So richten Sie eine Firewall mit firewalld unter Rocky Linux 9 ein

von

Einrichten einer Firewall mit firewalld unter Rocky Linux 9

Einführung

Eine Firewall ist ein entscheidender Bestandteil für die Sicherheit jedes Netzwerks und Servers. Sie agiert als Schutzmechanismus, indem sie den Datenverkehr im Netzwerk kontrolliert und nur legitimen Verkehr durchlässt. Rocky Linux 9 verwendet standardmäßig firewalld, einen dynamischen und anpassungsfähigen Firewall-Dienst, der weitreichende Kontrolle über den Netzwerkverkehr ermöglicht. In dieser Anleitung erklären wir Schritt für Schritt, wie Sie firewalld unter Rocky Linux 9 konfigurieren und aktivieren, um Ihr System zu schützen.

Grundlegendes zu firewalld

firewalld ist ein modernes Werkzeug zur Firewall-Verwaltung, das auf dem Prinzip der Zonen basiert. Es erlaubt die Definition von verschiedenen Netzwerkzonen, die jeweils eigene Sicherheitsrichtlinien für den Datenverkehr haben. Sie können beispielsweise separate Zonen für vertrauenswürdige Heimnetzwerke, öffentliche Netze und den administrativen Zugriff definieren. Jede dieser Zonen kann unterschiedliche Regeln und Einschränkungen haben.

Vorteile von firewalld

  • Unkomplizierte Einrichtung und Handhabung: firewalld bietet eine leicht verständliche Schnittstelle und klare Befehle, die die Konfiguration und Verwaltung der Firewall vereinfachen.
  • Anpassbare Sicherheitsregeln: Sie können differenzierte Regeln aufstellen, um den Datenverkehr basierend auf Kriterien wie Herkunft, Ziel, Port und Protokoll zu filtern.
  • Dynamische Anpassung: firewalld unterstützt dynamische Richtlinien, die sich automatisch an Änderungen in der Netzwerkumgebung anpassen.
  • Verbesserte Sicherheit: firewalld beinhaltet verschiedene Sicherheitsfeatures, wie die Unterstützung für IP-Sets und die Möglichkeit, Dienste zu blockieren, die an bestimmte Ports gebunden sind.

Schrittweise Anleitung zur firewalld-Konfiguration

1. Status von firewalld überprüfen

Vor Beginn der Konfiguration sollte geprüft werden, ob der firewalld-Dienst aktiv ist:


sudo systemctl status firewalld

Sollte firewalld inaktiv sein, starten Sie den Dienst mit:


sudo systemctl start firewalld

2. Installation von firewalld

firewalld ist üblicherweise in Rocky Linux 9 bereits installiert. Ist dies nicht der Fall, können Sie es mit dem folgenden Befehl nachinstallieren:


sudo dnf install firewalld

3. Aktivieren des firewalld-Dienstes

Damit firewalld bei jedem Systemstart automatisch aktiviert wird, verwenden Sie diesen Befehl:


sudo systemctl enable firewalld

4. Definition der Firewall-Zonen

Firewalld nutzt das Konzept von Zonen, um Netzwerkverkehr zu kategorisieren. Die Standardzonen sind:

  • public: Für öffentlichen Internetverkehr.
  • internal: Für interne Netzwerke.
  • dmz: Für eine demilitarisierte Zone.
  • work: Für Arbeitsumgebungen.
  • home: Für Heimnetzwerke.
  • external: Für externe Netzwerke.
  • block: Blockiert sämtliche eingehenden Verbindungen.

5. Verwaltung von Firewall-Regeln

Firewall-Regeln lassen sich über diverse Befehle erstellen und ändern. Hier einige wichtige Beispiele:

  • firewall-cmd –permanent –add-rich-rule=’rule family=“ipv4″ source address=“192.168.1.0/24″ accept‘ – Erlaubt alle Verbindungen aus dem Netzwerk 192.168.1.0/24.
  • firewall-cmd –permanent –add-service=http – Erlaubt den HTTP-Dienst (Port 80).
  • firewall-cmd –permanent –add-port=22/tcp – Erlaubt den SSH-Dienst (Port 22).
  • firewall-cmd –reload – Lädt die Firewall-Konfiguration neu.

