FirewallD: Unterschied zwischen den Versionen

Aus Info-Theke
Zur Navigation springen Zur Suche springen
(Die Seite wurde neu angelegt: „= Links = * Virt-Manager = Einleitung = firewalld ist eine Firewall-Software, die mit iptables oder nftables arbeiten kann. Sie arbeitet auch mit Virt-M…“)
 
 
(4 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
= Links =
= Links =
* [[Virt-Manager]]
* [[VirtManager]]
* Tutorial: https://www.rootusers.com/how-to-use-firewalld-rich-rules-and-zones-for-filtering-and-nat/


= Einleitung =
= Einleitung =
firewalld ist eine Firewall-Software, die mit iptables oder nftables arbeiten kann. Sie arbeitet auch mit [[Virt-Manager]] zusammen (wenn iptables genutzt werden).
firewalld ist eine Firewall-Software, die mit iptables oder nftables arbeiten kann. Sie arbeitet auch mit [[Virt-Manager]] zusammen (wenn iptables genutzt werden).
= Konzept der Zonen =
* Zonen sind AdressbBereiche, denen Regeln, Dienste, Ports und Protokolle zugeordnet werden.
* Bei eingehenden Verbindungen: gehört das Ziel zu einer Zone, werden dessen Regeln angewendet, ansonsten die "default zone"


= Installation =
= Installation =
Zeile 12: Zeile 18:
FirewallBackend=iptables
FirewallBackend=iptables
</pre>
</pre>
= Konfiguration =
* Vordefinierte Zonen, Services...: /usr/lib/firewalld
* Selbst definierte Zonen, Services...: /etc/firewalld


= Kommandos =
= Kommandos =
<pre>
firewall-cmd --list-all-zones
firewall-cmd --list-all-zones --zone=home
firewall-cmd --get-active-zone
# public
#  interfaces: eth0
# neue Zone anlegen:
firewall-cmd --permanent --new-zone=vmnet
# Netz zuweisen
firewall-cmd --permanent --zone=vmnet --add-source=10.10.10.0/24
# Unbedingt so lassen, sonst wird SSH ausgesperrt, wenn default zone ein Masquerading enthält
firewall-cmd --set-default-zone=public
# NAT einrichten:
firewall-cmd --permanent --zone=vmnet --add-masquerade
firewall-cmd --permanent --zone=vmnet --query-masquerade
firewall-cmd --permanent --zone=vmnet --add-forward-port=port=22:proto=tcp:toport=10122:toaddr=10.0.0.101
firewall-cmd --permanent --zone=vmnet --query-forward-port=port=22:proto=tcp:toport=10122:toaddr=10.0.0.101
</pre>
== Voller Zugriff für ein Netzwerk ==
== Voller Zugriff für ein Netzwerk ==
geht nicht!
<pre>
<pre>
firewall-cmd --permanent --direct --passthrough ipv4 -I FORWARD -i bridge0 -j ACCEPT
firewall-cmd --permanent --direct --passthrough ipv4 -I FORWARD -i bridge0 -j ACCEPT

Aktuelle Version vom 13. Oktober 2019, 10:09 Uhr

Links[Bearbeiten]

Einleitung[Bearbeiten]

firewalld ist eine Firewall-Software, die mit iptables oder nftables arbeiten kann. Sie arbeitet auch mit Virt-Manager zusammen (wenn iptables genutzt werden).

Konzept der Zonen[Bearbeiten]

  • Zonen sind AdressbBereiche, denen Regeln, Dienste, Ports und Protokolle zugeordnet werden.
  • Bei eingehenden Verbindungen: gehört das Ziel zu einer Zone, werden dessen Regeln angewendet, ansonsten die "default zone"


Installation[Bearbeiten]

apt install firewalld

in /etc/firewalld/conf:

FirewallBackend=iptables

Konfiguration[Bearbeiten]

  • Vordefinierte Zonen, Services...: /usr/lib/firewalld
  • Selbst definierte Zonen, Services...: /etc/firewalld

Kommandos[Bearbeiten]

firewall-cmd --list-all-zones
firewall-cmd --list-all-zones --zone=home
firewall-cmd --get-active-zone
# public
#   interfaces: eth0

# neue Zone anlegen:
firewall-cmd --permanent --new-zone=vmnet
# Netz zuweisen
firewall-cmd --permanent --zone=vmnet --add-source=10.10.10.0/24
# Unbedingt so lassen, sonst wird SSH ausgesperrt, wenn default zone ein Masquerading enthält
firewall-cmd --set-default-zone=public
# NAT einrichten:
firewall-cmd --permanent --zone=vmnet --add-masquerade
firewall-cmd --permanent --zone=vmnet --query-masquerade
firewall-cmd --permanent --zone=vmnet --add-forward-port=port=22:proto=tcp:toport=10122:toaddr=10.0.0.101
firewall-cmd --permanent --zone=vmnet --query-forward-port=port=22:proto=tcp:toport=10122:toaddr=10.0.0.101

Voller Zugriff für ein Netzwerk[Bearbeiten]

geht nicht!

firewall-cmd --permanent --direct --passthrough ipv4 -I FORWARD -i bridge0 -j ACCEPT
firewall-cmd --permanent --direct --passthrough ipv4 -I FORWARD -o bridge0 -j ACCEPT
firewall-cmd --reload