Firewall Basico

Referencias


  • drop (Inmutable):
    Los paquetes de red entrantes se cae, no hay respuesta. Sólo las conexiones de red salientes son posibles.
  • block:
    Las conexiones de red entrantes se rechazarán con un mensaje icmp-host-prohibited para IPv4 e icmp6-adm-prohibido para IPv6. Sólo las conexiones de red iniciadas dentro de este sistema son posibles.
  • external:
    Para su uso en redes externas con enmascaramiento habilitado especialmente para los routers. Usted no confía en los otros equipos de redes para no dañar su equipo. Sólo seleccionados conexiones entrantes son aceptadas.
  • dmz:
    Para los equipos de la zona de distensión que son de acceso público con acceso limitado a la red interna. Sólo seleccionados conexiones entrantes son aceptadas.
  • work:
    Para el uso en las áreas de trabajo. Que en su mayoría confían en los otros equipos de redes para no dañar su equipo. Sólo seleccionados conexiones entrantes son aceptadas.
  • home:
    Para su uso en zonas de origen. Que en su mayoría confían en los otros equipos de redes para no dañar su equipo. Sólo seleccionados conexiones entrantes son aceptadas.
  • internal:
    Para su uso en redes internas. Que en su mayoría confían en los otros equipos de la red para no dañar su equipo. Sólo seleccionados conexiones entrantes son aceptadas.
  • trusted:
    Todas las conexiones de red son aceptadas.

Saber el estado del servicio

firewall-cmd --state

Obtener el listado de zonas

firewall-cmd --get-zones

Saber la zona activada por defecto

firewall-cmd --get-default-zone

Listar puertos o servicios abiertos

firewall-cmd --zone=public --list-ports
firewall-cmd --zone=public --list-services

Poner zona por defecto

firewall-cmd --set-default-zone=public

Añadir un puerto de manera persistente

firewall-cmd --permanent --zone=public --add-port=80/tcp

Añadir un rango de puertos

firewall-cmd --permanent --zone=public --add-port=2000-2010/tcp

Añadir un servicio de manera persistente

firewall-cmd --permanent --zone=public --add-service=http

Para eliminar cambiar –add-x por –remove-x

Permitir conexión a la red local.

sudo firewall-cmd --permanent --zone="trusted" --add-source="192.168.1.0/24"

Bloquear una ip

firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" source address="192.168.0.250" reject'
firewall-cmd --zone=public --list-all

Eliminar bloqueo a la ip

firewall-cmd --zone=public --remove-rich-rule='rule family="ipv4" source address="192.168.0.250" reject'
firewall-cmd --zone=public --list-all

Redireccionar un puerto

Me funciono solo con la siguiente linea, no es permanente.

firewall-cmd --zone=public --add-forward-port=port=80:proto=tcp:toport=8080