{"id":12981,"date":"2020-04-09T01:48:22","date_gmt":"2020-04-09T01:48:22","guid":{"rendered":"https:\/\/www.semigataweb.com\/blog\/?p=12981"},"modified":"2020-04-15T04:25:52","modified_gmt":"2020-04-15T04:25:52","slug":"cara-setup-firewalld-pada-centos-7","status":"publish","type":"post","link":"https:\/\/semigataweb.com\/blog\/cara-setup-firewalld-pada-centos-7\/","title":{"rendered":"Cara Setup FirewallD pada CentOS 7"},"content":{"rendered":"\n

Firewalld adalah antarmuka untuk sistem penyaringan paket iptables<\/strong> yang disediakan oleh kernel Linux. Dalam tutorial ini, kami akan membahas cara setup FirewallD pada CentOS 7.<\/p>\n\n\n\n

\"Cara
Cara Setup FirewallD pada CentOS 7<\/figcaption><\/figure>\n\n\n\n

Contents<\/p>

    • <\/li>
    • <\/li><\/ul><\/li>
    • <\/li>
      • <\/li>
      • <\/li><\/ul><\/li>
        • <\/li>
        • <\/li><\/ul><\/li>
          • <\/li>
            • <\/li>
            • <\/li><\/ul><\/li><\/ul><\/li>
            • <\/li><\/ul><\/div>\n

              Konsep Dasar di Firewall<\/span><\/h3>\n\n\n\n

              Sebelum mulai membahas tentang bagaimana menggunakan utilitas firewall-cmd<\/code> dalam mengelola konfigurasi firewall Anda, kita perlu membiasakan diri dengan beberapa konsep dasar yang diperkenalkan oleh tool tersebut.<\/p>\n\n\n\n

              Zona<\/span><\/h4>\n\n\n\n

              firewalld<\/code> daemon mengelola kelompok aturan menggunakan entitas yang disebut “zona”. Zona pada dasarnya adalah seperangkat aturan yang menentukan lalu lintas apa yang diizinkan bergantung pada tingkat kepercayaan yang Anda miliki dalam jaringan yang terhubung dengan komputer Anda. Antarmuka jaringan diberi zona untuk menentukan perilaku yang harus diizinkan firewall.<\/p>\n\n\n\n

              Komputer yang sering berpindah jaringan (seperti laptop) menyediakan metode yang baik dalam mengubah aturan tergantung pada lingkungan jaringannya. Komputer tersebut mungkin akan menerapkan aturan yang ketat dengan melarang sebagian besar lalu lintas saat beroperasi pada jaringan WiFi publik, sambil memungkinkan pembatasan yang lebih longgar saat terhubung dengan jaringan rumah Anda. Untuk server, zona<\/strong> ini tidak begitu berpengaruh karena lingkungan jaringan yang jarang berubah.<\/p>\n\n\n\n

              Terlepas dari seberapa dinamis lingkungan jaringan Anda, tetaplah penting untuk memahami ide umum di balik setiap zona<\/strong> yang telah ditentukan untukfirewalld<\/code>. Secara berurutan dari paling tidak dipercaya<\/strong> <\/strong>sampai paling dipercaya<\/strong><\/strong><\/strong>, zona yang telah ditentukan di dalam firewalld<\/code> antara lain:<\/p>\n\n\n\n

              • drop<\/strong>: Level terendah kepercayaan. Semua koneksi yang masuk dijatuhkan tanpa reply dan hanya koneksi keluar yang memungkinkan.<\/li>
              • block<\/strong>: Sama dengan di atas, tetapi bukannya menjatuhkan koneksi, permintaan yang masuk ditolak dengan pesan icmp-host-prohibited<\/code> atauicmp6-adm-prohibited<\/code>.<\/li>
              • public<\/strong>: Merupakan jaringan publik yang tidak terpercaya. Anda tidak mempercayai komputer lain tetapi dapat mengizinkan koneksi masuk yang dipilih berdasarkan kasus per kasus.<\/li>
              • external<\/strong>: Jaringan eksternal jika Anda menggunakan firewall sebagai gateway Anda. Ini dikonfigurasi untuk penyamaran NAT sehingga jaringan internal Anda tetap pribadi tetapi dapat dijangkau.<\/li>
              • internal<\/strong>: Sisi lain dari zona eksternal, digunakan untuk bagian internal gateway. Komputer cukup dapat dipercaya dan beberapa layanan tambahan tersedia.<\/li>
              • dmz<\/strong>: Digunakan untuk komputer yang berlokasi di DMZ (komputer terisolasi yang tidak akan memiliki akses ke seluruh jaringan Anda). Hanya koneksi masuk tertentu yang diizinkan.<\/li>
              • work<\/strong>: Digunakan untuk mesin kerja. Percaya pada sebagian besar komputer di jaringan. Beberapa layanan mungkin diizinkan.<\/li>
              • home<\/strong>: Lingkungan rumah. Ini umumnya menyiratkan bahwa Anda mempercayai sebagian besar komputer lain dan bahwa beberapa layanan lagi akan diterima.<\/li>
              • trusted<\/strong>: Percaya pada semua mesin di jaringan. Yang paling terbuka dari opsi yang tersedia dan harus digunakan hemat.<\/li><\/ul>\n\n\n\n

