Trabalhando com Firewalld : 2 – Configurando Zonas.

Este é o artigo 2 da série “Trabalhando com Firewalld“. Neste artigo iremos demonstrar como é realizada a configuração de zonas utilizando o Firewalld, tentaremos trazer a definição e a aplicação de suas configurações, ao final deste artigo você estará apto a trabalhar com configuração de zonas no Firewalld.


Considerações

Este artigo só faz sentido caso você tenha lido o artigo anterior ou já possuir conceitos de estruturação do Firewalld. Caso não possua este entendimento, sugiro fortemente que leia o artigo anterior antes de continuar.


Entendendo as Zonas no Firewalld

A zona de rede no Firewalld define o nível de confiança com as conexões de rede. Relação essa de “Muitos para um“, definindo que uma conexão somente pode fazer parte de uma zona, porém uma zona pode ter várias conexões de rede. Alguns recursos do firewall que podem ser ativos na zona são: Predefined services (Serviços Pré-definidos), Ports and protocols (Ports and protocols), ICMP blocks (Blocos ICMP), Masquerading (Mascaramento), Forward ports (Portas Avançadas), Rich language rules (Regras de linguagens ricas).

Por padrão o Firewalld já possui algumas zonas disponíveis,  classificadas de acordo com o nível de confiança padrão das zonas que são elas: drop, block, public, external, dmz, work, home, internal, trusted.

drop: Qualquer pacote de rede de entrada é descartado, não há resposta. Apenas conexões de rede de saída são possíveis.

block: Todas as conexões de rede recebidas são rejeitadas com uma icmp-host-prohibited mensagem para o IPv4 e icmp6-adm-prohibitedpara o IPv6. Apenas conexões de rede iniciadas dentro deste sistema são possíveis.

public: Para uso em áreas públicas. Você não confia nos outros computadores  e nem nas redes de forma que caso tenham acesso possam danificar seu computador. Somente conexões de entrada selecionadas são aceitas.

external: Para uso em redes externas com o mascaramento ativado especialmente para roteadores. Você não confia nos outros computadores  e nem nas redes de forma que caso tenham acesso possam danificar seu computador. Somente conexões de entrada selecionadas são aceitas.

dmz: Para computadores em sua zona desmilitarizada que são acessíveis publicamente com acesso limitado à sua rede interna. Somente conexões de entrada selecionadas são aceitas.

work: Para uso em áreas de trabalho. Você não confia nos outros computadores  e nem nas redes de forma que caso tenham acesso possam danificar seu computador. Somente conexões de entrada selecionadas são aceitas.

home: Para uso em áreas de origem.Você não confia nos outros computadores  e nem nas redes de forma que caso tenham acesso possam danificar seu computador. Somente conexões de entrada selecionadas são aceitas.

internal: Para uso em redes internas.Você não confia nos outros computadores  e nem nas redes de forma que caso tenham acesso possam danificar seu computador. Somente conexões de entrada selecionadas são aceitas.

trusted: Todas as conexões de rede são aceitas. Você confia nos outros computadores  e nas redes disponíveis.


Configurando Zonas

Agora que entendemos o conceito de zonas, vamos a prática! Será demonstrado aqui alguns comandos para o gerenciamento de zonas, iremos utilizar somente a ferramenta firewall-cmd, pois o intuito desta serie de artigos é demonstrar como gerenciar o Firewalld via linha de comando sem a necessidade de interface gráfica.

Obs: Como explicado no primeiro artigo desta serie, existe uma diferença entre comandos de “Tempo de Execução” e “Permanentes”. As configurações permanentes são representadas pelo parâmetro [–permanent].


