Cuando ocurrió la introducción de firewalld como firewall por defecto (Su introducción fue en 2011, pero creo que apareció primero en CentOS 7.), el autor continuó usando iptables. Había dos razones para ello. En primer lugar, la documentación disponible en ese momento para firewalld utilizaba reglas simplistas y no mostraba cómo firewalld aseguraba el servidor hasta el nivel de IP. En segundo lugar, el autor tenía más de una década de experiencia con iptables y era más fácil seguir usándolo en lugar de aprender firewalld.

 

 

Uso básico

Comandos de servicio del sistema

firewalld se ejecuta como un servicio en su máquina. Se inicia cuando la máquina lo hace, o debería hacerlo. Si por alguna razón firewalld no está ya habilitado en su máquina, puede hacerlo con un simple comando

systemctl enable --now firewalld

La opción --now inicia el servicio tan pronto como es habilitado y le permite saltarse el paso systemctl start firewalld.

Como con todos los servicios en  Linux, puede comprobar si el cortafuegos se está ejecutando con:

systemctl status firewalld

Para detenerlo completamente

systemctl stop firewalld

Y para dar al servicio un reinicio

systemctl restart firewalld

Comandos básicos de configuración y gestión de firewalld

firewalld se configura con el comando firewall-cmd. Puede, por ejemplo, comprobar el estado de firewalld con

firewall-cmd --state

Después de cada cambio permanente en su cortafuegos, necesitará recargarlo para ver los cambios. Puede dar a las configuraciones del cortafuegos un "reinicio suave" con:

firewall-cmd --reload

Nota

Si recargas las configuraciones que no se han hecho permanentes, desaparecerán.

Puede ver todas sus configuraciones y ajustes a la vez con:

firewall-cmd --list-all

Este comando mostrará algo parecido a esto:

public (active)
  target: default
  icmp-block-inversion: no
  interfaces: enp9s0
  sources:
  services: ssh
  ports:
  protocols:
  forward: no
  masquerade: no
  forward-ports:
  source-ports:
  icmp-blocks:
  rich rules:

Guardar cambios

Por defecto, todos los cambios en la configuración de firewalld son temporales. Si reinicia todo el servicio firewalld, o reinicia su máquina, ninguno de sus cambios en el cortafuegos se guardará a menos que haga una de dos cosas muy específicas.


La mejor práctica es probar los cambios individualmente, recargando la configuración del cortafuegos sobre la marcha. Si accidentalmente te bloqueas en algo, puedes reiniciar el servicio (o la máquina), y todos esos cambios desaparecerán, como se mencionó anteriormente.


Pero una vez que tengas una configuración que funcione, puedes guardar tus cambios permanentemente con

firewall-cmd --runtime-to-permanent

Sin embargo, si estás absolutamente seguro de lo que estás haciendo, y sólo quieres añadir la regla y seguir con tu vida, puedes añadir la bandera --permanent a cualquier comando de configuración:

firewall-cmd --permanent [el resto del comando].

Gestión de Zonas

Antes de nada, necesitamos explicar las zonas. Las zonas son una característica que le permite definir diferentes conjuntos de reglas para diferentes situaciones. Las zonas son una parte importante de firewalld, por lo que vale la pena entender cómo funcionan.


Si tu máquina tiene múltiples formas de conectarse a diferentes redes (por ejemplo, Ethernet y Wi-Fi), puedes decidir que una conexión sea más confiable que la otra. Puedes poner tu conexión Ethernet en la zona de "confianza" si sólo está conectada a una red local que tú has construido, y poner la Wi-Fi (que puede estar conectada a Internet) en la zona de "confianza". 

Nota

Una zona sólo puede estar en estado activo si tiene una de estas dos condiciones:

•     La zona está asignada a una interfaz de red
•     La zona tiene asignadas IPs de origen o rangos de red (más sobre esto más adelante)

Las zonas por defecto incluyen lo siguiente (he tomado esta explicación de la guía de DigitalOcean sobre firewalld, que también deberías leer):