                Untuk menggunakan firewall, kita dapat membuat aturan dan mengubah properti zona<\/strong> dan kemudian menetapkan antarmuka jaringan kita ke zona<\/strong> mana saja yang paling tepat.<\/p>\n\n\n\n

                Keberlangsungan Aturan <\/span><\/h4>\n\n\n\n

                Dalam firewalld, aturan dapat berlangsung secara permanen atau sementara. Jika aturan ditambahkan atau diubah, secara default, perilaku firewall yang saat ini berjalan diubah. Pada boot berikutnya, aturan lama akan dikembalikan.<\/p>\n\n\n\n

                Kebanyakan operasi firewall-cmd<\/code> dapat menggunakan flag --permanent<\/code> untuk menunjukkan bahwa firewall non-ephemeral harus ditargetkan. Ini akan memengaruhi set aturan yang dimuat ulang saat boot. Pemisahan ini berarti bahwa Anda dapat menguji aturan dalam instance firewall aktif Anda dan kemudian memuat ulang jika ada masalah. Anda juga dapat menggunakan flag --permanent<\/code> untuk membangun seluruh rangkaian aturan dari waktu ke waktu yang semuanya akan diterapkan sekaligus ketika perintah memuat ulang dikeluarkan.<\/p>\n\n\n\n

                Instal dan Aktifkan Firewall Anda untuk Memulai saat Boot<\/span><\/h3>\n\n\n\n

                firewalld<\/code> diinstal secara default pada beberapa distribusi Linux, termasuk CentOS 7. Namun, Anda mungkin perlu menginstal firewalld sendiri:<\/p>\n\n\n\n

