Hướng dẫn cài đặt Firewalld trên Ubuntu

Firewalld là một công cụ quản lý tường lửa trên Linux. Nó hoạt động như một giao diện người dùng cho khung bộ lọc mạng của Hệ điều hành Linux. Firewalld là phần mềm quản lý tường lửa mặc định trên dòng RHEL 7.

Đối với Ubuntu, Hệ thống tường lửa mặc định là UFW (Ubuntu Firewall). Tuy nhiên, bạn cũng có thể cài đặt và sử dụng Firewalld nếu muốn.

CÀI ĐẶT FIREWALLD TRÊN UBUNTU

Cài đặt Firewalld trên Ubuntu bạn chạy các lệnh sau:

sudo apt update

sudo apt install firewalld

Thường sau khi cài đặt, dịch vụ sẽ tự khởi động, tuy nhiên nếu nó không tự khởi động. Bạn có thể khởi động và đặt nó khởi động cùng hệ điều hành. Hãy sử dụng các câu lệnh sau:

sudo systemctl enable firewalld

sudo systemctl start firewalld

Kiểm tra xem dịch vụ Firewalld có chạy không bằng câu lệnh:

sudo firewall-cmd --state

Nếu bạn đang sử dụng ufw, hãy tắt nó để đặt Firewalld làm Tường lửa mặc định.

sudo ufw disable

SỬ DỤNG FIREWALLD TRÊN UBUNTU

Trong phần này, tôi sẽ giới thiệu tới các bạn một số câu lệnh thường sử dụng khi dùng Firewalld:

Liệt kết tất cả các rule đang được cấu hình trên Firewalld

sudo firewall-cmd --list-all

Lưu ý: ssh và dhcpv6-client là các dịch vụ mặc định được bật theo sau khi bạn khởi động dịch vụ Firewalld.

Liệt kê tất cả các dịch vụ đang hoạt động có thể được kích hoạt bằng tên:

sudo firewall-cmd --get-services

Kích hoạt dịch vụ http:

sudo firewall-cmd --add-service=http --permanent

Tùy chọn –permanent có nghĩa là duy trì rule này vĩnh viễn cả khi reboot lại hệ thống. (Không áp dụng cho hệ thống đang chạy, cần reload mới có hiệu lực).

Kích hoạt http và https trên một dòng

sudo firewall-cmd --permanent --add-service={http,https} --permanent

Kích hoạt cổng TCP 5522

sudo firewall-cmd --add-port=5522/tcp --permanent

Kích hoạt cổng UDP 161

sudo firewall-cmd --add-port=161/udp --permanent

Tạo một Zone mới

sudo firewall-cmd --new-zone=myzone --permanent

Kích hoạt dịch vụ trên một vùng cụ thể

sudo firewall-cmd --zone=myzone --add-port=5522/tcp --permanent

Đặt zone đã tạo làm zone mặc định

sudo firewall-cmd --set-default-zone=public --permanent

Thêm interface vào một zone

sudo firewall-cmd --get-zone-of-interface=eth0 --permanent

sudo firewall-cmd --zone=<zone> --add-interface=eth0 --permanent

Cho phép truy cập vào một cổng từ mạng con/IP cụ thể

# Allow access to ssh from 192.168.0.12 sing IP address

sudo firewall-cmd --add-rich-rule 'rule family="ipv4" service name="ssh" \
source address="192.168.0.12/32" accept' --permanent

# Allow access to ssh from 10.1.1.0/24 network

sudo firewall-cmd --add-rich-rule 'rule family="ipv4" service name="ssh" \
source address="10.1.1.0/24" accept' --permanent

Liệt kê các Rich Rule

sudo firewall-cmd --list-rich-rules

Cấu hình Port forwarding:

Enable Port forwarding

# Enable masquerading

sudo firewall-cmd --add-masquerade --permanent

# Port forward to a different port within same server ( 22 > 2022)

sudo firewall-cmd --add-forward-port=port=22:proto=tcp:toport=2022 --permanent

# Port forward to same port on a different server (local:22 > 192.168.2.10:22)

sudo firewall-cmd --add-forward-port=port=22:proto=tcp:toaddr=192.168.2.10 --permanent

# Port forward to different port on a different server (local:7071 > 10.50.142.37:9071)

sudo firewall-cmd --add-forward-port=port=7071:proto=tcp:toport=9071:toaddr=10.50.142.37 --permanent

Xóa port/service

Như trên, thay –add bằng –remove

# Xóa masquerading

sudo firewall-cmd --remove-masquerade --permanent

# Xóa port forward to a different port within same server ( 22 > 2022)

sudo firewall-cmd --remove-forward-port=port=22:proto=tcp:toport=2022 --permanent

# Xóa port forward to same port on a different server (local:22 > 192.168.2.10:22)

sudo firewall-cmd --remove-forward-port=port=22:proto=tcp:toaddr=192.168.2.10 --permanent

# Xóa port forward to different port on a different server (local:7071 > 10.50.142.37:9071)

sudo firewall-cmd --remove-forward-port=port=7071:proto=tcp:toport=9071:toaddr=10.50.142.37 --permanent

.