firewalld is a Firewall management tool for Linux

Beschreibung

It provides firewall features by acting as a front-end for the Linux kernel's netfilter framework via the nftables userspace utility (before v0.6.0 iptables backend), acting as an alternative to the nft command line program.

The name firewalld adheres to the Unix convention of naming system daemons by appending the letter "d".

firewalld is written in Python.

It was intended to be ported to C++, but the porting project was abandoned in January 2015

Features

firewalld supports both IPv4 and IPv6 networks and can administer separate firewall zones with varying degrees of trust as defined in zone profiles.

Administrators can configure Network Manager to automatically switch zone profiles based on known Wi-Fi (wireless) and Ethernet (wired) networks, but firewalld cannot do this on its own.

Services and applications can use the D-Bus interface to query and configure the firewall.

firewalld supports timed rules, meaning the number of connections (or "hits") to a service can be limited globally.
There is no support for hit-counting and subsequent connection rejection per source IP; a common technique deployed to limit the impact of brute-force hacking and distributed denial-of-service attacks.

firewalld's command syntax is similar to but more verbose than other iptables front-ends like Ubuntu's Uncomplicated Firewall (ufw).

The command-line interface allows managing firewall rulesets for protocol, ports, source and destination; or predefined services by name.

Services are defined as XML files containing port- and protocol-mappings, and optionally extra information like specifying subnets and listing required Kernel helper modules.

The syntax resembles that of systemd's service files.

A simple service file for a web server listening on TCP port 443 might look like this:

<source lang="xml">
<?xml version="1.0" encoding="utf-8"?>
<service>
  <short>Web Server</short>
  <description>Public web host over HTTPS.</description>
  <port port="443" protocol="tcp" />
</service>
</source>

Limitations

Firewalld currently does not support outbound rules to the same capacity of inbound rules.

Limitations include things such on ipsets, service names, and default outbound block by default rules required by standards such as NIST 800-171 and 800-53.
Default block all needs to be done at the "raw" IPTables level via the --direct flag, and with the order of operations FirewallD uses to prioritize Rrules, rich rules, direct rules, it may be easier to enter all rules for outbound via --direct or use iptables (netfilter-persist)

Graphical front-ends (GUIs)

firewall-config

is a graphical front-end that is optionally included with firewalld, with support for most of its features.

firewall-applet

is a small status indicator utility that is optionally included with firewalld.

It can provide firewall event log notifications as well as a quick way to open firewall-config.
firewall-applet was ported from the GTK+ to the Qt framework in the summer of 2015 following the GNOME Desktop’s deprecation of system tray icons.

Adoption

firewalld ships by default on the following Linux distributions

CentOS 7 and newer
Fedora 18 and newer
Red Hat Enterprise Linux 7 and newer
OpenSUSE Leap 15 and newer^[1]
SUSE Linux Enterprise 15 and newer^[1]

firewalld is enabled by default in all of these distributions.

firewalld is also available as one of many firewall options in the package repository of many other popular distributions such as Debian or Ubuntu.

Installation

Anwendungen

Firewall konfigurieren mit firewalld

CentOS (7) bringt mit firewalld eine einfach zu konfigurierende Firewall mit.
Im Gegensatz zu UFW unter Ubuntu ist die Firewall unter Centos 7 von Anfang an aktiv.
Sie unterstützt IPv4 und IPv6 als auch unterschiedliche Zonen für unterschiedliche Interfaces.
Wird einem Interface beispielsweise
die Zone "home" zugewiesen, werden alle eingehenden Verbindungen angenommen.
Wird die Zone "public" zugewiesen, werden keine eingehenden Verbindungen angenommen, außer diese wurden explizit zugelassen.
Für einen Server im Internet ist somit die Zone "public" die geeignete.
Um zu überprüfen ob die Firewall bereits aktiv ist wird folgender Befehl als root ausgeführt

# systemctl status firewalld

wenn die Firewall aktiv ist, erhält man eine Ausgabe wie die folgende:

Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled)
Active: active (running) since So 2014-08-31 09:23:48 CEST; 14min ago
Main PID: 539 (firewalld)
CGroup: /system.slice/firewalld.service
└─539 /usr/bin/python -Es /usr/sbin/firewalld --nofork --nopid
Aug 31 09:23:48 centos systemd[1]: Started firewalld - dynamic firewall daemon.

