Test your skills on our all Hosting services and get 15% off!

Use code at checkout:

Skills
19.11.2024

Eine Einführung in Firewalld

Bei der Verwaltung der Serversicherheit ist eine robuste Hosting-Lösung unerlässlich, um sicherzustellen, dass Ihre Konfigurationen zuverlässig und effizient sind. Das Linux-VPS-Hosting von AlexHost bietet eine ideale Plattform für die Implementierung fortschrittlicher Sicherheitsmaßnahmen, wie z. B. dynamisches Firewall-Management mit Firewalld. Mit vollem Root-Zugriff, anpassbaren Ressourcen und hoher Leistung stellt AlexHost sicher, dass Sie die nötige Flexibilität und Stabilität haben, um Firewalld effektiv zu konfigurieren und zu verwalten.

Firewalld ist ein dynamisches Firewall-Management-Tool, das einen flexibleren Weg zur Verwaltung von Firewall-Einstellungen auf Linux-Systemen bietet. Es vereinfacht den Prozess der Konfiguration von Firewalls im Vergleich zu traditionellen Tools wie iptables und bietet eine benutzerfreundlichere Oberfläche bei gleichzeitiger Beibehaltung robuster Sicherheitsfunktionen. Firewalld ist standardmäßig auf mehreren Linux-Distributionen verfügbar, darunter Fedora, CentOS, Red Hat Enterprise Linux und andere. Dieses Handbuch bietet eine Einführung in Firewalld, seine Schlüsselkonzepte und seine effektive Nutzung.

Was ist Firewalld?

Firewalld ist eine Front-End-Schnittstelle für iptables und nftables, die den Firewall-Mechanismen in Linux-Systemen zugrunde liegen. Während diese traditionellen Tools die manuelle Erstellung und Verwaltung von Regeln erfordern, bietet Firewalld eine einfachere Möglichkeit, Firewall-Regeln dynamisch zu erstellen, zu ändern und zu verwalten. Sein Hauptvorteil liegt in der Möglichkeit, Einstellungen zu ändern, ohne den Firewall-Dienst neu starten oder aktive Netzwerkverbindungen unterbrechen zu müssen.

Schlüsselkonzepte in Firewalld

Bevor wir uns mit der Verwendung von Firewalld beschäftigen, ist es wichtig, einige Schlüsselkonzepte zu verstehen, die die Grundlage für seine Funktionsweise bilden.

1. Zonen

Zonen sind ein zentrales Konzept in Firewalld und repräsentieren verschiedene Vertrauensstufen für Netzwerkverbindungen. Jede Zone kann mit einem eigenen Satz von Firewall-Regeln konfiguriert werden, und Netzwerkschnittstellen können je nach ihren Sicherheitsanforderungen bestimmten Zonen zugewiesen werden.

Firewalld enthält mehrere vordefinierte Zonen, wie z. B.:

  • Öffentlich: Geeignet für den Einsatz in öffentlichen Bereichen wie Flughäfen und Cafés, in denen die Sicherheit oberste Priorität hat.
  • Privat: Wird für vertrauenswürdige Netzwerke verwendet, z. B. Ihr Heim- oder Büronetzwerk.
  • Vertrauenswürdig: Alle eingehenden Verbindungen sind erlaubt. Diese Einstellung sollte nur für besonders vertrauenswürdige Netzwerke verwendet werden.
  • Blockieren: Eingehende Verbindungen werden ohne Rückmeldung unterbrochen.
  • Verwerfen: Ähnlich wie Blockieren, aber der gesamte eingehende Datenverkehr wird stillschweigend verworfen.
  • Intern: Wird für vertrauenswürdige interne Netze verwendet und erlaubt lockere Firewall-Regeln.

Sie können auch benutzerdefinierte Zonen auf der Grundlage Ihrer spezifischen Anforderungen erstellen.

