Instalacja i konfiguracja Firewalld na Debianie

Administracja GNU/Linux Hits: 349

Wstęp

Szukasz solidnej zapory sieciowej dla swojego Debiana? Niezależnie czy korzystasz z najnowszej wersji Bookworm, czy stabilnych Bullseye lub Buster, warto poznać Firewalld. To wyjątkowe narzędzie wyróżnia się dynamicznym podejściem do zarządzania bezpieczeństwem, oferując możliwość dostosowania w czasie rzeczywistym – czego brakuje tradycyjnym rozwiązaniom jak iptables czy ufw. Ta elastyczność sprawia, że Firewalld jest popularnym wyborem dla użytkowników ceniących zarówno ochronę, jak i wygodę.

Dlaczego warto wybrać Firewalld?

  • Zarządzanie strefami: System stref w Firewalld skupia się na połączeniach z punktu widzenia użytkownika, odchodząc od operacji iptables na poziomie pojedynczych pakietów.
  • Błyskawiczne aktualizacje: Wprowadzone zmiany w Firewalld obowiązują natychmiast, bez konieczności restartu. W przeciwieństwie do iptables, gdzie ponowne uruchomienie usługi często przerywa aktywne połączenia.
  • Intuicyjne polecenia: Struktura poleceń Firewalld jest bardziej przystępna niż ufw, co ułatwia pracę zwłaszcza początkującym użytkownikom.
  • Rozbudowana dokumentacja: Obszerna dokumentacja i aktywna społeczność użytkowników zapewniają wsparcie i liczne zasoby.
  • Bezproblemowa integracja z Debianem: Połączenie dynamicznych możliwości Firewalld ze znaną stabilnością Debiana gwarantuje wyjątkowe doświadczenie zarówno dla użytkowników komputerów stacjonarnych, jak i administratorów serwerów.

Zarządzaj siecią efektywnie, rozumiejąc strefy Firewalld!

W systemie Debian, niezależnie czy korzystasz z wersji 12, 11 czy 10, "strefy" Firewalla definiują zasady ruchu sieciowego w oparciu o poziom zaufania do podłączonej sieci. Mogą się one wahać od publicznych, niezabezpieczonych połączeń po prywatne sieci domowe.

Przyjrzyjmy się bliżej tym strefom i ich znaczeniu:

Rola stref w Firewalld:

Firewalld działa w oparciu o koncepcję "stref".

  • "Strefa" w Firewalld to w zasadzie z góry określony zestaw reguł. Reguły te decydują, jaki typ ruchu sieciowego jest dozwolony, a jaki blokowany, w zależności od zaufania do sieci, w której znajduje się komputer.

Przykłady działania stref:

  • Strefa publiczna: Przeznaczona dla sieci w miejscach publicznych, takich jak kawiarnie czy lotniska. W takich środowiskach nie możesz ufać większości urządzeń, więc zasady są bardziej restrykcyjne, aby chronić Twój system.
  • Strefa domowa: Ta strefa zakłada bezpieczniejsze środowisko, takie jak Twoje domowe. Tutaj prawdopodobnie znasz wszystkie urządzenia, więc zasady są mniej surowe, umożliwiając większą komunikację między nimi.

Lista kilku typowych stref predefiniowanych w Firewalld:

  • Drop: Odrzuca wszystkie pakiety przychodzące bez odpowiedzi. Najbardziej restrykcyjna.
  • Block: Podobnie jak "Drop", ale wysyła odpowiedź odrzucenia do źródła.
  • Public: Dla publicznych, niezabezpieczonych sieci.
  • External: Używana, gdy Twój system działa jako brama lub firewall.
  • DMZ (Strefa zdemilitaryzowana): Dla komputerów w Twojej DMZ, oferuje ograniczony dostęp do odizolowanego komputera z Internetu.
  • Work: Dla środowisk pracy, w których ufasz wielu użytkownikom, ale nadal potrzebujesz środków ochronnych.
  • Home: Mniej restrykcyjne zasady dla środowisk domowych.
  • Internal: Dla wewnętrznych segmentów sieci publicznej lub prywatnej.
  • Trusted: Wszystkie połączenia sieciowe są akceptowane. Najmniej restrykcyjna.

Polecenia Firewalld w Debianie 12, 11 i 10:

W tej sekcji zagłębimy się w najczęściej używane polecenia Firewalld. Są one kluczowe do zarządzania i konfigurowania twojego systemu Firewalld, umożliwiając skuteczne zabezpieczenie środowiska Debian.