                sudo yum install firewalld<\/pre>\n\n\n\n
                Setelah Anda menginstal firewalld<\/code>, Anda dapat mengaktifkan service lalu reboot server Anda. Perlu diingat bahwa mengaktifkan firewalld akan menyebabkan service dimulai saat boot. Ini adalah praktik terbaik untuk membuat aturan firewall Anda dan mengambil kesempatan untuk mengujinya sebelum mengonfigurasi perilaku ini untuk menghindari masalah potensial.<\/p>\n\n\n\n
                sudo systemctl enable firewalld\nsudo reboot<\/pre>\n\n\n\n
                Ketika server di-restart, firewall Anda akan dinyalakan, antarmuka jaringan Anda harus dimasukkan ke dalam zona yang Anda konfigurasi (atau kembali ke zona default yang dikonfigurasi), dan aturan apa pun yang terkait dengan zona tersebut akan diterapkan ke terkait antarmuka.<\/p>\n\n\n\n
                Kami dapat memverifikasi bahwa layanan ini berjalan dan dapat dijangkau dengan mengetik:<\/p>\n\n\n\n
                sudo firewall-cmd --state<\/pre>\n\n\n\n
                outputrunning<\/pre>\n\n\n\n
                Ini menunjukkan bahwa firewall kami aktif dan berjalan dengan konfigurasi default.<\/p>\n\n\n\n
                Mengenal Aturan Firewall<\/span><\/h3>\n\n\n\n
                Sebelum kita mulai membuat modifikasi, kita harus membiasakan diri dengan lingkungan default dan aturan yang disediakan oleh daemon.<\/p>\n\n\n\n
                Menjelajahi Defaults<\/span><\/h4>\n\n\n\n
                Kita dapat melihat zona mana yang saat ini dipilih sebagai default dengan mengetik:<\/p>\n\n\n\n
                firewall-cmd --get-default-zone<\/pre>\n\n\n\n
                outputpublic<\/pre>\n\n\n\n
                Karena kita belum diberi firewalld<\/code> perintah apa pun untuk menyimpang dari zona default, dan tidak ada antarmuka kami yang dikonfigurasi untuk mengikat ke zona lain, zona itu juga akan menjadi satu-satunya zona “aktif” (zona yang mengendalikan lalu lintas untuk antarmuka kami). Kami dapat memverifikasi itu dengan mengetik:<\/p>\n\n\n\n
                firewall-cmd --get-active-zones<\/pre>\n\n\n\n
                outputpublic\n  interfaces: eth0 eth1<\/pre>\n\n\n\n
                Di sini, kita dapat melihat bahwa server contoh kita memiliki dua antarmuka jaringan yang dikendalikan oleh firewall (eth0<\/code> dan eth1<\/code>). Keduanya saat ini dikelola sesuai dengan aturan yang ditentukan untuk zona publik.<\/p>\n\n\n\n
                Bagaimana kita tahu aturan apa yang dikaitkan dengan zona publik? Kami dapat mencetak konfigurasi zona default dengan mengetik:<\/p>\n\n\n\n
                sudo firewall-cmd --list-all<\/pre>\n\n\n\n
                outputpublic (default, active)\n  target: default\n  icmp-block-inversion: no\n  interfaces: eth0 eth1\n  sources: \n  services: ssh dhcpv6-client\n  ports: \n  protocols: \n  masquerade: no\n  forward-ports: \n  source-ports: \n  icmp-blocks: \n  rich rules: <\/pre>\n\n\n\n
                Kita dapat mengetahui dari output bahwa zona ini adalah default dan aktif dan bahwaeth0<\/code> dan eth1<\/code> antarmuka dikaitkan dengan zona ini (kami sudah tahu semua ini dari pertanyaan sebelumnya). Namun, kita juga dapat melihat bahwa zona ini memungkinkan operasi normal yang terkait dengan klien DHCP (untuk penugasan alamat IP) dan SSH (untuk administrasi jarak jauh).<\/p>\n\n\n\n
                Menjelajahi Zona Alternatif<\/span><\/h4>\n\n\n\n
                Untuk mendapatkan daftar zona yang tersedia, ketik:<\/p>\n\n\n\n
                firewall-cmd --get-zones<\/pre>\n\n\n\n
                outputblock dmz drop external home internal public trusted work<\/pre>\n\n\n\n
                Kita dapat melihat konfigurasi spesifik yang terkait dengan zona dengan memasukkan parameter --zone=<\/code> dalam command --list-all<\/code> :<\/p>\n\n\n\n
                sudo firewall-cmd --zone=home --list-all<\/pre>\n\n\n\n
                outputhome\n  interfaces: \n  sources: \n  services: dhcpv6-client ipp-client mdns samba-client ssh\n  ports: \n  masquerade: no\n  forward-ports: \n  icmp-blocks: \n  rich rules:<\/pre>\n\n\n\n
                Anda dapat menampilkan semua definisi zona dengan menggunakan pilihan --list-all-zones<\/code> . Anda mungkin ingin menyalurkan output ke pager agar lebih mudah dilihat:<\/p>\n\n\n\n