Ist der Dämon nicht aktiv, kann er mit

# systemctl start firewalld

gestartet werden.

Konfiguriert wird die Firewall mit dem Kommando firewall-cmd und den entsprechenden Optionen.
Damit eine Änderung dauerhaft ist, und nicht nach einenm Neustart verloren geht, muss immer die Option -permanent verwendet werden.

Um herauszufinden welche Zone(n) gerade aktiv sind führt man folgenden Befehl aus:

# firewall-cmd --get-active-zones

und erhält beispielsweise

folgende Ausgabe

# firewall-cmd --get-active-zones
public
interfaces: eth0

Dies bedeutet, dass dem Interface eth0 die Zone public zugewiesen ist.

Bei einem Server mit nur einem Netzwerkinterface ist das in den meisten Fällen die sinnvollste Einstellung.
Eine Liste mit allen verfügbaren Zonen erhält man mit:

firewall-cmd --get-zones

block dmz drop external home internal public trusted work

Die Standard Zone kann folgendermaßen geändert werden, in diesem Fall beispielsweise

auf "home"

# firewall-cmd --set-default-zone=home
success

Damit die Änderung auch nach einem Neustart noch funktioniert muss, wie oben beschrieben ein -permanent angehängt werden

# firewall-cmd --set-default-zone=home --permanent
success

Dienste welche Verbindungen annehmen dürfen werden immer einer Zone zugewiesen.

Firewalld kommt mit vorkonfigurierten Diensten, von denen mache schon aktiv sind, z.B SSH auf Port 22.
Die Konfiguration der Zone public erhält man mit:

firewall-cmd --zone=public --list-all

public (default, active)
interfaces: eth0
sources:
services: dhcpv6-client ssh
ports:
masquerade: no
forward-ports:
icmp-blocks:
rich rules:

Die vorkonfigurierten Services sind unter /usr/lib/firewalld/services gespeichert.

Eigene Services können unter /etc/firewalld/services hinzugefügt werden.
Wenn eine Datei in beiden Verzeichnissen vorhanden ist, wird die Datei in /etc/firewalld/services verwendet.
Einen neuen Service (in diesem Fall http, Port 80) kann man mit folgendem Befehl freigeben:

firewall-cmd --zone=public --add-service=http --permanent

success

Damit Änderungen aktiv werden muss immer die Konfiguration neu geladen werden

firewall-cmd --reload

success

Ruft man nun erneut die Konfiguration der Zone public auf sieht man dass der Service http hinzugefügt wurde

firewall-cmd --zone=public --list-all

public (default, active) interfaces: eth0 sources: services: dhcpv6-client http ssh ports: masquerade: no forward-ports: icmp-blocks: rich rules:

Entfernen kann man den Service wieder mit folgendem Befehl:

firewall-cmd --zone=public --remove-service=http --permanent

success

und anschließendem

firewall-cmd --reload

success

Natürlich ist es auch möglich einen Port für ein bestimmtes Protokoll freizugeben, ohne dafür einen Service zu konfigurieren.

In diesem Fall geben wir Port 443 für TCP frei.

firewall-cmd --zone=public --add-port=443/tcp --permanent

success

Aktiviert wird die Freigabe wieder mit

firewall-cmd --reload

success

Eine erneutes Anzeigen der Konfiguration der Zone public zeigt uns dass der Port freigegeben wurde

firewall-cmd --zone=public --list-all

public (default, active) interfaces: eth0 sources: services: dhcpv6-client http ssh ports: 443/tcp masquerade: no forward-ports: icmp-blocks: rich rules:

Entfernen kann man die Portfreigabe wieder mit

firewall-cmd --zone=public --remove-port=443/tcp --permanent

success

Aufruf

Optionen

Argumente

Umgebung

Rückgabewert

Konfiguration

Dateien

Sicherheit

Dokumentation

RFC

Man-Page

Info-Pages

Siehe auch

Links

Projekt

Weblinks

TMP1

Firewalld

Getestet mit openSUSE		Empfohlene Artikel		Verwandte Artikel
	Tumbleweed 15.2 15.1		Sicherheit		YaST Module Firewall

firewalld

Ein Service-Daemon für eine dynamische Firewall mit D-Bus-Schnittstelle

Download für openSUSE:

Tumbleweed
15.2
15.1
15.0

Hersteller: Fedora Project

Lizenz: GPL-2.0

Webseite: http://www.firewalld.org/

Funktion

Firewalld bietet eine dynamisch verwaltete Firewall mit Unterstützung für Netzwerk- und Firewall-Zonen, um die Vertrauensstufe von Netzwerkverbindungen oder Schnittstellen zu definieren. Sie unterstützt IPv4-, IPv6-Firewall-Einstellungen, Ethernet-Bridges und verfügt über eine Trennung von Laufzeit- und permanenten Konfigurationsoptionen. Sie unterstützt auch eine Schnittstelle für Dienste oder Anwendungen zum direkten Hinzufügen von Firewall-Regeln.

