Jump to content

Firewalld ustawienia


Drewny Drzew
 Share

Recommended Posts

Witam

Od jakiegoś czasu mam Fedorę 28, wcześniej ubuntu i debian. Jak wiadomo w fedorze jest firewalld.

Chciałem się troszke przeszkolić w tym firewallu. Na początek chciałem ogarnąć GUI

sudo firewall-config

Zobaczyłem że firewall jest podzielony na strefy. Moja domyślna strefa to public.

Nie mogę zrozumieć pewniej sprawy. Przejrzałem wszystkie strefy, żadna nie ma włączonej usługi HTTP oraz HTTPS a mimo to internet działa. Chciałem na chwilę (dla testów) wyłączyć cały ruch i po kolei włączać poszczególne porty.

komenda

sudo firewall-cmd --list-port

nic nie zwraca

sudo firewall-cmd --list-services
Zwraca

ssh mdns dhcpv6-client

ssh to port 22, mdns to port udp 5353 a dhcpv6-client to port 546.

czyli w dalszym ciągu nie zlokalizowałem otwartego portu 80 443

Kolejna sprawa , jak sprawdzić w gui oraz firewall-cmd jaka jest polityka na pakiety przychodzące, wychodzące itd.

np. w iptables jest tak

iptables -P OUTPUT ACCEPT
iptables -P INPUT DROP

nie mogę tego znaleźć w firewalld.

 

Pomoże ktoś troszkę zrozumieć tego firewalla? Z góry dzięki

Link to comment
Share on other sites

Firewall to nie jest coś co można wytłumaczyć w kilku zdaniach. http://lmgtfy.com/?q=linux+firewalld+podstawy Z firewalld (powiedzmy "następca" iptables w Fedorze) jest jeszcze trudniej.

Co do http(s) to włączasz, gdy wystawiasz webserwer. Z kolei współpracę z internetem zapewnia polecenie przepuszczające połączenia, których Ty jesteś inicjatorem (to jest bardzo-mega-wielkie uproszczenie). Ponieważ Ty (Twoja przeglądarka) chcesz połączyć się z internetem, to wszelki ruch jest przepuszczany w tym niestety np.różne trojany, keyloggery i inne świństwa siedzące na "niegrzecznych" stronach jeśli postanowisz na nie wejść, coś kliknąć itp. :)

 

Link to comment
Share on other sites

Spróbuj sprawdzać firewalld "normalnie" czyli:

# iptables -L -v -n

Wtedy zobaczysz, że domyślnie jest stosowana stara sprawdzona reguła, chętnie stosowana przez wszystkich producentów routerów i oprogramowania zabezpieczającego, czyli "pozwól na wyjście (OUTPUT) wszędzie, we wszystkich protokołach i na wszystkie porty". Ot taki znak czasu.

Firewalld można się bawić dowolnie, ale trzeba to weryfikować poleceniem, które podałem wcześniej (bez hasha). Jeżeli ktoś woli analizować reguły w innym zapisie  to można przekierować do pliku wynik polecenia iptables-save, np:

# iptables-save > iptables-save.txt

Pozdrawiam

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

×
×
  • Create New...