                sudo firewall-cmd --list-all-zones | less<\/pre>\n\n\n\n
                Memilih Zona untuk Antarmuka Anda<\/span><\/h3>\n\n\n\n
                Kecuali jika Anda telah mengkonfigurasi antarmuka jaringan, jika tidak setiap antarmuka akan diletakkan di zona default ketika firewall di-boot.<\/p>\n\n\n\n
                Mengubah Zona Antarmuka<\/span><\/h4>\n\n\n\n
                Anda dapat mentransisikan antarmuka antar zona selama sesi dengan menggunakan parameter --zone=<\/code> dikombinasikan dengan parameter --change-interface=<\/code> . Seperti semua perintah yang memodifikasi firewall, Anda harus menggunakansudo<\/code>.<\/p>\n\n\n\n
                Sebagai contoh, kita dapat mentransisikan antarmuka kita eth0<\/code>  ke zona “home” dengan mengetik:<\/p>\n\n\n\n
                sudo firewall-cmd --zone=home --change-interface=eth0<\/pre>\n\n\n\n
                output\nsuccess<\/pre>\n\n\n\n
                Catatan<\/strong> 
                Setiap kali Anda mentransisikan antarmuka ke zona baru, perlu diketahui bahwa Anda mungkin memodifikasi layanan yang akan dioperasikan. Sebagai contoh, di sini kita pindah ke zona “home”, yang menyediakan SSH. Ini berarti koneksi kita tidak boleh putus. Beberapa zona lain tidak mengaktifkan SSH secara default dan jika koneksi Anda terputus saat menggunakan salah satu zona ini, Anda mungkin tidak dapat masuk kembali.<\/p>\n\n\n\n
                Kami dapat memverifikasi bahwa ini berhasil dengan meminta zona aktif lagi:<\/p>\n\n\n\n
                firewall-cmd --get-active-zones<\/pre>\n\n\n\n
                outputhome\n  interfaces: eth0\npublic\n  interfaces: eth1<\/pre>\n\n\n\n
                Menyesuaikan Zona Default<\/span><\/h4>\n\n\n\n
                Jika semua antarmuka Anda dapat ditangani dengan baik oleh satu zona, mungkin lebih mudah untuk hanya memilih zona default terbaik dan kemudian menggunakannya untuk konfigurasi Anda.<\/p>\n\n\n\n
                Anda dapat mengubah zona default dengan parameter --set-default-zone=<\/code> . Hal tersebut akan mengubah antarmuka apa pun yang telah kembali ke default ke zona baru:<\/p>\n\n\n\n
                sudo firewall-cmd --set-default-zone=home<\/pre>\n\n\n\n
                outputsuccess<\/pre>\n\n\n\n
                Aturan Pengaturan untuk Aplikasi Anda<\/span><\/h3>\n\n\n\n
                Merupakan hal mudah untuk mendefinisikan pengecualian firewall untuk layanan yang ingin Anda sediakan. Berikut merupakan panduannya.<\/p>\n\n\n\n
                Menambahkan Layanan ke Zona Anda<\/span><\/h4>\n\n\n\n
                Metode termudah adalah dengan menambahkan layanan atau port yang Anda butuhkan ke zona yang Anda gunakan. Sekali lagi, Anda bisa mendapatkan daftar layanan yang tersedia dengan pilihan --get-services<\/code> :<\/p>\n\n\n\n
                firewall-cmd --get-services<\/pre>\n\n\n\n
                output\nRH-Satellite-6 amanda-client amanda-k5-client bacula bacula-client bitcoin bitcoin-rpc bitcoin-testnet bitcoin-testnet-rpc ceph ceph-mon cfengine condor-collector ctdb dhcp dhcpv6 dhcpv6-client dns docker-registry dropbox-lansync elasticsearch freeipa-ldap freeipa-ldaps freeipa-replication freeipa-trust ftp ganglia-client ganglia-master high-availability http https imap imaps ipp ipp-client ipsec iscsi-target kadmin kerberos kibana klogin kpasswd kshell ldap ldaps libvirt libvirt-tls managesieve mdns mosh mountd ms-wbt mssql mysql nfs nrpe ntp openvpn ovirt-imageio ovirt-storageconsole ovirt-vmconsole pmcd pmproxy pmwebapi pmwebapis pop3 pop3s postgresql privoxy proxy-dhcp ptp pulseaudio puppetmaster quassel radius rpc-bind rsh rsyncd samba samba-client sane sip sips smtp smtp-submission smtps snmp snmptrap spideroak-lansync squid ssh synergy syslog syslog-tls telnet tftp tftp-client tinc tor-socks transmission-client vdsm vnc-server wbem-https xmpp-bosh xmpp-client xmpp-local xmpp-server<\/pre>\n\n\n\n
                Catatan<\/strong>
                Anda bisa mendapatkan detail lebih lanjut tentang masing-masing layanan ini dengan melihat file .xml<\/code>  yang terkait dalam direktori \/usr\/lib\/firewalld\/services<\/code>. Misalnya, layanan SSH didefinisikan seperti ini:<\/p>\n\n\n\n