Status e Reinicialização do Firewalld

1) Mostra o status do Firewalld.

firewall-cmd --state

2) Recarrega o Firewalld, conforme as definições permanentes.

firewall-cmd --reload

Vizualizar Zonas

1) Mostra zona ativa padrão.

 
firewall-cmd --get-default-zone 

2) Mostra zonas atualmente ativas com interfaces e fontes usadas nessas zonas. As zonas ativas são zonas que possuem uma ligação a uma interface ou origem.

firewall-cmd --get-active-zones

3) Mostra zonas predefinidas como uma lista separada por espaços.

firewall-cmd --permanent --get-zones
firewall-cmd --get-zones

4) Mostra o nome da zona no qual a interface está ligada ou sem zona.

firewall-cmd --permanent --get-zone-of-interface=eth0
firewall-cmd --get-zone-of-interface=eth0

5) Mostra informações sobre a zona informada.

firewall-cmd --permanent --info-zone=internal
firewall-cmd --info-zone=external

6) Mostrar descrição da zona especificada.

firewall-cmd --permanent --zone=zone --get-description

7) Mostrar breve descrição da zona.

firewall-cmd --permanent --zone=zone --get-short

8) Mostrar target de uma zona permanente.

firewall-cmd --permanent --zone=zone --get-target

9) Mostrar todas as informações de uma zone especifica, se a zona não for especificada será mostrado as informações da zona padrão.

firewall-cmd --permanent --zone=zone --list-all

Adicionar Zonas

1) Adicionar uma nova zona vazia, permanente ou não.

firewall-cmd --permanent --new-zone=zonateste
firewall-cmd --new-zone=zonateste

2) Adicione uma nova zona permanente a partir de um arquivo de zona preparado com uma substituição de nome opcional.

Obs: Você pode criar ou copiar um arquivo de zona em um dos diretórios de configuração. O diretório /usr/lib/firewalld/zones é usado para configurações padrão e o diretório /usr/etc/firewalld/zones(fallback) é usado para arquivos de configuração customizados e criados pelo usuário.

firewall-cmd --permanent --new-zone-from-file=file --name=zone

Alterar Zonas

1) Carregar configurações padrão de zona ou reportar erro NO_DEFAULTS.

firewall-cmd --permanent --load-zone-defaults=zone

2) Caminho de impressão do arquivo de configuração da zona.

firewall-cmd --permanent --path-zone=zone

3) Redefinir descrição para zona.

firewall-cmd --permanent --zone=zone --set-description=descrição

4) Redefinir descrição abreviada para zona.

firewall-cmd --permanent --zone=zone --set-short=descrição

5) Define o alvo de uma zona permanente. O target pode ser: default, ACCEPT, DROP, REJECT.

firewall-cmd --zone=zone --set-target=target

6) Definir outra zona como padrão.

firewall-cmd --set-default-zone=zone

Excluir Zonas

1) Excluir uma zona permanente existente.

firewall-cmd --permanent --delete-zone=zone

Conclusão

Através deste artigo foi possível demostrar de forma prática alguns dos principais comando para o gerenciamento de Zonas no Firewalld.

Se você gostou deste post e através dele pude lhe ajudar, o que acha de aproximarmos nosso contato? Siga meu blog e me adicione no Linkedin, aproveite para classificar algumas das minhas competências/recomendações, este simples gesto faz toda a diferença.

Att,
Rafael Oliveira
SysAdmin

Você pode compartilhar esse artigo.

Siga o Blog Via E-mail

Digite seu endereço de e-mail para assinar este blog e receber notificações de novas publicações por e-mail.

Junte-se a 46 outros assinantes

Sobre o Autor

Rafael Oliveira Maria - Linux

Rafael Oliveira

Bacharel em Sistemas de Informação, SysAdmin, Professor, Blogueiro e Entusiasta Linux.

Certificados:

LPIC-1-Large
LPIC-2
LinuxPlus Logo Certified
itil-foundation-digital-badge

Gostou do conteúdo? Ajude-me a manter o blog.

PicPay - Linux

Aceitamos pagamentos e doações via PicPay link picpay.me/rafaeloliveimar

Ficou com dúvida? Alguma Sugestão ou Elogio? Deixe seu comentário!