Configurare i firewall in Red Hat
Le macchine virtuali Chamber eseguono Red Hat Enterprise Linux come sistema operativo. Per impostazione predefinita, il firewall è configurato per negare tutte le connessioni in ingresso ad eccezione dei servizi gestiti. Per consentire la comunicazione in ingresso, le regole devono essere aggiunte al firewall per consentire il passaggio del traffico. Analogamente, se una regola non è più necessaria, deve essere rimossa.
Questo articolo presenta i comandi di configurazione del firewall più comuni. Per la documentazione completa o scenari più complessi, vedere Capitolo 40. Uso e configurazione firewalld
della documentazione di Red Hat Enterprise Linux 8.
Tutte le operazioni a cui si fa riferimento qui richiedono sudo
privilegi quindi necessitano del ruolo di Amministratore Chamber.
Importante
Le macchine virtuali possono comunicare solo con altre macchine virtuali nello stesso chamber. Il traffico da chamber a chamber non è mai consentito e la modifica delle regole del firewall non consentirà il traffico tra chamber.
Prerequisiti
- Un account utente con il ruolo di Amministratore Chamber.
Elencare tutte le porte aperte
Elencare tutte le porte attualmente aperte e il protocollo associato.
$ sudo firewall-cmd --list-all
public (active)
target: default
icmp-block-inversion: no
interfaces: eth0
sources:
services: cockpit dhcpv6-client ssh
ports: 6817-6819/tcp 60001-63000/tcp
protocols:
forward: no
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
Aprire le porte per il traffico
È possibile aprire una singola o consecutiva gamma di porte per il traffico di rete. Le modifiche apportate a firewall-d
sono temporanee e non vengono mantenute se il servizio viene riavviato o ricaricato a meno che non venga eseguito il commit.
Aprire una singola porta
Aprire una singola porta con firewalld
per un determinato protocollo usando l'opzione --add-port=portnumber/porttype
. In questo esempio viene aperta la porta 5510/TCP.
$ sudo firewall-cmd --add-port=33500/tcp
success
Eseguire il commit della regola nel set permanente:
$ sudo firewall-cmd --runtime-to-permanent
success
Aprire un intervallo di porte
Aprire un intervallo di porte con firewalld
per un protocollo specificato con l'opzione --add-port=startport-endport/porttype
. Questo comando è utile negli scenari di elaborazione distribuiti in cui i ruoli di lavoro vengono inviati a un numero elevato di nodi e più ruoli di lavoro potrebbero trovarsi nello stesso nodo fisico. Questo esempio apre 100 porte consecutive a partire dalla porta 5000 con il protocollo UDP.
$ sudo firewall-cmd --add-port=5000-5099/udp
success
Eseguire il commit della regola nel set permanente:
$ sudo firewall-cmd --runtime-to-permanent
success
Rimuovere le regole di porta
Se le regole non sono più necessarie, possono essere rimosse con la stessa notazione dell'aggiunta e dell'uso di --remove-port=portnumber/porttype
. In questo esempio viene rimossa una singola porta:
$ sudo firewall-cmd --remove-port=33500/tcp
success
Eseguire il commit della regola nel set permanente:
$ sudo firewall-cmd --runtime-to-permanent
success