INT-firewalld konfiguration

From Datateknik
(Difference between revisions)
Jump to: navigation, search
(KONTROLLERA RESULTAT)
(Lägg till PING och TRACERT)
Line 33: Line 33:
  
 
* Ändra icmp-block-inversion till YES
 
* Ändra icmp-block-inversion till YES
 +
 
 
* Öppna för echo-request echo-reply och destination-unreachable  ENDAST
 
* Öppna för echo-request echo-reply och destination-unreachable  ENDAST
 +
    firewall-cmd --zone=kompisar --add-icmp-block=echo-request
 +
    firewall-cmd --zone=kompisar --add-icmp-block=echo-reply
 +
    firewall-cmd --zone=kompisar --add-icmp-block=destination-unreachable
 +
 +
Resultat
 +
  firewall-cmd --list-all-zones | grep -A 14 active
 +
 +
kompisar (active)
 +
  target: default
 +
  icmp-block-inversion: yes
 +
  interfaces:
 +
  sources: 193.10.128.0/17 2001:1:2::0/64
 +
  services: ssh
 +
  ports:
 +
  protocols:
 +
  masquerade: no
 +
  forward-ports:
 +
  sourceports:
 +
  icmp-blocks: destination-unreachable echo-reply echo-request
 +
  rich rules:
 +
 +
public (active)
 +
  target: default
 +
  icmp-block-inversion: no
 +
  interfaces: ens160
 +
  sources:
 +
  services: dhcpv6-client ssh
 +
  ports: 8000/tcp
 +
  protocols:
 +
  masquerade: no
 +
  forward-ports:
 +
  sourceports:
 +
  icmp-blocks:
 +
  rich rules:
 +
 
= KONTROLLERA RESULTAT =
 
= KONTROLLERA RESULTAT =
 
* Kontrollera att att en port (22) inte är definierad samtidigt som en service (ssh)<br>Det skall bara finnas ett "hål" i brandväggen per tjänst, inte två!
 
* Kontrollera att att en port (22) inte är definierad samtidigt som en service (ssh)<br>Det skall bara finnas ett "hål" i brandväggen per tjänst, inte två!

Revision as of 13:41, 19 May 2017

Nedanstående fungerar ej!

Contents

Skapa nya zoner

When adding a zone, you must add it to the permanent firewall configuration. You can then reload to bring the configuration into your running session. For instance, we could create the two zones we discussed above by typing:

   firewall-cmd --permanent --new-zone=kompisar
   firewall-cmd --permanent --new-zone=allihopa
   firewall-cmd --permanent --zone=drop --change-interface=ens160
 
   firewall-cmd --reload
   firewall-cmd --permanent --get-zones
   firewall-cmd --permanent --list-all-zones | grep -A 14 active

Lägg in vilka nät

 firewall-cmd --permanent --zone=kompisar --add-source="193.10.128.0/17"
 firewall-cmd --permanent --zone=kompisar --add-source="212.25.132.0/23"
 firewall-cmd --permanent --zone=kompisar --add-source="2001:0DB8::/32"
 firewall-cmd --reload
 firewall-cmd --permanent --list-all-zones | grep -A 14 active
  • Nytt kommando ?? firewallctl zone "home" --permanent add source "2001:0DB8::/32"

Lägg till tjänster

   sudo firewall-cmd --zone=kompisar --add-service=ssh
   sudo firewall-cmd --zone=allihopa --add-service=http
   sudo firewall-cmd --zone=allihopa --add-service=https
   firewall-cmd --runtime-to-permanent
  
   firewall-cmd --reload
   
   firewall-cmd --zone=kompisar --list-all
   firewall-cmd --zone=allihopa --list-all

Lägg till PING och TRACERT

  • Ändra icmp-block-inversion till YES
  • Öppna för echo-request echo-reply och destination-unreachable ENDAST
   firewall-cmd --zone=kompisar --add-icmp-block=echo-request 
   firewall-cmd --zone=kompisar --add-icmp-block=echo-reply
   firewall-cmd --zone=kompisar --add-icmp-block=destination-unreachable

Resultat

 firewall-cmd --list-all-zones | grep -A 14 active
kompisar (active)
 target: default
 icmp-block-inversion: yes
 interfaces:
 sources: 193.10.128.0/17 2001:1:2::0/64
 services: ssh
 ports:
 protocols:
 masquerade: no
 forward-ports:
 sourceports:
 icmp-blocks: destination-unreachable echo-reply echo-request
 rich rules:
public (active)
 target: default
 icmp-block-inversion: no
 interfaces: ens160
 sources:
 services: dhcpv6-client ssh
 ports: 8000/tcp
 protocols:
 masquerade: no
 forward-ports:
 sourceports:
 icmp-blocks:
 rich rules:

KONTROLLERA RESULTAT

  • Kontrollera att att en port (22) inte är definierad samtidigt som en service (ssh)
    Det skall bara finnas ett "hål" i brandväggen per tjänst, inte två!
  • iptables -v -L
  • ip6tables -v -L

Överkurs

firewall-cmd --direct --get-all-rules
ipv4 filter INPUT 0 -m state --state NEW -j LOG '--log-prefix=RobLog '
Personal tools
Namespaces

Variants
Actions
Navigation
Tools