЗОНАМИ

Как я уже писал выше, для управления используются зоны. Посмотреть список всех зон можно командой:

▏firewall-cmd —get-zones

по умолчанию в системе используется 9 зон:
block dmz drop external home internal public trusted work

в подавляющем большинстве случаев для настройка хватает трёх зон:
public — зона по умолчанию, в ней прописываются правила доступа для всех адресов.
drop — зона, в которую заносятся нежелательные IP-адреса
trusted — зона, в которую заносятся IP-адреса, которые имеют доступ без ограничений.

по каждой из них можно посмотреть информацию и правила (в примере мы смотрим зону trusted):

▏firewall-cmd —list-all —zone=trusted

добавить адрес в зону:

▏firewall-cmd —permanent —zone=drop —add-source=8.8.8.8

Примечание: тут и далее при добавлении правила мы будем использовать опцию —permanent, которая сразу сохраняет правило. В противном случае после рестарта сервиса правило удалится.

удалить адрес из зоны:

▏firewall-cmd —permanent —zone=drop —remove-source=8.8.8.8

Примечание: один и тот же адрес не может быть в двух зонах. чтобы добавить его в другую зону, необходимо его удалить из той, в которой он находится.

УПРАВЛЕНИЕ СЛУЖБАМИ

Как я уже писал выше, очень удобно открывать не порт, а сразу всю службу. Для некоторых служб в системе прописано сразу несколько

Вывести список доступных служб:

▏firewall-cmd —get-services

Вывести информацию о конкретной службе. Пример информации о службе openvpn:

▏firewall-cmd —info-service openvpn

Создать собственную службу.
Вообще-то в firewalld по умолчанию прописаны очень большое количество служб. Закрыты почти все используемые службы.
Но бывает ситуация, когда мы вешаем службу на нестандартный порт. Или являемся разработчиками.
К примеру, мы разработали приложение с названием my_app, которое слушает порты 7856/TCP и 3878/UDP/
добавим его в список служб и привязываем необходимые порты:

▏firewall-cmd —permanent —new-service=my_app
▏firewall-cmd —permanent —service=my_app —add-port=7856/tcp
▏firewall-cmd —permanent —service=my_app —add-port=3878/udp

и применяем изменения:

▏firewall-cmd —reload

без выполнения последней команды правило не появится в системе. Далее в тексте эта команда будет уже без объяснения.

УПРАВЛЕНИЕ ПРАВИЛАМИ

тут мы научимся создавать правила доступа.

Примечание: ниже не указывается зона, в которую добавляется правило. в этом случае правило добавляется в зону по умолчанию (public, если она не была изменена руками). Правило можно применить для любой другой зоны. Для этого необходимо добавить в команду —zone=*имя зоны*

разрешить созданную нами выше службу:

▏firewall-cmd —permanent —add-service=my_app
▏firewall-cmd —reload

удалить службу из разрешённых:

▏firewall-cmd —permanent —remove-service=my_app
▏firewall-cmd —reload

разрешить порт:

▏firewall-cmd —permanent —add-port=6956/tcp
▏firewall-cmd —reload

удалить порт:

▏firewall-cmd —permanent —remove-port=6956/tcp
▏firewall-cmd —reload

проброс порта на другой порт на локальной машине:

▏firewall-cmd —add-forward-port=port=22 ▏892:proto=tcp:toport=22
▏firewall-cmd —reload

настроить сеть NAT:

▏sudo firewall-cmd —add-masquerade
▏firewall-cmd —reload

после настройки NAT можно пробросить порт на другую машинку в сети:

▏firewall-cmd —add-forward-port=port=22 ▏892:proto=tcp:toport=22:toaddr=172.21.0.7
▏firewall-cmd —reload

РАСШИРЕННЫЕ ПРАВИЛА

опция -rich-rule позволяет создавать правила с условиями.

Например, разрешаем службу http для подсети 172.20.0.0:

▏firewall-cmd —permanent —add-rich-rule ‘rule family=»ipv4″ ▏source address=»172.20.0.0/24″ service name=»http» accept’

Или для конкретного порта:

▏firewall-cmd —permanent —add-rich-rule ‘rule family=»ipv4″ ▏source address=»172.20.0.0/24″ port port=»3694″ protocol=»tcp» accept’

Список правил с условиями можно отобразить командой:

▏firewall-cmd —list-rich-rules

ВОЗМОЖНЫЕ ПРОБЛЕМЫ

Ошибка: «firewall-cmd: command not found»
Причина: не установлен пакет firewalld
Решение: установить пакет firewalld и запустить службу:
▏yum install firewalld
▏systemctl start firewalld

Проблема: Не применяются правила
Причина: не была применена новая конфигурация после внесения изменений.
Решение: применить конфигурацию:
▏firewall-cmd —reload

Ошибка при добавлении IP-адреса в зону: Error: ZONE_CONFLICT:
Причина: IP-адрес уже состоит в другой зоне.
Решение: сначала удалить адрес из зоны, в которой он состоит с помощью команды:
firewall-cmd —permanent —zone=*зона с IP* —remove-source=*IP*