1.1.

CONFIGURACION FIREWALL LINUX CENTOS 7

Qué es una zona

Una zona de red es aquella cuya función es definir el nivel de confianza que tendrá la
conexión de red. Estas zonas son administradas por Firewall en diversos grupos de
reglas y una zona puede ser usada por muchas conexiones de red.

Existen diversos tipos de zona en Firewalld, las cuales son:

Drop

Es el nivel de confianza más bajo, ya que todos los paquetes de entrada son rechazados de
forma automática y solo habilita los paquetes salientes.

Block

Este nivel de confianza es similar a Drop con la diferencia que los paquetes entrantes son
rechazados con mensajes icmp-host-prohibited para IPv4 y icmp6-adm-prohibited para IPv6.

Public

Este nivel de confianza hace referencia a las redes públicas no confiables, solo acepta
conexiones confiables.

External

Este tipo de nivel es usando cuando usamos el Firewall como puerta de enlace y su
enmascarado está habilitado por los routers.

DMZ

Este nivel es usado en equipos situados en una zona DMZ (Desmilitarizada), es decir, tiene
acceso público con restricción a la red interna. Solo acepta conexiones aceptadas.

Work

Este nivel es usado en áreas de trabajo por lo cual la mayor parte de los equipos de la red
tendrán acceso a ella.

Home

Este tipo de nivel es usado en un entorno de hogar y son aceptadas la mayoría de equipos.

Internal

Este tipo de nivel es usado en redes internas por lo que todos los equipos de la red serán
aceptados.

Trusted

Este es el nivel más alto y confía en todas las conexiones entrantes.

Como crear una regla permanente CentOS 7

Cuando configuramos Firewalld en CentOS 7 podemos crear dos tipos de reglas, permanentes
o inmediatas, de este modo cuando editamos una regla el cambio se vera de manera
automática peo al siguiente inicio de sesión esta regla será revertida. Para evitar esto debemos
usar el parámetro –permanent para que la regla sea continua y no se elimine en cada inicio de
sesión.
-permanent
Como iniciar servicio de Firewall en CentOS 7

Es importante que antes de crear las reglas necesarias con Firewalld activemos el servicio de
Firewalld, para ello ingresamos lo siguiente.
# sudo systemctl start firewalld.service

Instalar firewall en caso de error

En caso que sea desplegado un mensaje de error indicando que Firewalld no está instalado
podemos ejecutar el siguiente comando para su instalación:
# sudo yum install firewalld -y

Estado del servicio de Firewall

Para ver el estado del servicio de Firewall usaremos el siguiente comando. Podemos ver que su
estado es running (Corriendo). De este modo hemos habilitado el servicio y estamos en
condiciones de crear y editar las reglas del Firewall en CentOS 7.
# firewall-cmd –-state
Como ver la zona actual de CentOS 7
Podemos visualizar la zona actual en la cual se encuentra nuestro equipo usando el siguiente
comando.

# firewall-cmd --get-default-zone

Para conocer que reglas están asociadas a dicha zona podemos usar el siguiente comando:

# firewall-cmd --list-all

Podemos verificar que zonas están disponibles para usar ingresando el siguiente comando:

# firewall-cmd --get-zones

Es posible ver la configuración asociada a una zona usando el parámetro –zone; por ejemplo

# firewall-cmd --zone=home --list-all

Como seleccionar zonas para las interfaces de red en CentOS 7

Es posible que en una sesión activa deseemos asignar una zona
específica a una interfaz de red del equipo, para ello asignaremos la
zona home a la interfaz eth0 de CentOS 7:

# sudo firewall-cmd --zone=home --change-interface=eth0

Podemos ver que su estado es correcto, podemos validar esto usando el siguiente comando:
 # firewall-cmd --get-active-zones

El problema radica en que la interfaz volverá a su zona por defecto si no hemos configurado
una zona definida dentro de dicha interfaz, estas configuraciones de la interfaz están alojadas
dentro de la siguiente ruta:

# cd /etc/sysconfig/network-scripts

Los archivos dentro de este directorio están en el formato ifcfg-interface. Por ejemplo,
podemos definir la zona para la interfaz eth0 usando el siguiente comando:

# sudo nano /etc/sysconfig/network-scripts/ifcfg-eth0

Como ajustar reglas para las aplicaciones en CentOS 7

Podemos agregar excepciones al Firewall para que determinadas aplicaciones puedan ser
ejecutadas de forma directa sin ningún problema, para ver los servicios disponibles en CentOS
7 usaremos el siguiente comando:

# firewall-cmd --get-services

Para habilitar un servicio en una zona específica será necesario que usemos el parámetro
siguiente:

# -add-service= parameter

Si deseamos agregar el servicio http en la zona publica usaremos la siguiente sintaxis:

# sudo firewall-cmd --zone=public --add-service=http

Es posible ver todos los servicios en dicha zona, incluido el recién adicionado, usando el
siguiente comando

# firewall-cmd --zone=public --list-services

Ahora, si deseamos que dicho servicio sea permanente debemos agregar, como hemos
mencionado, el parámetro –permanent.