FirewallD: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
(Die Seite wurde neu angelegt: „= Links = * Virt-Manager = Einleitung = firewalld ist eine Firewall-Software, die mit iptables oder nftables arbeiten kann. Sie arbeitet auch mit Virt-M…“) |
|||
(4 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
Zeile 1: | Zeile 1: | ||
= Links = | = Links = | ||
* [[ | * [[VirtManager]] | ||
* Tutorial: https://www.rootusers.com/how-to-use-firewalld-rich-rules-and-zones-for-filtering-and-nat/ | |||
= Einleitung = | = Einleitung = | ||
firewalld ist eine Firewall-Software, die mit iptables oder nftables arbeiten kann. Sie arbeitet auch mit [[Virt-Manager]] zusammen (wenn iptables genutzt werden). | firewalld ist eine Firewall-Software, die mit iptables oder nftables arbeiten kann. Sie arbeitet auch mit [[Virt-Manager]] zusammen (wenn iptables genutzt werden). | ||
= Konzept der Zonen = | |||
* Zonen sind AdressbBereiche, denen Regeln, Dienste, Ports und Protokolle zugeordnet werden. | |||
* Bei eingehenden Verbindungen: gehört das Ziel zu einer Zone, werden dessen Regeln angewendet, ansonsten die "default zone" | |||
= Installation = | = Installation = | ||
Zeile 12: | Zeile 18: | ||
FirewallBackend=iptables | FirewallBackend=iptables | ||
</pre> | </pre> | ||
= Konfiguration = | |||
* Vordefinierte Zonen, Services...: /usr/lib/firewalld | |||
* Selbst definierte Zonen, Services...: /etc/firewalld | |||
= Kommandos = | = Kommandos = | ||
<pre> | |||
firewall-cmd --list-all-zones | |||
firewall-cmd --list-all-zones --zone=home | |||
firewall-cmd --get-active-zone | |||
# public | |||
# interfaces: eth0 | |||
# neue Zone anlegen: | |||
firewall-cmd --permanent --new-zone=vmnet | |||
# Netz zuweisen | |||
firewall-cmd --permanent --zone=vmnet --add-source=10.10.10.0/24 | |||
# Unbedingt so lassen, sonst wird SSH ausgesperrt, wenn default zone ein Masquerading enthält | |||
firewall-cmd --set-default-zone=public | |||
# NAT einrichten: | |||
firewall-cmd --permanent --zone=vmnet --add-masquerade | |||
firewall-cmd --permanent --zone=vmnet --query-masquerade | |||
firewall-cmd --permanent --zone=vmnet --add-forward-port=port=22:proto=tcp:toport=10122:toaddr=10.0.0.101 | |||
firewall-cmd --permanent --zone=vmnet --query-forward-port=port=22:proto=tcp:toport=10122:toaddr=10.0.0.101 | |||
</pre> | |||
== Voller Zugriff für ein Netzwerk == | == Voller Zugriff für ein Netzwerk == | ||
geht nicht! | |||
<pre> | <pre> | ||
firewall-cmd --permanent --direct --passthrough ipv4 -I FORWARD -i bridge0 -j ACCEPT | firewall-cmd --permanent --direct --passthrough ipv4 -I FORWARD -i bridge0 -j ACCEPT |
Aktuelle Version vom 13. Oktober 2019, 10:09 Uhr
Links[Bearbeiten]
- VirtManager
- Tutorial: https://www.rootusers.com/how-to-use-firewalld-rich-rules-and-zones-for-filtering-and-nat/
Einleitung[Bearbeiten]
firewalld ist eine Firewall-Software, die mit iptables oder nftables arbeiten kann. Sie arbeitet auch mit Virt-Manager zusammen (wenn iptables genutzt werden).
Konzept der Zonen[Bearbeiten]
- Zonen sind AdressbBereiche, denen Regeln, Dienste, Ports und Protokolle zugeordnet werden.
- Bei eingehenden Verbindungen: gehört das Ziel zu einer Zone, werden dessen Regeln angewendet, ansonsten die "default zone"
Installation[Bearbeiten]
apt install firewalld
in /etc/firewalld/conf:
FirewallBackend=iptables
Konfiguration[Bearbeiten]
- Vordefinierte Zonen, Services...: /usr/lib/firewalld
- Selbst definierte Zonen, Services...: /etc/firewalld
Kommandos[Bearbeiten]
firewall-cmd --list-all-zones firewall-cmd --list-all-zones --zone=home firewall-cmd --get-active-zone # public # interfaces: eth0 # neue Zone anlegen: firewall-cmd --permanent --new-zone=vmnet # Netz zuweisen firewall-cmd --permanent --zone=vmnet --add-source=10.10.10.0/24 # Unbedingt so lassen, sonst wird SSH ausgesperrt, wenn default zone ein Masquerading enthält firewall-cmd --set-default-zone=public # NAT einrichten: firewall-cmd --permanent --zone=vmnet --add-masquerade firewall-cmd --permanent --zone=vmnet --query-masquerade firewall-cmd --permanent --zone=vmnet --add-forward-port=port=22:proto=tcp:toport=10122:toaddr=10.0.0.101 firewall-cmd --permanent --zone=vmnet --query-forward-port=port=22:proto=tcp:toport=10122:toaddr=10.0.0.101
Voller Zugriff für ein Netzwerk[Bearbeiten]
geht nicht!
firewall-cmd --permanent --direct --passthrough ipv4 -I FORWARD -i bridge0 -j ACCEPT firewall-cmd --permanent --direct --passthrough ipv4 -I FORWARD -o bridge0 -j ACCEPT firewall-cmd --reload