•     drop: El nivel más bajo de confianza. Todas las conexiones entrantes se descartan sin respuesta y sólo son posibles las conexiones salientes.
•     block (bloquear): Similar al anterior, pero en lugar de simplemente descartar conexiones, las peticiones entrantes se rechazan con un mensaje icmp-host-prohibited o icmp6-adm-prohibited.
•     public: Representa redes públicas en las que no se confía. No se confía en otros equipos, pero se pueden permitir conexiones entrantes seleccionadas caso por caso.
•     external: Redes externas en el caso de que esté utilizando el cortafuegos como puerta de enlace. Está configurado para enmascaramiento NAT para que su red interna siga siendo privada pero accesible.
•     internal: El otro lado de la zona externa, utilizada para la parte interna de una pasarela. Los ordenadores son bastante fiables y se dispone de algunos servicios adicionales.
•     dmz: Se utiliza para los ordenadores situados en una DMZ (ordenadores aislados que no tendrán acceso al resto de su red). Sólo se permiten ciertas conexiones entrantes.
•     work: Se utiliza para los equipos de trabajo. Confía en la mayoría de los ordenadores de la red. Pueden permitirse algunos servicios más.
•     home: En un entorno doméstico. Generalmente implica que se confía en la mayoría de los otros ordenadores y que se aceptarán algunos servicios más.
• trusted: Confía en todas las máquinas de la red. Es la más abierta de las opciones disponibles y debe utilizarse con moderación.

Vale, algunas de estas explicaciones son complicadas, pero sinceramente... El principiante medio puede arreglárselas con entender "trusted", "home" y "public", y cuándo usar cada una.

Comandos de gestión de zona

Para ver su zona por defecto, ejecute

firewall-cmd --get-default-zone

Para ver qué zonas están activas y haciendo cosas, ejecute

firewall-cmd --get-active-zones

Si está ejecutando  Linux en un VPS, es probable que se haya establecido una configuración básica para usted. Específicamente, deberías poder acceder al servidor vía SSH, y la interfaz de red ya habrá sido añadida a la zona "public".


Para cambiar la zona por defecto

firewall-cmd --set-default-zone [tu-zona]

Para añadir una interfaz de red a una zona

firewall-cmd --zone=[su-zona] --add-interface=[su-dispositivo-de-red]

Para cambiar la zona de una interfaz de red

firewall-cmd --zone=[su-zona] --change-interface=[su-dispositivo-de-red]

Para eliminar completamente una interfaz de una zona

firewall-cmd --zone=[su-zona] --remove-interface=[su-dispositivo-de-red].

Para crear su propia zona nueva con un conjunto de reglas completamente personalizado y comprobar que se ha añadido correctamente:

firewall-cmd --new-zone=[su-nueva-zona].
firewall-cmd --get-zones

Gestión de puertos

Para los no iniciados, los puertos (en este contexto) son sólo puntos finales virtuales donde los ordenadores se conectan para enviar información de un lado a otro. Piensa en ellos como en los puertos físicos Ethernet o USB de tu ordenador, pero invisibles, y puedes tener hasta 65.535 de ellos funcionando todos a la vez.


Yo no lo haría, pero se puede.


Un número identifica cada puerto. Algunos puertos están reservados para servicios específicos. Por ejemplo, si alguna vez has trabajado con servidores web para crear un sitio web, puede que estés familiarizado con el puerto 80 y el puerto 443. Esos puertos permiten la transmisión de datos de páginas web.


En concreto, el puerto 80 permite transferir datos a través del Protocolo de Transferencia de Hipertexto (HTTP), y el puerto 443 está reservado para datos del Protocolo de Transferencia de Hipertexto Seguro (HTTPS).


El puerto 22 está reservado para el protocolo Secure Shell (SSH), que permite conectarse y gestionar otras máquinas a través de la línea de comandos (consulte nuestra breve guía sobre el tema). Un servidor remoto nuevo puede que sólo permita conexiones a través del puerto 22 para SSH, y nada más.


Otros ejemplos incluyen FTP (puertos 20 y 21), SSH (puerto 22), y muchos más. También puedes configurar puertos personalizados para que los utilicen las nuevas aplicaciones que instales y que no tengan un número estándar.

Para cosas como SSH, HTTP/S, FTP, y más, en realidad se recomienda añadirlos a tu zona firewall como servicios, y no como números de puerto. Te mostraré cómo funciona a continuación. Dicho esto, todavía necesitas saber cómo abrir puertos manualmente.

Comandos de gestión de puertos

Para esta sección, usaré --zone=public... y el puerto 9001 como ejemplo aleatorio, porque es más de 9.000.


Para ver todos los puertos abiertos

firewall-cmd --list-ports

Para añadir un puerto a tu zona firewall (abriéndolo así para su uso), simplemente ejecuta este comando:

firewall-cmd --zone=public --add-port=9001/tcp

Para eliminar un puerto, simplemente invierta el comando con un cambio de una sola palabra:

firewall-cmd --zone=public --remove-port=9001/tcp

Gestionando Servicios¶


Como se puede imaginar, los servicios son programas bastante estandarizados que se ejecutan en su ordenador. firewalld está configurado para que pueda ser utilizado para proporcionar acceso a los servicios comunes que se ejecutan en el host fácilmente.