                \/usr\/lib\/firewalld\/services\/ssh.xml\n<?xml version=\"1.0\" encoding=\"utf-8\"?>\n<service>\n  <short>SSH<\/short>\n  <description>Secure Shell (SSH) is a protocol for logging into and executing commands on remote machines. It provides secure encrypted communications. If you plan on accessing your machine remotely via SSH over a firewalled interface, enable this option. You need the openssh-server package installed for this option to be useful.<\/description>\n  <port protocol=\"tcp\" port=\"22\"\/>\n<\/service><\/pre>\n\n\n\n
                Anda dapat mengaktifkan layanan untuk zona menggunakan parameter --add-service=<\/code>. Operasi akan menargetkan zona default atau zona apa pun yang ditentukan oleh parameter --zone=<\/code>. Secara default, ini hanya akan menyesuaikan sesi firewall saat ini. Anda dapat menyesuaikan konfigurasi firewall permanen dengan memasukkan flag--permanent<\/code>.<\/p>\n\n\n\n
                Misalnya, jika kami menjalankan server web yang melayani lalu lintas HTTP konvensional, kami dapat mengizinkan lalu lintas ini untuk antarmuka di zona “publik” kami untuk sesi ini dengan mengetik:<\/p>\n\n\n\n
                sudo firewall-cmd --zone=public --add-service=http<\/pre>\n\n\n\n
                Anda dapat meninggalkan --zone=<\/code> jika Anda ingin memodifikasi zona default. Kami dapat memverifikasi operasi berhasil dengan menggunakan operasi --list-all<\/code> atau --list-services<\/code> :<\/p>\n\n\n\n
                sudo firewall-cmd --zone=public --list-services<\/pre>\n\n\n\n
                output\ndhcpv6-client http ssh<\/pre>\n\n\n\n
                Setelah Anda menguji apakah semuanya berfungsi sebagaimana mestinya, Anda mungkin ingin memodifikasi aturan firewall permanen sehingga layanan Anda akan tetap tersedia setelah reboot. Kita dapat menjadikan zona “publik” kami berubah secara permanen dengan mengetik:<\/p>\n\n\n\n
                sudo firewall-cmd --zone=public --permanent --add-service=http<\/pre>\n\n\n\n
                output\nsuccess<\/pre>\n\n\n\n
                Anda dapat memverifikasi bahwa ini berhasil dengan menambahkan flag --permanent<\/code> ke operasi --list-services<\/code> . Anda memerlukansudo<\/code> untuk segala operasi --permanent<\/code>:<\/p>\n\n\n\n
                sudo firewall-cmd --zone=public --permanent --list-services<\/pre>\n\n\n\n
                output\ndhcpv6-client http ssh<\/pre>\n\n\n\n
                Zona “publik” Anda sekarang akan mengizinkan lalu lintas web HTTP di port 80. Jika server web Anda dikonfigurasi untuk menggunakan SSL \/ TLS, Anda juga ingin menambahkan layanan https<\/code> . Kita bisa menambahkannya ke sesi saat ini dan aturan-permanen dengan mengetik:<\/p>\n\n\n\n
                sudo firewall-cmd --zone=public --add-service=https\nsudo firewall-cmd --zone=public --permanent --add-service=https<\/pre>\n\n\n\n
                Bagaimana Jika Tidak Ada Layanan Yang Sesuai?<\/span><\/h4>\n\n\n\n
                Layanan firewall yang disertakan dengan instalasi firewalld mewakili banyak persyaratan paling umum untuk aplikasi yang mungkin ingin Anda akses. Namun, kemungkinan akan ada skenario di mana layanan ini tidak sesuai dengan kebutuhan Anda.<\/p>\n\n\n\n
                Dalam situasi ini, Anda memiliki dua opsi:<\/p>\n\n\n\n
                1. Membuka Port untuk Zona Anda<\/span><\/h5>\n\n\n\n
                Cara termudah untuk menambahkan dukungan untuk aplikasi spesifik Anda adalah membuka port yang digunakannya di zona yang sesuai. Ini semudah menentukan port atau kisaran port, dan protokol terkait untuk port yang perlu Anda buka.<\/p>\n\n\n\n
                Misalnya, jika aplikasi kita berjalan pada port 5000 dan menggunakan TCP, kita bisa menambahkan ini ke zona “publik” untuk sesi ini menggunakan parameter --add-port=<\/code>. Protokol dapat berupa keduanya tcp<\/code> atau udp<\/code>:<\/p>\n\n\n\n
                sudo firewall-cmd --zone=public --add-port=5000\/tcp<\/pre>\n\n\n\n
                output\nsuccess<\/pre>\n\n\n\n
                Kami dapat memverifikasi bahwa ini berhasil menggunakan operasi --list-ports<\/code> :<\/p>\n\n\n\n
