Metainformationen zur Seite
  •  

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen RevisionVorhergehende Überarbeitung
Nächste Überarbeitung		Vorhergehende Überarbeitung
installationshandbuch:firewalld [03.11.2023 08:30] – gelöscht - Externe Bearbeitung (Unbekanntes Datum) 127.0.0.1installationshandbuch:firewalld [05.11.2024 16:54] (aktuell) richard.neubert
Zeile 1: Zeile 1:
 +<WRAP hide>{{tag>red:initial red:proof}}</WRAP>
 +<WRAP>{{tag>gui:Kommandozeile func:Inbetriebnahme func:Firewall func:Ports func:Installation func:Aktualisierung}}</WRAP>
 +<WRAP 1050px>
  
 +
 +====== firewalld konfigurieren ======
 +
 +
 +Ab Version 6.0 verwendet der UCware Server //firewalld// als Frontend des im Grundsystem enthaltenen [[https://wiki.ubuntuusers.de/iptables/|Paketfilters]]. Damit können Sie den Netzwerk-Schnittstellen der Telefonanlage geeignete Richtlinien für den jeweils erforderlichen Sicherheitsgrad zuweisen. Diese lassen sich bei Bedarf um individuelle Regeln ergänzen.
 +
 +Sie können //firewalld// per SSH bzw. über die Kommandozeile aufrufen:
 +
 +<code bash>sudo firewall-cmd OPTION [OPTION...]</code>
 +
 +<WRAP tip>**Hinweis:**\\ Eine vollständige Übersicht möglicher Optionen finden Sie auf der [[https://firewalld.org/documentation/man-pages/firewall-cmd|Website]] von //firewalld//.</WRAP>
 +
 +Manuelle Einstellungen gelten stets bis zum Neustart des Dienstes, sofern sie nicht mit der Option ''--permanent'' ausgeführt werden. Auf diese Weise können Sie eine Konfiguration zunächst testen und im Zweifelsfall wie folgt zurücksetzen:
 +
 +<code bash>sudo firewall-cmd --reload</code>
 +
 +Falls Sie den Dienst nicht benötigen, können Sie Ihn dauerhaft ausschalten:
 +
 +<code bash>sudo systemctl disable firewalld</code>
 +
 +\\
 +===== Voreingestellte Richtlinien =====
 +
 +//Firewalld// fasst die erforderlichen Richtlinien für unterschiedliche Nutzungsszenarien in sogenannten [[https://firewalld.org/documentation/zone/|Zonen]] zusammen. Eine Netzwerk-Schnittstelle arbeitet in genau einer Zone und unterliegt dabei den zugehörigen Richtlinien. Systemweit lässt sich eine [[#Standardzone anzeigen und ändern|Standardzone]] für alle nicht explizit zugewiesenen Schnittstellen definieren.
 +
 +Nach einer Neuinstallation sind die folgenden Zonen verfügbar:
 +
 +|< 800px 100px - >|
 +^  Name      ^  Beschreibung                                                                                                                                           ^
 +|  drop      | <wrap lo>Verwirft alle eingehenden Verbindungen.</wrap>                                                                                                 |
 +|  block     | <wrap lo>Weist alle eingehenden Verbindungen zurück.</wrap>                                                                                             |
 +|  external  | <wrap lo>Zur Anwendung auf Routern bzw. zur Network Address Translation.</wrap>                                                                |
 +|  dmz       | <wrap lo>Erlaubt eingehende Verbindungen über ''SSH''.</wrap>                                                                                           |
 +|  public    | <wrap lo>Erlaubt eingehende Verbindungen über ''SSH'', ''mDNS'' und ''DHCP''.</wrap>\\ <wrap tip lo>Dies ist die voreingestellte Standard-Zone.</wrap>  |
 +|  work      | <wrap lo>Erlaubt eingehende Verbindungen über ''SSH'', ''mDNS'', ''IPP'' und ''DHCP''.</wrap>                                                           |
 +|  home      | <wrap lo>Erlaubt eingehende Verbindungen über ''SSH'', ''mDNS'', ''IPP'', ''DHCP'' und ''SMB''.</wrap>                                                  |
 +|  internal  | <wrap lo>Entspricht **home**.</wrap>                                                                                                                    |
 +|  trusted   | <wrap lo>Erlaubt alle Verbindungen.</wrap>                                                                                                              |
 +
 +<WRAP tip>**Hinweis:**\\ Einzelheiten zur Konfiguration der voreingestellten Zonen finden Sie auf der [[https://firewalld.org/documentation/zone/examples.html|Website]] von //firewalld//.</WRAP>
 +
 +Wenn eine der voreingestellten Zonen für Ihr Nutzungsszenario ausreicht, müssen Sie lediglich die Anweisungen im [[#Netzwerk-Schnittstelle zuweisen|letzten Abschnitt]] dieses Artikels ausführen.