2. Dienste

Dienste in Firewalld stellen einen Satz vordefinierter Firewall-Regeln für bestimmte Netzwerkdienste dar, wie z. B. HTTP, FTP oder SSH. Anstatt Ports und Protokolle manuell zu konfigurieren, können Sie mit Firewalld Dienste mit einem einfachen Befehl aktivieren oder deaktivieren. Dies erleichtert die Verwaltung von Firewall-Regeln, ohne dass Sie jedes technische Detail des zugrunde liegenden Dienstes verstehen müssen.

3. Umfangreiche Regeln

Rich Rules sind erweiterte Regeln in Firewalld, die eine genauere Kontrolle über die Filterung des Datenverkehrs ermöglichen. Sie erlauben die Verwendung spezifischer Bedingungen wie IP-Adressen, Protokolle und Ports. Rich Rules sind nützlich, wenn Sie komplexere Konfigurationen benötigen, die über die standardmäßigen zonenbasierten Regeln hinausgehen.

4. Laufzeit vs. permanente Konfiguration

Firewalld erlaubt es Ihnen, Änderungen entweder zur Laufzeit oder permanent vorzunehmen. Änderungen zur Laufzeit werden sofort durchgeführt, gehen aber beim Neustart des Systems verloren, während permanente Änderungen über Neustarts hinweg bestehen bleiben.

  • Laufzeit-Konfiguration: Unmittelbar, aber temporär.
  • Permanente Konfiguration: Dauerhaft, wird aber erst nach einem Neuladen oder Neustart angewendet.

Diese Trennung ermöglicht es Ihnen, Änderungen zu testen, bevor Sie sie dauerhaft festschreiben.

Installation von Firewalld

Wenn Firewalld nicht standardmäßig auf Ihrem System installiert ist, können Sie es einfach mit dem Paketmanager Ihrer Linux-Distribution installieren. Zum Beispiel:

  • Auf RHEL/CentOS/Fedora:
    sudo yum install firewalld
  • Unter Debian/Ubuntu:
    sudo apt-get install firewalld

Starten Sie nach der Installation den Firewalld-Dienst und aktivieren Sie ihn für die Ausführung beim Start:

sudo systemctl start firewalld
sudo systemctl enable firewalld

Grundlegende Firewalld-Befehle

Hier sind einige gängige Firewalld-Befehle, um Ihnen den Einstieg zu erleichtern.

1. Firewalld-Status prüfen

Um zu überprüfen, ob Firewalld läuft, verwenden Sie:

sudo firewall-cmd --state

Wenn sie läuft, sehen Sie in der Ausgabe running .

2. Aktive Zonen auflisten

Um zu sehen, welche Zonen aktiv sind und welche Netzwerkschnittstellen ihnen zugewiesen sind, führen Sie aus:

sudo firewall-cmd --get-active-zones

3. Standardzone festlegen

Wenn Sie eine Standardzone für neue Netzwerkverbindungen festlegen möchten, können Sie dies mit tun:

sudo firewall-cmd --set-default-zone=public

4. Dienste zu einer Zone hinzufügen

Sie können einen Dienst (wie SSH oder HTTP) innerhalb einer Zone mit dem folgenden Befehl zulassen:

sudo firewall-cmd --zone=public --add-service=http

Um diese Änderung dauerhaft zu machen, verwenden Sie die Option –permanent:

sudo firewall-cmd --zone=public --add-service=http --permanent

5. Öffnen bestimmter Ports

Wenn Sie bestimmte Ports öffnen müssen, anstatt vordefinierte Dienste zu aktivieren, können Sie dies mit tun:

sudo firewall-cmd --zone=public --add-port=8080/tcp

Machen Sie es dauerhaft, indem Sie wie zuvor –permanent hinzufügen.

6. Dienste oder Ports entfernen

Um einen Dienst oder Port aus einer Zone zu entfernen, verwenden Sie die Befehle –remove-service oder –remove-port:

sudo firewall-cmd --zone=public --remove-service=http
sudo firewall-cmd --zone=public --remove-port=8080/tcp

Test your skills on our all Hosting services and get 15% off!

Use code at checkout:

Skills