                sudo firewall-cmd --zone=public --list-ports<\/pre>\n\n\n\n
                output\n5000\/tcp<\/pre>\n\n\n\n
                Dimungkinkan juga untuk menentukan kisaran port berurutan dengan memisahkan port awal dan akhir dalam kisaran dengan tanda hubung. Misalnya, jika aplikasi kita menggunakan port UDP 4990 hingga 4999, kita bisa membukanya di “publik” dengan mengetik:<\/p>\n\n\n\n
                sudo firewall-cmd --zone=public --add-port=4990-4999\/udp<\/pre>\n\n\n\n
                Setelah pengujian, kami mungkin ingin menambahkan ini ke firewall permanen. Anda dapat melakukannya dengan mengetik:<\/p>\n\n\n\n
                sudo firewall-cmd --zone=public --permanent --add-port=5000\/tcp\nsudo firewall-cmd --zone=public --permanent --add-port=4990-4999\/udp\nsudo firewall-cmd --zone=public --permanent --list-ports<\/pre>\n\n\n\n
                output\nsuccess\nsuccess\n5000\/tcp 4990-4999\/udp<\/pre>\n\n\n\n
                2. Menentukan Layanan<\/span><\/h5>\n\n\n\n
                Membuka port untuk zona Anda mudah, tetapi bisa sulit untuk melacak apa tujuan masing-masing. Jika Anda pernah menonaktifkan layanan di server Anda, Anda mungkin kesulitan mengingat port mana yang telah dibuka masih diperlukan. Untuk menghindari situasi ini, dimungkinkan untuk mendefinisikan layanan.<\/p>\n\n\n\n
                Layanan hanyalah kumpulan port dengan nama dan deskripsi yang terkait. Menggunakan layanan lebih mudah dikelola daripada port, tetapi membutuhkan sedikit pekerjaan di muka. Cara termudah untuk memulai adalah menyalin skrip yang ada (temukan di \/usr\/lib\/firewalld\/services<\/code>) ke direktori \/etc\/firewalld\/services<\/code>  dimana firewall mencari definisi non-standar.<\/p>\n\n\n\n
                Misalnya, kita dapat menyalin definisi layanan SSH untuk digunakan untuk definisi layanan “contoh” kami seperti ini. Nama file dikurangi akhiran .xml<\/code> akan menentukan nama layanan dalam daftar layanan firewall:<\/p>\n\n\n\n
                sudo cp \/usr\/lib\/firewalld\/services\/ssh.xml \/etc\/firewalld\/services\/example.xml<\/pre>\n\n\n\n
                Sekarang, Anda dapat menyesuaikan definisi yang ditemukan dalam file yang Anda salin:<\/p>\n\n\n\n
                sudo vi \/etc\/firewalld\/services\/example.xml<\/pre>\n\n\n\n
                Untuk memulai, file akan berisi definisi SSH yang Anda salin:<\/p>\n\n\n\n
                <?xml version=\"1.0\" encoding=\"utf-8\"?>\n<service>\n  <short>SSH<\/short>\n  <description>Secure Shell (SSH) is a protocol for logging into and executing commands on remote machines. It provides secure encrypted communications. If you plan on accessing your machine remotely via SSH over a firewalled interface, enable this option. You need the openssh-server package installed for this option to be useful.<\/description>\n  <port protocol=\"tcp\" port=\"22\"\/>\n<\/service><\/pre>\n\n\n\n
                Mayoritas definisi ini sebenarnya adalah metadata. Anda akan ingin mengubah nama pendek untuk layanan di dalam tag <short><\/code> . Ini adalah nama yang bisa dibaca manusia untuk layanan Anda. Anda juga harus menambahkan deskripsi sehingga Anda memiliki lebih banyak informasi jika Anda perlu mengaudit layanan. Satu-satunya konfigurasi yang perlu Anda buat yang benar-benar memengaruhi fungsionalitas layanan kemungkinan adalah definisi port tempat Anda mengidentifikasi nomor port dan protokol yang ingin Anda buka. Ini dapat ditentukan beberapa kali.<\/p>\n\n\n\n
                Untuk layanan “contoh” kami, bayangkan bahwa kita perlu membuka port 7777 untuk TCP dan 8888 untuk UDP. Dengan memasuki mode INSERT dengan menekani<\/code>, kita dapat memodifikasi definisi yang ada dengan sesuatu seperti ini:<\/p>\n\n\n\n
                <?xml version=\"1.0\" encoding=\"utf-8\"?>\n<service>\n  <short>Example Service<\/short>\n  <description>This is just an example service.  It probably shouldn't be used on a real system.<\/description>\n  <port protocol=\"tcp\" port=\"7777\"\/>\n  <port protocol=\"udp\" port=\"8888\"\/>\n<\/service><\/pre>\n\n\n\n
                Klik ESC<\/code>, lalu tekan :x<\/code> untuk menyimpan dan menutup file.<\/p>\n\n\n\n
                Muat ulang firewall Anda untuk mendapatkan akses ke layanan baru Anda:<\/p>\n\n\n\n