 +
 +Wenn keine der voreingestellten Zonen zu Ihrem Nutzungsszenario passt, haben Sie zwei Möglichkeiten:
 +
 +<WRAP 800px>
 +  * <wrap lo>Sie können eine eigene Zone mit geeigneten Richtlinien erstellen. Dies ist nur für Anwendungsszenarien mit komplexen Richtlinien sinnvoll. Lesen Sie dazu die [[https://firewalld.org/documentation/man-pages/firewalld.zone.html|Dokumentation des Herstellers]].</wrap>
 +
 +  * <wrap lo>Sie können die Richtlinie einer vorhandenen Zone um eigene Regeln für ausgewählte [[https://firewalld.org/documentation/service/|Services]] und/oder Ports ergänzen. Eine Kurzanleitung dazu finden Sie im Abschnitt [[#Zone für UCware vorbereiten]].</wrap>
 +</WRAP>
 +
 +\\
 +===== Standardzone anzeigen und ändern =====
 +
 +UCware empfiehlt, eine Zone mit strengstmöglichen Richtlinien als systemweiten Standard zu verwenden und alle vorhandenen Netzwerk-Schnittstellen in vertrauenswürdigeren Zonen arbeiten zu lassen. Auf diese Weise stellen Sie sicher, dass neu hinzugefügte Schnittstellen automatisch der höchsten erforderlichen Sicherheitstufe unterliegen. Wenn die herstellerseitig als Standard definierte Zone ''public'' diese Ansprüche nicht erfüllt, müssen Sie den ''default''-Status einer anderen Zone zuweisen.
 +
 +<WRAP tip>**Hinweis:**\\ Wenn Sie eine neue default-Zone festlegen, werden die zugehörigen Regeln sofort angewandt:<WRAP outdent>
 +  * auf alle Schnittstellen, die **keiner** Zone zugewiesen sind
 +  * auf alle Schnittstellen, die der ursprünglichen default-Zone zugewiesen waren
 +</WRAP>
 +</WRAP>
 +
 +Um den systemweiten Standard festzulegen, gehen Sie wie folgt vor:
 +
 +  - Zeigen Sie die vorhandenen Zonen und ihre aktuelle Konfiguration an: <code>sudo firewall-cmd --list-all-zones</code>
 +  - Weisen Sie den Status ''default'' bei Bedarf einer anderen Zone zu: <code bash>sudo firewall-cmd --set-default-zone=block</code>
 +
 +
 +\\
 +===== Zone für UCware vorbereiten =====
 +
 +Die folgende Anleitung geht von einem konkreten Beispiel aus. Dabei wird die Richtlinie der voreingestellten Zone ''public'' um weitere Regeln ergänzt. Passen Sie die Bezeichnung der Zone sowie die freigegebenen Services und Ports an Ihr eigenes Anwendungsszenario an.  
 +
 +  - Wählen Sie aus den vorhandenen Zonen eine geeignete aus und zeigen Sie ihre aktuellen Einstellungen an: <code bash>sudo firewall-cmd --zone=public --list-all</code> <WRAP tip>**Hinweis:**\\ Die Ausgabe listet nur solche Services und Ports auf, die von der voreingestellten Richtlinie der Zone abweichen.</WRAP>
 +  - Um darüber hinaus weitere Services freizugeben, fügen Sie diese einzeln oder als Liste hinzu: <code bash>sudo firewall-cmd --zone=public --add-service=https</code> <code bash>sudo firewall-cmd --zone=public --add-service={ntp,https,sips}</code> Dadurch werden die Standard-Ports der jeweiligen Services freigegeben.
 +  - Um darüber hinaus weitere Ports und/oder Portbereiche freizugeben, fügen Sie diese einzeln oder als Liste hinzu: <code bash>sudo firewall-cmd --zone=public --add-port=8088/tcp</code> <code bash>sudo firewall-cmd --zone=public --add-port={8088/tcp,10000-20000/udp}</code>
 +  - Zeigen Sie die neuen Einstellungen der Zone mit ''%%--%%list-all'' an und prüfen Sie diese.\\ \\
 +  - Um nicht benötigte Services oder Ports zu entfernen, verwenden Sie statt ''%%--%%add'' die Option ''%%--%%remove''.
 +
 +Alle bisherigen Schritte wirken sich nur temporär aus und lassen sich mit ''sudo firewall-cmd %%--%%reload'' zurücksetzen. Um die Einstellungen dauerhaft auf eine Netzwerk-Schnittstelle anzuwenden, führen Sie die Schritte im nächsten Abschnitt aus.
 +
 +
 +\\
 +===== Netzwerk-Schnittstelle zuweisen =====
 +
 +  - Verschieben Sie die gewünschte Netzwerk-Schnittstelle aus ihrer aktuellen in die neue Zone : <code bash> sudo firewall-cmd --zone=[ZONE] --change-interface=[SCHNITTSTELLE]</code> <wrap lo>Dadurch werden alle voreingestellten und manuell hinzugefügten Regeln der neuen Zone **temporär** auf die verschobene Schnittstelle angewandt.</wrap>
 +  - Übernehmen Sie Ihre temporären Änderungen dauerhaft: <code bash>sudo firewall-cmd --runtime-to-permanent</code>
 +  - Testen Sie die Funktionen des UCware Servers mit dem UCC-Client und/oder angeschlossenen Tischtelefonen.
 +
 +</WRAP>