Składnia i opcje poleceń Firewalld:

Ogólna składnia poleceń Firewalld jest stosunkowo prosta. Poniżej omówimy składnię i opcje, aby lepiej je zrozumieć.

Po pierwsze, składnia poleceń firewalld wygląda następująco:

firewall-cmd [opcje] polecenie

Krótkie wyjaśnienie składników:

  • firewall-cmd: To główne polecenie używane do operacji Firewalld.
  • opcje: Te modyfikują działanie polecenia. Są opcjonalne i można je pominąć.
  • polecenie: Określa, jaką operację chcesz wykonać.

Jeśli chodzi o opcje, Firewalld oferuje ich całkiem sporo. Oto kilka często używanych:

  • --zone=strefa: Określa strefę, na której chcesz działać. Jeśli nie określono strefy, używana jest strefa domyślna.
  • --add-service=usługa: Dodaje określoną usługę do strefy. Zmiana ma natychmiastowy efekt, ale nie jest trwała po ponownym uruchomieniu, chyba że dodano --permanent.
  • --get-active-zones: Wyświetla wszystkie aktualnie aktywne strefy wraz z powiązanymi interfejsami.
  • --get-services: Wyświetla wszystkie dostępne usługi znane Firewalld.
  • --reload: Wczytuje ponownie konfigurację Firewalld, wdrażając wszelkie zmiany dokonane za pomocą --permanent bez konieczności ponownego uruchamiania systemu.

Krok 1: Aktualizacja systemu

Przed rozpoczęciem instalacji upewnij się, że Twój system jest zaktualizowany:

sudo apt update
sudo apt upgrade

Krok 2: Instalacja Firewalld

Jeśli Firewalld nie jest jeszcze zainstalowany, możesz go zainstalować za pomocą polecenia:

sudo apt install firewalld

Krok 3: Sprawdzenie instalacji

Po zainstalowaniu Firewalld możesz sprawdzić jego wersję za pomocą polecenia:

sudo firewalld --version

Krok 4: Uruchamianie Firewalld

Domyślnie Firewalld jest wyłączony. Aby go uruchomić, użyj polecenia:

sudo systemctl enable --now firewalld

Krok 5: Konfigurowanie stref

W Firewalld strefy definiują grupy interfejsów sieciowych o podobnym poziomie zaufania. Domyślnie istnieją trzy strefy:

  • public: Strefa publiczna dla interfejsów sieciowych połączonych z Internetem.
  • trusted: Strefa zaufana dla interfejsów sieciowych w wewnętrznej sieci.
  • dmz: Strefa zdemilitaryzowana dla interfejsów sieciowych pośredniczących między strefą publiczną a strefą zaufaną.

Możesz wyświetlić listę stref za pomocą polecenia:

sudo firewalld --get-zones

Możesz wyświetlić aktywną strefę:

sudo firewalld --get--active-zones

Aby zobaczyć jaka jest domyślna strefa:

sudo firewalld --get-default-zone

Aby dodać nową strefę, użyj polecenia:

sudo firewalld --new-zone=nazwa_strefy

Możesz również edytować istniejące strefy za pomocą polecenia:

sudo firewalld --edit-zone=nazwa_strefy

Krok 6: Otwieranie portów

Aby zezwolić na ruch na określonym porcie, musisz utworzyć regułę zapory. Na przykład, aby otworzyć port 80 (HTTP):

sudo firewalld --add-port=80/tcp --permanent

Możesz również otworzyć zakres portów:

sudo firewalld --add-port=80-85/tcp --permanent

Krok 7: Blokowanie adresów IP

Aby zablokować dostęp z określonego adresu IP, użyj polecenia:

sudo firewalld --add-rich-rule="source=192.168.1.100 reject" --permanent

Krok 8: Zapisywanie reguł

Wszystkie zmiany w konfiguracji Firewalld są zapisywane w katalogu/etc/firewalld/. Aby zmiany zostały zastosowane, musisz je ponownie załadować:

sudo firewalld --reload

Podsumowanie

W tym artykule pokazaliśmy, jak zainstalować i skonfigurować Firewalld na serwerze Debian. Firewalld to potężne narzędzie, które może zapewnić Twojemu serwerowi wysoki poziom bezpieczeństwa.

Dodatkowe informacje