Esta es la forma preferida de abrir los puertos para estos servicios comunes, y muchos más:


    HTTP y HTTPS: para servidores web
    FTP: para mover archivos de un lado a otro (a la vieja usanza)
    SSH: Para controlar máquinas remotas y mover archivos de un lado a otro a la nueva manera
    Samba: Para compartir archivos con máquinas Windows.





Recuerda, SSH es lo que usas para entrar en tu servidor. A menos que tengas otra forma de acceder al servidor físico, o a su shell (por ejemplo, a través de un panel de control proporcionado por el host), eliminar el servicio SSH te bloqueará permanentemente. Tendrás que contactar con el soporte para recuperar el acceso o reinstalar el sistema operativo por completo.

Comandos de gestión de servicios

Para ver una lista de todos los servicios disponibles que podrías añadir a tu cortafuegos, ejecuta

firewall-cmd --get-services

Para ver qué servicios tiene activos actualmente en su cortafuegos, utilice:

firewall-cmd --list-services

Para abrir un servicio en su cortafuegos (por ejemplo, HTTP en la zona pública), utilice:

firewall-cmd --zone=public --add-service=http

Para eliminar/cerrar un servicio en su cortafuegos, sólo tiene que volver a cambiar una palabra

firewall-cmd --zone=public --remove-service=http

Restringir el acceso

Digamos que tienes un servidor y no quieres hacerlo público. Si quieres definir quién puede acceder a él vía SSH o ver algunas páginas web/apps privadas, puedes hacerlo.


Hay un par de métodos para lograr esto. En primer lugar, para un servidor más cerrado, puede elegir una de las zonas más restrictivas, asignar su dispositivo de red a la misma, añadir el servicio SSH a la misma como se muestra arriba, y luego poner en la lista blanca su propia dirección IP pública de esta manera:

firewall-cmd --permanent --zone=trusted --add-source=192.168.1.0 [<inserte su IP aquí]

Puede convertirlo en un rango de direcciones IP añadiendo un número mayor al final de la siguiente manera:

firewall-cmd --permanent --zone=trusted --add-source=192.168.1.0/24 [<inserte su IP aquí]

De nuevo, sólo tiene que cambiar --add-source por --remove-source para invertir el proceso.


Sin embargo, tienes algunas opciones si estás administrando un servidor remoto con un sitio web que necesita ser público y aún así sólo quieres abrir SSH para una dirección IP o un pequeño rango de ellas. Ambos ejemplos asignan la única interfaz de red a la zona pública.


En primer lugar, puede utilizar una "regla rica" para su zona pública, y sería algo como esto:

# firewall-cmd --permanent --zone=public --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" service name="ssh" accept'

Una vez que la regla enriquecida esté en su lugar, no haga que las reglas sean permanentes todavía. En primer lugar, elimina el servicio SSH de la configuración de la zona pública y prueba la conexión para asegurarte de que puedes acceder al servidor. 

your@server ~# firewall-cmd --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: wlp3s0
  sources:
  services: cockpit dhcpv6-client
  ports: 80/tcp 443/tcp
  protocols:
  forward: no
  masquerade: no
  forward-ports:
  source-ports:
  icmp-blocks:
  rich rules:
        rule family="ipv4" source address="192.168.1.0/24" service name="ssh" accept

En segundo lugar, puede utilizar dos zonas diferentes a la vez. Si tu interfaz está vinculada a la zona pública, puedes activar una segunda zona (la zona "de confianza", por ejemplo) añadiendo una IP de origen o un rango de IP, como se muestra arriba. A continuación, añade el servicio SSH a la zona de confianza y elimínalo de la zona pública.


Cuando haya terminado, la salida debería parecerse a esto:

your@server ~# firewall-cmd --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: wlp3s0
  sources:
  services: cockpit dhcpv6-client
  ports: 80/tcp 443/tcp
  protocols:
  forward: no
  masquerade: no
  forward-ports:
  source-ports:
  icmp-blocks:
  rich rules:
your@server ~# firewall-cmd --list-all --zone=trusted
trusted (active)
  target: default
  icmp-block-inversion: no
  interfaces:
  sources: 192.168.0.0/24
  services: ssh
  ports:
  protocols:
  forward: no
  masquerade: no
  forward-ports:
  source-ports:
  icmp-blocks:
  rich rules:

Si se bloquea, reinicie el servidor (la mayoría de los paneles de control VPS tienen una opción para esto) y vuelva a intentarlo.

Fuentes:

https://docs.rockylinux.org/guides/security/firewalld/