                sudo firewall-cmd --reload<\/pre>\n\n\n\n
                Anda dapat melihat bahwa itu sekarang di antara daftar layanan yang tersedia:<\/p>\n\n\n\n
                firewall-cmd --get-services<\/pre>\n\n\n\n
                output\nRH-Satellite-6 amanda-client amanda-k5-client bacula bacula-client bitcoin bitcoin-rpc bitcoin-testnet bitcoin-testnet-rpc ceph ceph-mon cfengine condor-collector ctdb dhcp dhcpv6 dhcpv6-client dns docker-registry dropbox-lansync elasticsearch example freeipa-ldap freeipa-ldaps freeipa-replication freeipa-trust ftp ganglia-client ganglia-master high-availability http https imap imaps ipp ipp-client ipsec iscsi-target kadmin kerberos kibana klogin kpasswd kshell ldap ldaps libvirt libvirt-tls managesieve mdns mosh mountd ms-wbt mssql mysql nfs nrpe ntp openvpn ovirt-imageio ovirt-storageconsole ovirt-vmconsole pmcd pmproxy pmwebapi pmwebapis pop3 pop3s postgresql privoxy proxy-dhcp ptp pulseaudio puppetmaster quassel radius rpc-bind rsh rsyncd samba samba-client sane sip sips smtp smtp-submission smtps snmp snmptrap spideroak-lansync squid ssh synergy syslog syslog-tls telnet tftp tftp-client tinc tor-socks transmission-client vdsm vnc-server wbem-https xmpp-bosh xmpp-client xmpp-local xmpp-server\n<\/pre>\n\n\n\n
                Anda sekarang dapat menggunakan layanan ini di zona Anda seperti biasa.<\/p>\n\n\n\n
                Menciptakan Zona Anda Sendiri<\/span><\/h3>\n\n\n\n
                Meskipun zona yang telah ditentukan mungkin akan lebih dari cukup untuk sebagian besar pengguna, akan sangat membantu untuk menentukan zona Anda sendiri yang lebih deskriptif dari fungsinya.<\/p>\n\n\n\n
                Misalnya, Anda mungkin ingin membuat zona untuk server web Anda, yang disebut “publicweb”. Namun, Anda mungkin ingin memiliki zona lain yang dikonfigurasi untuk layanan DNS yang Anda berikan di jaringan pribadi Anda. Anda mungkin menginginkan zona yang disebut “privateDNS” untuk itu.<\/p>\n\n\n\n
                Saat menambahkan zona, Anda harus menambahkannya ke konfigurasi firewall permanen. Anda kemudian dapat memuat ulang untuk membawa konfigurasi ke sesi berjalan Anda. Misalnya, kita bisa membuat dua zona yang kita bahas di atas dengan mengetik:<\/p>\n\n\n\n
                sudo firewall-cmd --permanent --new-zone=publicweb\nsudo firewall-cmd --permanent --new-zone=privateDNS<\/pre>\n\n\n\n
                Anda dapat memverifikasi bahwa ini ada dalam konfigurasi permanen Anda dengan mengetik:<\/p>\n\n\n\n
                sudo firewall-cmd --permanent --get-zones<\/pre>\n\n\n\n
                output\nblock dmz drop external home internal privateDNS public publicweb trusted work<\/pre>\n\n\n\n
                Seperti yang dinyatakan sebelumnya, ini tidak akan tersedia dalam contoh firewall saat ini:<\/p>\n\n\n\n
                firewall-cmd --get-zones<\/pre>\n\n\n\n
                output\nblock dmz drop external home internal public trusted work<\/pre>\n\n\n\n
                Muat ulang firewall untuk membawa zona baru ini ke konfigurasi aktif:<\/p>\n\n\n\n
                sudo firewall-cmd --reload\nfirewall-cmd --get-zones<\/pre>\n\n\n\n
                output\nblock dmz drop external home internal privateDNS public publicweb trusted work<\/pre>\n\n\n\n
                Sekarang, Anda dapat mulai menetapkan layanan dan port yang sesuai untuk zona Anda. Biasanya ide yang baik untuk menyesuaikan instance aktif dan kemudian mentransfer perubahan itu ke konfigurasi permanen setelah pengujian. Misalnya, untuk zona “jaringan publik”, Anda mungkin ingin menambahkan layanan SSH, HTTP, dan HTTPS:<\/p>\n\n\n\n
                sudo firewall-cmd --zone=publicweb --add-service=ssh\nsudo firewall-cmd --zone=publicweb --add-service=http\nsudo firewall-cmd --zone=publicweb --add-service=https\nsudo firewall-cmd --zone=publicweb --list-all<\/pre>\n\n\n\n
                output\npublicweb\n  target: default\n  icmp-block-inversion: no\n  interfaces: \n  sources: \n  services: ssh http https\n  ports: \n  protocols: \n  masquerade: no\n  forward-ports: \n  source-ports: \n  icmp-blocks: \n  rich rules:<\/pre>\n\n\n\n