Das sind ein paar der Gründe, warum SuSEFirewall2 vollständig durch Firewalld ersetzt wurde und seit Leap 15.0 standardmäßig voreingestellt ist.

Features

Sie kann mit IPv4, IPv6 und Netzwerkbrücken "unter einem Dach" umgehen
Firewall-Regeln können dynamisch über D-Bus-Aufrufe mit Policykit-Authentifizierung geändert werden, ohne dass die gesamte Firewall neu geladen werden muss
Vollständig in den NetworkManager integriert
Grafisches Konfigurationswerkzeug: firewall-config und YaST2-Firewall Modul
Das Konfigurationswerkzeug für die Kommandozeilen ist firewall-cmd

Die Vordefinierte Zonen der Firewall verstehen

block – Alle eingehenden Netzwerkverbindungen werden abgelehnt. Nur vom System aus initiierte Netzwerkverbindungen sind möglich.
dmz – Klassische entmilitarisierte Zone (DMZ), die begrenzten Zugang zum LAN bietet und nur ausgewählte eingehende Ports zulässt.
drop – Alle eingehenden Netzwerkverbindungen werden gelöscht und nur ausgehende Netzwerkverbindungen erlaubt.
external – Nützlich für Verbindungen als Router. Benötigt auch LAN- und WAN-Schnittstellen für Masquerading (NAT), um korrekt zu arbeiten.
home – Nützlich für Heimcomputer wie Laptops und Desktops innerhalb des eigenen LANs, in dem anderen Computern vertraut werden kann. Lässt nur ausgewählte TCP/IP-Ports zu.
internal – Für interne Netzwerke, wenn den anderen Servern oder Computern im LAN vertraut werden kann.
public – Es wird anderen Computern und Servern im Netzwerk nicht vertraut. Nur erforderliche Ports und Dienste sind erlaubt. Wird meist für Cloud-Server oder Server, die bei gehostet werden, als öffentliche Zone verwendet.
trusted – Alle Netzwerkverbindungen werden akzeptiert. Diese Zone ist nicht für dedizierte Server oder VMs zu empfehlen, die mit dem WAN verbunden sind.
work – Für den Einsatz am Arbeitsplatz.

Der folgende Befehl zeigt alle verfügbaren Zonen in der Kommandozeile an, für eine grafische Umgebung siehe YaST Module Firewall:

firewall-cmd --get-zones

Weitere Beispiele

Die aktive Standard-Zone anzeigen, das ist in der Regel die Zone public:

firewall-cmd --get-default-zone

Die aktiven Firewall-Regeln und Dienste in der aktuellen Zone zeigt der folgende Befehl:

firewall-cmd --list-all

Möchte man die Firewall-Regeln und Dienste einer anderen Zone sehen, gibt man das als Option mit an:

firewall-cmd --list-services --zone=home

Um einen Dienst wie SSH kurzfristig der Firewall in der gewünschten Zone hinzuzufügen nimmt man:

firewall-cmd --zone=public --add-service=ssh

Dabei sollte man nicht vergessen zu überprüfen, ob der entsprechende Dienst auch bereit und gestartet ist, bevor man versucht, von einem entfernten System aus, auf den Dienst zuzugreifen:

systemctl status sshd
systemctl restart sshd

Sobald die Firewall mit der Optioen --reload neu geladen wird, ist der Dienst wieder aus den Firewall-Regeln entfernt. Um einen Service wie SSH permanent hinzuzufügen, fügt man noch die entsprechende Option an und lädt die Firewall neu:

firewall-cmd --zone=public --add-service=ssh --permanent
firewall-cmd --reload

Um herauszufinden, ob das geklappt hat, kann man den Befehl überprüfen:

firewall-cmd --list-services --permanent

Einen Überblick, welche Dienste von der Firewall unterstützt werden, erhält man mit:

firewall-cmd --get-services

Man kann einen Dienst auch wieder entfernen:

firewall-cmd --zone=public --remove-service=ssh --permanent

Die Befehle, um einzelne Ports zu öffnen, aufzulisten und wieder zu löschen lauten:

firewall-cmd --zone=public --add-port=22/tcp --permanent
firewall-cmd --reload
firewall-cmd --zone=public --list-ports
firewall-cmd --zone=public --remove-port=22/tcp --permanent
firewall-cmd --reload

