Konfigurieren von Firewalls in Red Hat

Kammer-VMs führen Red Hat Enterprise Linux als Betriebssystem aus. Standardmäßig ist die Firewall so konfiguriert, dass alle eingehenden Verbindungen außer für verwaltete Dienste verweigert werden. Um eingehende Kommunikation zuzulassen, müssen Regeln zur Firewall hinzugefügt werden, damit Datenverkehr diese durchlaufen darf. Wenn eine Regel nicht mehr benötigt wird, sollte sie ebenfalls entfernt werden.

In diesem Artikel werden die am häufigsten verwendeten Firewallkonfigurationsbefehle beschrieben. Die vollständige Dokumentation oder komplexere Szenarios finden Sie in Kapitel 40: Verwenden und Konfigurierenfirewalld der Dokumentation zu Red Hat Enterprise Linux 8.

Alle hier genannten Vorgänge erfordern sudo-Berechtigungen und daher die Rolle des Kammeradministrators.

Wichtig

VMs können nur mit anderen virtuellen Computern in derselben Kammer kommunizieren. Kammer-zu-Kammer-Datenverkehr ist niemals zulässig, und das Ändern von Firewallregeln ermöglicht keinen Datenverkehr zwischen Kammern.

Voraussetzungen

• Ein Benutzerkonto mit der Rolle „Kammeradministrator“

Auflisten aller geöffneten Ports

Auflisten aller derzeit geöffneten Ports und des zugehörigen Protokolls

$ sudo firewall-cmd --list-all
public (active)
 target: default
 icmp-block-inversion: no
 interfaces: eth0
 sources: 
 services: cockpit dhcpv6-client ssh
 ports: 6817-6819/tcp 60001-63000/tcp
 protocols: 
 forward: no
 masquerade: no
 forward-ports: 
 source-ports: 
 icmp-blocks: 
 rich rules: 

Öffnen von Ports für Datenverkehr

Sie können einen einzelnen oder aufeinanderfolgenden Portbereich für den Netzwerkdatenverkehr öffnen. Änderungen an firewall-d sind temporär und bleiben nicht bestehen, wenn der Dienst neu gestartet oder neu geladen wird, es sei denn, ein Commit erfolgt.

Öffnen eines einzelnen Ports

Öffnen Sie einen einzelnen Port mit firewalld für ein bestimmtes Protokoll mithilfe der Option --add-port=portnumber/porttype. In diesem Beispiel wird Port 5510/TCP geöffnet.

$ sudo firewall-cmd --add-port=33500/tcp
success

Committen Sie die Regel für den permanenten Satz:

$ sudo firewall-cmd --runtime-to-permanent
success

Öffnen eines Bereichs von Ports

Öffnen Sie einen Bereich von Ports mit firewalld für ein angegebenes Protokoll mit der Option --add-port=startport-endport/porttype. Dieser Befehl eignet sich für verteilte Computerszenarios, in denen Worker auf eine große Anzahl von Knoten verteilt sind und mehrere Worker sich möglicherweise auf demselben physischen Knoten befinden. In diesem Beispiel werden 100 aufeinanderfolgende Ports geöffnet, beginnend bei Port 5000 mit dem UDP-Protokoll.

$ sudo firewall-cmd --add-port=5000-5099/udp
success

Committen Sie die Regel für den permanenten Satz:

$ sudo firewall-cmd --runtime-to-permanent
success

Entfernen von Portregeln

Wenn Regeln nicht mehr benötigt werden, können sie mit derselben Notation wie das Hinzufügen und Verwenden von --remove-port=portnumber/porttype entfernt werden. In diesem Beispiel wird ein einzelner Port entfernt:

$ sudo firewall-cmd --remove-port=33500/tcp
success

Committen Sie die Regel für den permanenten Satz:

$ sudo firewall-cmd --runtime-to-permanent
success

Zugehöriger Inhalt

• Hochladen von Daten in eine Kammer
• Herunterladen von Daten aus einer Kammer