Metainformationen zur Seite
firewalld konfigurieren
Ab Version 6.0 verwendet der UCware Server firewalld als Frontend des im Grundsystem enthaltenen Paketfilters. Damit können Sie den Netzwerk-Schnittstellen der Telefonanlage geeignete Richtlinien für den jeweils erforderlichen Sicherheitsgrad zuweisen. Diese lassen sich bei Bedarf um individuelle Regeln ergänzen.
Sie können firewalld per SSH bzw. über die Kommandozeile aufrufen:
sudo firewall-cmd OPTION [OPTION...]
Hinweis:
Eine vollständige Übersicht möglicher Optionen finden Sie auf der Website von firewalld.
Manuelle Einstellungen gelten stets bis zum Neustart des Dienstes, sofern sie nicht mit der Option –permanent
ausgeführt werden. Auf diese Weise können Sie eine Konfiguration zunächst testen und im Zweifelsfall wie folgt zurücksetzen:
sudo firewall-cmd --reload
Falls Sie den Dienst nicht benötigen, können Sie Ihn dauerhaft ausschalten:
sudo systemctl disable firewalld
Voreingestellte Richtlinien
Firewalld fasst die erforderlichen Richtlinien für unterschiedliche Nutzungsszenarien in sogenannten Zonen zusammen. Eine Netzwerk-Schnittstelle arbeitet in genau einer Zone und unterliegt dabei den zugehörigen Richtlinien. Systemweit lässt sich eine Standardzone für alle nicht explizit zugewiesenen Schnittstellen definieren.
Nach einer Neuinstallation sind die folgenden Zonen verfügbar:
Name | Beschreibung |
---|---|
drop | Verwirft alle eingehenden Verbindungen. |
block | Weist alle eingehenden Verbindungen zurück. |
external | Zur Anwendung auf Routern bzw. zur Network Address Translation. |
dmz | Erlaubt eingehende Verbindungen über SSH . |
public | Erlaubt eingehende Verbindungen über SSH , mDNS und DHCP .Dies ist die voreingestellte Standard-Zone. |
work | Erlaubt eingehende Verbindungen über SSH , mDNS , IPP und DHCP . |
home | Erlaubt eingehende Verbindungen über SSH , mDNS , IPP , DHCP und SMB . |
internal | Entspricht home. |
trusted | Erlaubt alle Verbindungen. |
Hinweis:
Einzelheiten zur Konfiguration der voreingestellten Zonen finden Sie auf der Website von firewalld.
Wenn eine der voreingestellten Zonen für Ihr Nutzungsszenario ausreicht, müssen Sie lediglich die Anweisungen im letzten Abschnitt dieses Artikels ausführen.
Wenn keine der voreingestellten Zonen zu Ihrem Nutzungsszenario passt, haben Sie zwei Möglichkeiten:
- Sie können eine eigene Zone mit geeigneten Richtlinien erstellen. Dies ist nur für Anwendungsszenarien mit komplexen Richtlinien sinnvoll. Lesen Sie dazu die Dokumentation des Herstellers.
- Sie können die Richtlinie einer vorhandenen Zone um eigene Regeln für ausgewählte Services und/oder Ports ergänzen. Eine Kurzanleitung dazu finden Sie im Abschnitt Zone für UCware vorbereiten.
Standardzone anzeigen und ändern
UCware empfiehlt, eine Zone mit strengstmöglichen Richtlinien als systemweiten Standard zu verwenden und alle vorhandenen Netzwerk-Schnittstellen in vertrauenswürdigeren Zonen arbeiten zu lassen. Auf diese Weise stellen Sie sicher, dass neu hinzugefügte Schnittstellen automatisch der höchsten erforderlichen Sicherheitstufe unterliegen. Wenn die herstellerseitig als Standard definierte Zone public
diese Ansprüche nicht erfüllt, müssen Sie den default
-Status einer anderen Zone zuweisen.
Hinweis:
Wenn Sie eine neue default-Zone festlegen, werden die zugehörigen Regeln sofort angewandt:
- auf alle Schnittstellen, die keiner Zone zugewiesen sind
- auf alle Schnittstellen, die der ursprünglichen default-Zone zugewiesen waren
Um den systemweiten Standard festzulegen, gehen Sie wie folgt vor:
- Zeigen Sie die vorhandenen Zonen und ihre aktuelle Konfiguration an:
sudo firewall-cmd --list-all-zones
- Weisen Sie den Status
default
bei Bedarf einer anderen Zone zu:sudo firewall-cmd --set-default-zone=block
Zone für UCware vorbereiten
Die folgende Anleitung geht von einem konkreten Beispiel aus. Dabei wird die Richtlinie der voreingestellten Zone public
um weitere Regeln ergänzt. Passen Sie die Bezeichnung der Zone sowie die freigegebenen Services und Ports an Ihr eigenes Anwendungsszenario an.
- Wählen Sie aus den vorhandenen Zonen eine geeignete aus und zeigen Sie ihre aktuellen Einstellungen an:
sudo firewall-cmd --zone=public --list-all
Hinweis:
Die Ausgabe listet nur solche Services und Ports auf, die von der voreingestellten Richtlinie der Zone abweichen. - Um darüber hinaus weitere Services freizugeben, fügen Sie diese einzeln oder als Liste hinzu:
sudo firewall-cmd --zone=public --add-service=https
sudo firewall-cmd --zone=public --add-service={ntp,https,sips}
Dadurch werden die Standard-Ports der jeweiligen Services freigegeben.
- Um darüber hinaus weitere Ports und/oder Portbereiche freizugeben, fügen Sie diese einzeln oder als Liste hinzu:
sudo firewall-cmd --zone=public --add-port=8088/tcp
sudo firewall-cmd --zone=public --add-port={8088/tcp,10000-20000/udp}
- Zeigen Sie die neuen Einstellungen der Zone mit
--list-all
an und prüfen Sie diese.
- Um nicht benötigte Services oder Ports zu entfernen, verwenden Sie statt
--add
die Option--remove
.
Alle bisherigen Schritte wirken sich nur temporär aus und lassen sich mit sudo firewall-cmd --reload
zurücksetzen. Um die Einstellungen dauerhaft auf eine Netzwerk-Schnittstelle anzuwenden, führen Sie die Schritte im nächsten Abschnitt aus.
Netzwerk-Schnittstelle zuweisen
- Verschieben Sie die gewünschte Netzwerk-Schnittstelle aus ihrer aktuellen in die neue Zone :
sudo firewall-cmd --zone=[ZONE] --change-interface=[SCHNITTSTELLE]
Dadurch werden alle voreingestellten und manuell hinzugefügten Regeln der neuen Zone temporär auf die verschobene Schnittstelle angewandt.
- Übernehmen Sie Ihre temporären Änderungen dauerhaft:
sudo firewall-cmd --runtime-to-permanent
- Testen Sie die Funktionen des UCware Servers mit dem UCC-Client und/oder angeschlossenen Tischtelefonen.