Firewalls
By Muhammad Aditiya Rakhman
Firewall digunakan untuk mengontrol akses masuk dan keluar ke sistem dan jaringan lokal Anda, dan merupakan fasilitas keamanan yang penting dalam jaringan modern.
What Is a Firewall?
Firewall adalah sistem keamanan jaringan yang memantau dan mengontrol semua lalu lintas jaringan. Sistem ini menerapkan aturan pada koneksi dan paket jaringan yang masuk dan keluar serta membangun penghalang yang fleksibel (yaitu, firewall).
Packet Filtering
Firewall membuat seperangkat aturan yang digunakan untuk setiap paket:
Diterima atau ditolak berdasarkan konten, alamat, dll.
Memanipulasi paket data sebelum atau setelah melewati firewall.
Dialihkan ke alamat lain
Diperiksa untuk alasan keamanan, dll.
Firewall Interfaces and Tools
Mengkonfigurasi firewall sistem Anda dapat dilakukan dengan:
Menggunakan alat bantu yang relatif sederhana dari baris perintah, dikombinasikan dengan pengeditan berbagai file konfigurasi di pohon subdirektori /etc: iptables, firewall-cmd, ufw, dll.
Menggunakan antarmuka grafis yang tangguh: system-config-firewall, firewall-config, gufw, yast, dll.
Berikut ini, kita akan berkonsentrasi pada penggunaan paket firewalld modern, yang mencakup firewall-cmd dan firewall-config. Untuk distribusi yang tidak memiliki paket ini secara default, paket ini dapat diinstal dari sumbernya dengan mudah, seperti yang akan kita lakukan jika diperlukan dalam latihan.
firewalld and firewall-cmd
firewalld adalah Manajer Firewall Dinamis. Ia menggunakan zona jaringan/firewall yang memiliki tingkat kepercayaan yang ditentukan untuk antarmuka atau koneksi jaringan. Ini mendukung protokol IPv4 dan IPv6.
File konfigurasi disimpan di /etc/firewalld dan /usr/lib/firewalld. Alat bantu baris perintah sebenarnya adalah firewall-cmd yang akan kita bahas.
firewalld Service Status
firewalld adalah layanan yang harus dijalankan untuk menggunakan dan mengkonfigurasi firewall, dan diaktifkan/dinonaktifkan, atau dimulai atau dihentikan dengan cara biasa:
$ sudo systemctl [enable/disable] firewalld
$ sudo systemctl [start/stop] firewalldAnda dapat menampilkan status saat ini dengan salah satu cara berikut ini:
$ sudo systemctl status firewalld
firewalld.service - firewalld - dynamic firewall daemon
Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled)
Active: active (running) since Tue 2015-04-28 12:00:59 CDT; 5min ago
Main PID: 777 (firewalld)
...
$ sudo firewall-cmd --state
runningPerhatikan bahwa jika Anda memiliki lebih dari satu antarmuka jaringan saat menggunakan IPv4, Anda harus mengaktifkan ip fordwading. Untuk melakukannya, Anda harus menambahkan baris berikut ini ke /etc/sysctl.conf:
net.ipv4.ip_forward=1and then reboot or type:
$ sudo sysctl -pZones
drop
Semua paket yang masuk akan dibuang tanpa balasan. Hanya koneksi keluar yang diizinkan.
block
Semua koneksi jaringan yang masuk akan ditolak. Satu-satunya koneksi yang diizinkan adalah koneksi dari dalam sistem.
public
Jangan mempercayai semua komputer di jaringan; hanya koneksi masuk tertentu yang dipilih secara sadar yang diizinkan.
external
Digunakan saat penyamaran sedang digunakan, seperti di router. Tingkat kepercayaan sama seperti public.
dmz (Demilitarized Zone)
Digunakan ketika akses ke beberapa (tetapi tidak semua) layanan akan diizinkan untuk umum. Hanya koneksi masuk tertentu yang diizinkan.
work
Percaya (tetapi tidak sepenuhnya) node yang terhubung tidak berbahaya. Hanya koneksi masuk tertentu yang diizinkan.
home
Percaya sebagian besar node jaringan lain, namun tetap memilih koneksi masuk mana yang diizinkan.
internal
Mirip dengan zona work.
trusted
Semua koneksi jaringan diperbolehkan.
Pengendalian firewalld dilakukan melalui program firewall-cmd. Informasi lebih detail dapat diperoleh dengan:
$ man firewalld-cmdSource Management
Zona apa pun dapat diikat tidak hanya ke antarmuka jaringan, tetapi juga ke alamat jaringan tertentu.
Untuk menetapkan sumber ke zona (secara permanen):
$ sudo firewall-cmd --permanent --zone=trusted --add-source=192.168.100.22/24
successPerhatikan bahwa Anda dapat menghapus sumber yang telah ditetapkan sebelumnya dari zona dengan menggunakan opsi --remove-source, atau mengubah zona dengan menggunakan --change-source.
Service Management
Untuk melihat semua layanan yang tersedia:
$ sudo firewall-cmd --get-services
RH-Satellite-6 amanda-client bacula bacula-client dhcp dhcpv6 dhcpv6-client dns ftp high-availability http https imaps ipp ipp-client ipsec kerberos kpasswd ldap ldaps libvirt libvirt-tls mdns mountd ms-wbt mysql nfs ntp openvpn pmcd pmproxy pmwebapi pmwebapis pop3s postgresql proxy-dhcp radius rpc-bind samba samba-client smtp ssh telnet tftp tftp-client transmission-client vnc-server wbem-httpsUntuk menambah sebuah layanan ke zona:
$ sudo firewall-cmd --permanent --zone=home --add-service=dhcp
success
$ sudo firewall-cmd --reloadPort Management
Manajemen pelabuhan sangat mirip dengan manajemen layanan:
$ sudo firewall-cmd --zone=home --add-port=21/tcp
success
$ sudo firewall-cmd --zone=home --list-ports
21/tcpdi mana dengan melihat /etc/services kita dapat memastikan bahwa port 21 berhubungan dengan ftp:
$ grep " 21/tcp" /etc/services
ftp 21/tcpLab 16.1: Service Managemenet
Question
1. Install nginx and configure it to listen on port 8080
2. Replace index.html to Hello adinusa, I am username
3. Change document root to /opt/lab16
4. Configure firewalld to allow port 8080 in public zone when accessed via web server.
Answer
$ sudo apt install nginx -y
$ sudo -i
$ vim /etc/nginx/sites-available/default
Edit port dan Document root sesuai dengan yang diminta
$ systemctl restart nginx
$ systemctl status nginx
$ mkdir /opt/lab16
$ vim /opt/lab16/index.html
Tambahkan "Hello adinusa, I am username"
# firewall-cmd --get-default-zone
# firewall-cmd --add-port=8080/tcp --zone=public --permanent
# firewall-cmd --list-all
# firewall-cmd --add-service=http --zone=public --permanent
# firewall-cmd --set-default-zone=public
Disini saya menambahkan interface, karena zone publik belum ada interfacenya
# firewall-cmd --add-interface=docker0 --zone=public --permanent
# firewall-cmd --reloadLast updated
Was this helpful?