Man kann auch den Zugriff auf einzelne Ports, wie hier auf SSH, mit einer Rich-Rule nur von bestimmten IP-Adressen aus zu lassen:

firewall-cmd --permanent --zone=public --add-rich-rule 'rule family="ipv4" source address="192.168.178.10" port port=22 protocol=tcp accept'
firewall-cmd --reload
firewall-cmd --zone=public --list-rich-rules
# Und wieder löschen:
firewall-cmd --permanent --zone=public --remove-rich-rule 'rule family="ipv4" source address="192.168.178.10" port port=22 protocol=tcp accept'

Die Beispiele zeigen nur das Grundkonzept von Firewalld. Weitere Informationen können in der offiziellen Firewalld-Dokumentation gefunden werden.

Dokumentation

Hauptdokumentation: http://www.firewalld.org/documentation/
Grafisches Konfigurationsmodul: http://www.firewalld.org/documentation/utilities/firewall-config.html
Wiki-Dokumentationsseite: https://fedoraproject.org/wiki/FirewallD

Firewalld RPM-Paketierungsrichtlinien

Wenn die Service-Dateien von firewalld zusammen mit RPM paketiert werden sollen, sollte man die Seite Firewalld/RPM_Paketierung beachten.

Migration von SuSEfirewall2

Die Migration von einer Firewall-Lösung zu einer anderen ist kein trivialer Prozess und der Wechsel von SuSEfirewall2 zu Firewalld ist nicht anders. Ein einfaches Skript soll aber helfen, die Migration so reibungslos wie möglich zu gestalten. Abhängig von der eigenen Konfiguration erledigt das Skript erfolgreich seine Arbeit oder macht im Fall eines Fehlers einfach gar nichts. Das Paket heißt susefirewall2-to-firewalld und man kann es folgendermaßen installieren:

zypper install susefirewall2-to-firewalld
susefirewall2-to-firewalld

Bitte die Seite README beachten, bevor man das Skript zum ersten Mal ausführt. Das Skript wird unter GitHub betreut, so dass Bugs oder Pull Requests zuerst dort berichtet werden sollten.

Fehlerbehebung

Das Firewalld-Modul startet nach einem Upgrade von Tumbleweed nicht

Speziell beim Upgrade von Tumbleweed Snapshots und von SuSEfirewall2 nach Firewalld, kann es passieren, dass die neue Firewall sich nicht sofort aktiviert. Es ist möglich, dass Firewalld zwar gestartet wurde, sich aber nicht mit der entsprechenden Schnittstelle verbinden kann.

Um Firewalld zu aktivieren und SuSEfirewall2 auszuschalten, öffnet man in Yast die Dienste-Verwaltung und aktiviert den Dienst. Dazu öffnet man entweder das Yast Kontrollzentrum oder man führt den folgenden Befehl in der Kommandozeile aus:

yast2-services-manager

Anschließend sucht man nach firewalld und startet und aktiviert den Dienst.

Dann SuSEfirewall2, SuSEfirewall2_init und SuSEfirewall2_setup stoppen, deaktivieren und mit OK beenden.

Möglicherweise wird ein Dialogfeld mit einer Warnung angezeigt, dass das Schreiben der Konfigurationsdatei fehlgeschlagen sei. Dann wählt man einfach "Weiter", um den Vorgang abzuschließen.

Jetzt sollte das Firewalld-Modul normal funktionieren.

Siehe auch

SuSEfirewall2

Externe Links

https://fedoraproject.org/wiki/FirewallD
https://www.digitalocean.com/community/tutorials/how-to-set-up-a-firewall-using-firewalld-on-centos-7

↑ ^1,0 ^1,1 https://en.opensuse.org/Firewalld

[SUSE-1] 1,0 ^1,1 https://en.opensuse.org/Firewalld

[1]