Einleitung
firewalld ist ein CLI-Tool, das die Konfiguration von nftables mit sprechenden Befehlen vereinfacht. Auf RHEL-basierten Systemen wie Alma Linux ist es standardmäßig vorinstalliert und auch aktiv, unter Debian kann es nachträglich mit sudo apt install firewalld nachinstalliert werden.
Zonen
firewalld arbeitet mit Zonen. Es gibt vordefinierte Zonen, es können aber auch neue eigene Zonen mit eigenen Namen erstellt werden. Jede Zone enthält Regeln, die für die jeweilige Zone gelten sollen. Das umfasst Portfreigaben, Portweiterleitungen und vieles mehr. Zusätzlich ist für jede Zone eine Quelle (Source) definiert, die angibt für wen diese Zone gelten soll. Dort kann ein kompletter Netzwerkadapter angebeben werden, aber auch IP-Adressbereiche oder einzelne IP-Adressen sind möglich.
Eine Quelle kann sich immer nur in einer Zone befinden. So ist es zum Beispiel nicht möglich, die Quell-IP 192.168.0.10 in zwei unterschiedlichen Zonen anzugeben.
Für eine Quelle gilt immer die explizitere definierte Zone. Angenommen, in der Zone “public” ist als Quelle der Netzwerkadapter “eth0” angegeben, über den der komplette Traffic auf dem Server ankommt. In einer weiteren Zone “internal” ist als Quelle 192.168.0.0/24 angegeben. Obwohl der Traffic aus diesem Adressbereich ebenfalls über den Adapter “eth0” läuft, gelten für diese IP-Adressen nur die Regeln aus der Zone “internal”, für jeden anderen Traffic gelten die Regeln aus der Zone “public”.
Beispiel:
| Zonenname | Source | Ports |
|---|---|---|
| public | eth0 | 22 |
| internal | 192.168.0.0/24 | 22, 80, 443 |
| external | 192.168.0.10/32 | 10000 |
- Zone “public”: Diese Zone gilt für jeden Traffic, der auf dem Netzwerkadapter “eth0” ankommt. In diesem Beispiel ist nur der Port 22 freigegeben, es kann also jeder auf diesen Port zugreifen.
- Zone “internal”: Für diese Zone wurde als Quelle der Adressbereich 192.168.0.0/24 definiert. Damit gelten für alle IPs aus diesem Bereich jetzt nur die Regeln der Zone “internal”. Damit über diese Adressen auch weiterhin der Port 22 erreichbar bleibt, muss diese Freigabe explizit auch in dieser Zone hinterlegt werden. Zusätzlich können nur diese IPs auf die Ports 80 und 443 zugreifen.
- Zone “external”: Nur der einzelnen Adresse 192.168.0.10 wurde die Zone “external” zugewiesen. Damit ist für diese IP laut Beispiel nur der Port 10000 freigegeben. Angenommen es handelt sich um ein Laptop oder ähnliches, so kann nur dieser den Service auf Port 10000 erreichen, nicht aber auf SSH (22), HTTP (80) oder HTTPS (443) zugreifen.
Services
In firewalld sind viele bekannte und verbreitete Ports als “Services” hinterlegt. Möchte man zum Beispiel den SSH-Zugriff ermöglichen, muss nicht zwangsläufig der Port 22 angegeben werden, sondern man kann auch den Dienst “ssh” in einer Zone hinzufügen. Das ist im Endeffekt eine Art Alias für den eigentlichen Standardport des jeweiligen Dienstes. So kann man für 80 und 443 auch die beiden Dienste “http” und “https” hinzufügen.
Welche Dienste firewalld alle kennt, lässt sich über einen Befehl einsehen:
| |
Grundsätzliche Befehle
In den nachfolgenden Unterkapiteln kommen die wichtigsten Grundbefehle zur Einstellung der Firewall.
Vorab noch eine generelle Information: Die Befehle können sowohl mit dem Parameter --permanent angegeben werden, als auch ohne.
- Ohne --permanent: Die Änderung ist sofort aktiv, wird aber nicht gespeichert. Wird firewalld neu geladen, ist die Anpassung wieder verloren. Dies ist hilfreich wenn man neue Regeln erstmal testen möchte. Falls man sich versehentlich aussperrt, reicht im schlimmsten Fall ein Serverneustart, damit wieder alles wie vorher ist.