                Demikian juga, kita dapat menambahkan layanan DNS ke zona “privateDNS” kami:<\/p>\n\n\n\n
                sudo firewall-cmd --zone=privateDNS --add-service=dns\nsudo firewall-cmd --zone=privateDNS --list-all<\/pre>\n\n\n\n
                output\nprivateDNS\n  interfaces: \n  sources: \n  services: dns\n  ports: \n  masquerade: no\n  forward-ports: \n  icmp-blocks: \n  rich rules:<\/pre>\n\n\n\n
                Kami kemudian dapat mengubah antarmuka kami ke zona baru ini untuk mengujinya:<\/p>\n\n\n\n
                sudo firewall-cmd --zone=publicweb --change-interface=eth0\nsudo firewall-cmd --zone=privateDNS --change-interface=eth1<\/pre>\n\n\n\n
                Pada titik ini, Anda memiliki kesempatan untuk menguji konfigurasi Anda. Jika nilai-nilai ini sesuai untuk Anda, Anda ingin menambahkan aturan yang sama ke konfigurasi permanen. Anda dapat melakukannya dengan menerapkan kembali aturan dengan flag--permanent<\/code> :<\/p>\n\n\n\n
                sudo firewall-cmd --zone=publicweb --permanent --add-service=ssh\nsudo firewall-cmd --zone=publicweb --permanent --add-service=http\nsudo firewall-cmd --zone=publicweb --permanent --add-service=https\nsudo firewall-cmd --zone=privateDNS --permanent --add-service=dns<\/pre>\n\n\n\n
                Setelah menerapkan aturan-aturan ini secara permanen, Anda dapat memulai ulang jaringan dan memuat ulang layanan firewall Anda:<\/p>\n\n\n\n
                sudo systemctl restart network\nsudo systemctl reload firewalld<\/pre>\n\n\n\n
                Validasi bahwa zona yang benar ditetapkan:<\/p>\n\n\n\n
                firewall-cmd --get-active-zones<\/pre>\n\n\n\n
                output\nprivateDNS\n  interfaces: eth1\npublicweb\n  interfaces: eth0<\/pre>\n\n\n\n
                Dan validasi bahwa layanan yang sesuai tersedia untuk kedua zona:<\/p>\n\n\n\n
                sudo firewall-cmd --zone=publicweb --list-services<\/pre>\n\n\n\n
                output\nhttp https ssh<\/pre>\n\n\n\n
                sudo firewall-cmd --zone=privateDNS --list-services<\/pre>\n\n\n\n
                output\ndnsdns<\/pre>\n\n\n\n
                Anda telah berhasil mengatur zona Anda sendiri! Jika Anda ingin menjadikan salah satu zona ini sebagai default untuk antarmuka lain, ingatlah untuk mengonfigurasi perilaku itu dengan parameter--set-default-zone=<\/code>:<\/p>\n\n\n\n
                sudo firewall-cmd --set-default-zone=publicweb<\/pre>\n\n\n\n
                <\/p>\n\n\n\n
                <\/p>\n\n\n\n
                <\/p>\n","protected":false},"excerpt":{"rendered":"
                Firewalld adalah antarmuka untuk sistem penyaringan paket iptables yang disediakan oleh kernel Linux. Dalam tutorial ini, kami akan membahas cara setup FirewallD pada CentOS 7. Contents Konsep Dasar di Firewall Sebelum mulai membahas tentang bagaimana menggunakan utilitas firewall-cmd dalam mengelola konfigurasi firewall Anda, kita perlu membiasakan diri dengan beberapa konsep dasar yang diperkenalkan oleh tool […]<\/p>\n","protected":false},"author":3,"featured_media":13011,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[33,29],"tags":[99],"_links":{"self":[{"href":"https:\/\/semigataweb.com\/blog\/wp-json\/wp\/v2\/posts\/12981"}],"collection":[{"href":"https:\/\/semigataweb.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/semigataweb.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/semigataweb.com\/blog\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/semigataweb.com\/blog\/wp-json\/wp\/v2\/comments?post=12981"}],"version-history":[{"count":29,"href":"https:\/\/semigataweb.com\/blog\/wp-json\/wp\/v2\/posts\/12981\/revisions"}],"predecessor-version":[{"id":13266,"href":"https:\/\/semigataweb.com\/blog\/wp-json\/wp\/v2\/posts\/12981\/revisions\/13266"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/semigataweb.com\/blog\/wp-json\/wp\/v2\/media\/13011"}],"wp:attachment":[{"href":"https:\/\/semigataweb.com\/blog\/wp-json\/wp\/v2\/media?parent=12981"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/semigataweb.com\/blog\/wp-json\/wp\/v2\/categories?post=12981"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/semigataweb.com\/blog\/wp-json\/wp\/v2\/tags?post=12981"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}