Introducción a las reglas y zonas de firewall de Linux

En mi artículo anterior, "Guía para principiantes sobre firewalls en Linux", exploramos los aspectos básicos de la creación y la lista de servicios y puertos dentro de las zonas existentes. Si esto no te suena familiar, te recomiendo que leas este artículo anterior. Sin embargo, si es consciente de firewalld, firewalls basados ​​en zonas y reglas basadas en servicios/puertos, ha venido al lugar correcto. En este artículo, echamos un vistazo a tres características un poco más avanzadas de firewalld y cómo configurar cada uno. Entremos en ello.

Índice

Crear zonas personalizadas

Como se indicó anteriormente, los firewalls basados ​​en zonas necesitan zonas para funcionar. El objetivo es tener diferentes medidas de seguridad para áreas particulares de la red. Supongamos que necesitamos crear una nueva área llamada. Para ello, utilizamos el siguiente comando:

[[email protected] ~]# firewall-cmd --permanent --new-zone=enable_test
success

Este comando crea una nueva zona permanente titulada. Todavía no hay servicios ni puertos añadidos. Por lo tanto, no se permite la entrada o salida de tráfico. Si tiene un archivo de configuración que normalmente usa para las configuraciones de la zona del firewall, puede usarlo usando este comando:

[[email protected] ~]# firewall-cmd --permanent --new-zone-from-file=file --name=enable_test
success

Nota 1: Dentro --new-zone-from-file=file, = la ruta del archivo de configuración.

Nota 2: Al crear zonas, debe utilizar el --permanent bandera. Usted también debe --reload configuración para que se produzcan los cambios.

Asignar una interfaz

Ahora que hemos creado nuestra nueva zona, necesitamos asociar una interfaz de red con la zona. Si no lo hacemos, no podremos usar la nueva área. Lo asociaré con la interfaz. enp0s8.

Agregue la interfaz a la zona:

[[email protected] ~]# firewall-cmd --permanent --zone=enable_test --add-interface=enp0s8
success

Compruebe la asociación de la interfaz:

[[email protected] ~]# firewall-cmd --zone=enable_test --list-interfaces
enp0s8

Si necesita eliminar la interfaz:

[[email protected] ~]# firewall-cmd --remove-interface=enp0s8 --zone=enable_test 
success

Creación de reglas avanzadas

Ahora aquí es donde las cosas se ponen interesantes. Hay mucha flexibilidad en las reglas que puede crear con firewalld. No está limitado a simplemente "denegar este puerto", "permitir este servicio", etc. Puede crear reglas muy complejas para situaciones específicas. Estas reglas se llaman.

Algo que debe saber sobre las reglas de firewall: generalmente constan de dos partes:

  1. Condiciones que deben cumplirse antes de que la regla pueda ser promulgada.
  2. Acciones a realizar una vez cumplidas estas condiciones. Estas acciones son acepto, rechazar, y caer.

Supongamos que queremos crear una regla que diga algo como esto:

Rechazar todas las conexiones FTP del cliente Fedora 2 (172.25.1.7)

[[email protected] ~]# firewall-cmd --zone=enable_test --add-rich-rule="rule 
family="ipv4" 
source address=172.25.1.7 
service name=ftp 
reject 

La mayoría de estas opciones se explican por sí mismas; sin embargo, debe comenzar con la palabra clave rule. el family La opción indica el tipo de tráfico sobre el que aplicar la regla. Si no se especifica, utilizará paquetes IPv4 e IPv6 de forma predeterminada.

Necesitas más información ?

Como habrás adivinado, hay una gran cantidad de opciones para crear reglas aún más complejas. Asegúrese de revisar el documentación del cortafuegos para más información. Espero que esta mirada detrás de uno de nuestros telones más importantes haya sido una experiencia gratificante. Si bien los firewalls y los sistemas de seguridad son bastante complejos, en sus niveles más básicos son solo un conjunto de reglas, reglas diseñadas para no romperse.

Artículos de interés

Subir