- Mit --permanent: Die Änderung wird permanent gespeichert, ist aber nicht sofort aktiv. Damit sie aktiv wird, muss danach noch der Befehl
sudo firewall-cmd --reloadausgeführt werden.
In den Unterkapiteln wird davon ausgegangen, dass alle Anpassungen permanent sein sollen.
Zonenverwaltung
firewalld bringt wie bereits erwähnt einige vordefinierte Zonen mit. Man kann sich alle vorhandenen Zonen anzeigen lassen:
| |
Dabei werden bei einer neuen Installation folgende Zonen ausgegeben:
| |
Ebenso kann man sich nur die Zonen anzeigen lassen, die aktuell auch wirklich genutzt werden, also bei denen auch eine Quelle angegeben ist:
| |
Per Standard ist unter Alma Linux der Netzwerkadapter des Systems bereits der Zone “public” zugeordnet. Die Einstellungen dieser Zone kann man sich ausgeben lassen:
| |
Dies führt zu folgender Ausgabe:
| |
Public ist als Standard-Zone festgelegt. Wird im Befehl keine Zone explizit angegeben, wird die Standard-Zone genutzt. Um die Definition der Zone “internal” einzusehen, müsste der obige Befehl also mit --zone=internal ergänzt werden.
Im Fall der Public-Zone sehen wir, dass der Netzwerkadapter eingetragen ist und die Services “cockpit”, “dhcpv6-client” und “ssh” standardmäßig freigegeben sind. Diese Dienste sind somit aktuell für alle freigegeben.
Die vordefinierten Zonen müssen nicht genutzt werden, es lassen sich auch komplett neue Zonen erstellen. Ich nutze gerne Zonennamen wie “revproxy” für alles, was nur der Reverse Proxy erreichen können soll oder “vpn” für alles, was nur für das VPN-Netz freigegeben wird. Bei der Erstellung einer neuen Zone sind keine Dienste per Default freigegeben, die sind komplett leer.
Neue Zone einrichten
Zur Erstellung einer neuen Zone, zum Beispiel der Zone “vpn”, reicht folgender Befehl:
| |
Die Erstellung einer neuen Zone muss immer mit --permanent erfolgen. Danach ist noch ein Reload notwendig, damit die neue Zone aktiv wird.
| |
Die neue Zone ist komplett leer. Für die IPs aus dem Subnetz 10.100.0.0/24 soll jetzt die Zone “vpn” gelten, also fügen wir dies entsprechend als Quelle hinzu:
| |
Anschließend wieder ein Reload, damit das ganze aktiv wird:
| |
Jetzt gilt für sämtlichen Traffic die Regeln der Zone “public”, nur für das Subnetz 10.100.0.0/24 gelten nur die Regeln aus der Zone “vpn”.
Service freigeben/sperren
Um zum Beispiel den Service “http” für die Zone “vpn” freizugeben, gibt es folgenden Befehl:
| |
Um ihn wieder zu entfernen:
| |
Port freigeben/sperren
Wenn es keinen passenden Service gibt oder man aus einem anderen Grund direkt die Portnummer angeben will, in diesem Beispiel der TCP-Port 10000, ist dies folgendermaßen möglich:
| |
Zum Entfernen:
| |
Port forwarding
Mit Firewalld ist es auch möglich, ein Port forwarding einzurichten. Beispielsweise hört ein Dienst nur lokal auf den Port (127.0.0.1:)44300, Port 443 soll nach außen geöffnet werden und der Traffic soll vollständig an 44300 weitergeleitet werden. Dann geht das, hier im Beispiel wieder für die Zone “vpn”, mit folgendem Befehl:
| |
Im --list-all-Befehl sieht das Ergebnis dann wie folgt aus:
| |
Um das wieder zu entfernen, muss wieder remove statt add genutzt werden:
| |
Abschluss
Dies sollte für den ersten Einstieg erstmal reichen, um die grundsätzlichen Einstellungen an der Firewall vornehmen zu können. Die komplette Beschreibung zu firewalld kann entweder über die Man-Pages oder auf der Homepage von RedHat eingesehen werden: RedHat Docs - Using firewalld