Como gerenciar regras no firewall do CentOS 7

Com o lançamento recente do CentOS 7, surgiram muitas mudanças na forma como o firewall do CentOS é configurado em comparação com seus antecessores. No CentOS 7 você precisará se familiarizar com firewalld, que é no novo comando de gestão do firewall nativo do CentOS 7.

"O firewalld fornece um firewall gerenciado dinamicamente com suporte para rede / firewall. Zonas para definir o nível de confiança das conexões ou interfaces de rede. Tem suporte para IPv4, configurações de firewall IPv6 e para pontes Ethernet e tem ainda uma separação de tempo de execução e opções de configuração permanentes. Também suporta uma interface para serviços ou aplicativos para adicionar regras de firewall diretamente."

Neste artigo, discutiremos a adição e remoção de regras básicas de firewall para permitir o tráfego de entrada para acessar os serviços que você está executando em seu servidor.

Aviso: Ao trabalhar em um servidor remoto e modificar as regras de firewall, tenha muito  cuidado para não se desconectar do servidor removendo a porta 22 (SSHD) da configuração do seu firewall. Se você não tiver certeza de que pode remover o sinalizador --permanent dos comandos acima e se você bloquear uma  simples reinicialização do servidor, todas as regras de firewall adicionadas serão apagadas. 

A zona padrão no CentOS 7 é "pública". Você pode alterar a zona padrão /etc/firewalld/firewalld.conf mas, por enquanto, vamos deixá-lo como público para os propósitos deste artigo.

Abrindo Portas

Para abrir a porta 80 (http) no seu firewall, você pode utilizar o seguinte comando:

[root@srv ]# firewall-cmd --permanent --zone=public --add-port=80/tcp

Recarregue o firewall para aplicar as alterações:

[root@srv ]# firewall-cmd --reload

Verificando Regras

O seguinte comando pode ser usado para verificar se a porta está aberta, ele retornará um simples sim ou não:

[root@srv ]# firewall-cmd --zone=public --query-port=80/tcp

Criando regras usando nomes de serviços

Como alternativa, você pode criar a regra usando um nome de serviço:

[root@srv ]# firewall-cmd --permanent --zone=public --add-service=http

E agora recarregue o firewall para aplicar as mudanças

[root@srv ]# firewall-cmd --reload

Verifique se a porta de serviço foi aberta:

[root@srv ]# firewall-cmd --zone=public --query-service=http

Exemplo Real

Estes passos irão criar uma entrada permanente na sua configuração de firewall para permitir Conexões TCP para a porta TCP 80 da Internet. Você pode usar "firewall-cmd --list-all" para obter uma visualização da configuração atual do seu firewall.

Exemplo:

[root@srv ]# firewall-cmd --list-all 

public (default, active)
  interfaces: eth0 eth1
  sources:
  services: ssh
  ports: 80/tcp
  masquerade: no
  forward-ports:
  icmp-blocks:
  rich rules:

Para remover a porta ou o serviço que você adicionou.

[root@srv ]# firewall-cmd --zone=public --remove-port=80/tcp

ou

[root@srv ]# firewall-cmd --zone=public --remove-service=http

Em seguida, execute um recarregamento para aplicar as alterações.

[root@srv ]# firewall-cmd --reload

O firewalld nos oferece uma maneira fácil e conveniente de gerenciar as regras de firewall do CentOS 7. Com um pouco de prática, pode se tornar uma ferramenta essencial para manter sua infraestrutura segura e protegida.