Firewalld zur Absicherung des Servers

Ein nicht funktionierender Dienst hat mich heute daran erinnert, dass mein Server mit Firewalld geschützt ist. Die Firewall verschließt alle nicht explizit benötigten Ports unabhängig von der Konfiguration einzelner Services. Blöd nur, wenn man es vergisst und sich dann wundert, dass plötzlich keine Informationen abgerufen werden können. Als kleine Erinnerung nun dieser Popst mit den wichtigsten Kommandos für Firewalld.

Prüfen, ob der Dienst Firewalld läuft:

systemctl status firewalld

oder

firewall-cmd --state
running

Ausgabe der aktuellen Einstellungen:

firewall-cmd --list-all
public
target: default
icmp-block-inversion: no
interfaces:
sources:
services: dhcpv6-client ssh
ports: 443/tcp 80/tcp 

Vordefinierte Services anzeigen:

firewall-cmd --get-services

RH-Satellite-6 amanda-client amanda-k5-client bacula bacula-client bitcoin bitcoin-rpc bitcoin-testnet bitcoin-testnet-rpc ceph ceph-mon cfengine condor-collector ctdb dhcp dhcpv6 dhcpv6-client dns docker-registry dropbox-lansync elasticsearch freeipa-ldap freeipa-ldaps freeipa-replication freeipa-trust ftp ganglia-client ganglia-master high-availability http https imap imaps ipp ipp-client ipsec iscsi-target kadmin kerberos kibana klogin kpasswd kshell ldap ldaps libvirt libvirt-tls managesieve mdns mosh mountd ms-wbt mssql mysql nfs nfs3 nrpe ntp openvpn ovirt-imageio ovirt-storageconsole ovirt-vmconsole pmcd pmproxy pmwebapi pmwebapis pop3 pop3s postgresql privoxy proxy-dhcp ptp pulseaudio puppetmaster quassel radius rpc-bind rsh rsyncd samba samba-client sane sip sips smtp smtp-submission smtps snmp snmptrap spideroak-lansync squid ssh synergy syslog syslog-tls telnet tftp tftp-client tinc tor-socks transmission-client vdsm vnc-server wbem-https xmpp-bosh xmpp-client xmpp-local xmpp-server

Eine neue Regel hinzufügen am Beispiel von DNS:

firewall-cmd --add-port=53/ucp --permanent
success

weiterführende Informationen:

https://people.redhat.com/pladd/Firewalld_NYRHUG-2015-12.pdf

Sollte der Firewalld Service unter CentOS 7.7 nicht mehr Laufen, so hilft ggf. dieser Beitrag:  Firewall down: Failed to load nf_conntrack module on CentOS 7.7.