6. Erlauben bestimmter Dienste

Um Dienste oder Ports zu erlauben, nutzen Sie die Befehle --add-service oder --add-port. Nehmen wir an, Sie wollen den HTTP-Dienst zulassen:


sudo firewall-cmd --permanent --add-service=http

Um diese Änderungen zu aktivieren, laden Sie die Firewall neu:


sudo firewall-cmd --reload

7. Blockieren bestimmter Dienste

Ähnlich wie beim Erlauben können Sie Dienste mit --remove-service oder --remove-port blockieren. Zum Beispiel, um den SSH-Dienst zu blockieren:


sudo firewall-cmd --permanent --remove-service=ssh

8. Anzeigen der aktuellen Firewall-Regeln

Um die derzeit aktiven Firewall-Regeln einzusehen, nutzen Sie den Befehl firewall-cmd --list-all:


sudo firewall-cmd --list-all

9. Deaktivieren von firewalld (bei Bedarf)

Sollten Sie firewalld deaktivieren wollen, nutzen Sie folgende Befehle:


sudo systemctl stop firewalld
sudo systemctl disable firewalld

Fazit

firewalld ist ein effektives und benutzerfreundliches Werkzeug zur Firewall-Verwaltung, welches die Sicherheit von Rocky Linux 9 erhöht. Mit seinem zonenbasierten Ansatz und flexiblen Regelwerk können Sie den Netzwerkverkehr effizient steuern und unerwünschte Verbindungen unterbinden. Die in diesem Artikel erläuterten Schritte ermöglichen es Ihnen, eine sichere Firewall unter Rocky Linux 9 einzurichten.

Häufig gestellte Fragen (FAQs)

  • Kann ich firewalld über eine grafische Oberfläche verwalten? Ja, es gibt verschiedene grafische Werkzeuge zur Verwaltung von firewalld, wie „Firewalld Config“ oder „GNOME Firewall“.
  • Wie werden firewalld-Regeln dauerhaft aktiviert? Fügen Sie der Regel den Parameter --permanent hinzu.
  • Welche Firewall-Regeln sollte ich standardmäßig aktivieren? Dies hängt von Ihrer Umgebung und den Sicherheitsanforderungen ab. Es ist jedoch empfehlenswert, mindestens die Regeln für SSH und HTTP zu aktivieren, wenn diese Dienste genutzt werden.
  • Wie kann der Netzwerkverkehr pro Anwendung gefiltert werden? Verwenden Sie die Befehle --add-rich-rule oder --add-service und geben Sie die Namen der Anwendungen oder die zugehörigen Ports an.
  • Kann firewalld für unterschiedliche Netzwerkschnittstellen konfiguriert werden? Ja, dies ist möglich, indem Sie den Parameter --zone nutzen.
  • Was sind IP-Sets? IP-Sets sind Gruppen von IP-Adressen, mit denen Sie Firewall-Regeln vereinfachen und effizienter gestalten können.
  • Wie kann ich Firewall-Regeln debuggen? Analysieren Sie die Firewall-Protokolle, um detaillierte Informationen über den Netzwerkverkehr und die Entscheidungen der Firewall zu erhalten.
  • Kann ich Firewall-Regeln testen, bevor ich sie produktiv einsetze? Ja, verwenden Sie den Befehl firewall-cmd --test, um Regeln vor der dauerhaften Aktivierung zu testen.

Tags: Rocky Linux, Firewall, Firewalld, Sicherheit, Netzwerk, Konfiguration, Regeln, Firewall-Zonen, Dienste, Ports, IP-Sets, Debugging