Firewalld (Multi Zonas)
Objetivos
- Comprender el concepto de zonas en firewalld y su utilidad en la gestión de tráfico de red.
- Configurar múltiples zonas en firewalld, asignando interfaces y reglas específicas a cada una.
- Permitir y restringir tráfico entre zonas, probando diferentes reglas de acceso.
- Validar el comportamiento de firewalld al gestionar la seguridad de diferentes entornos dentro del mismo sistema.
Entorno Inicial
- Usuario: student
- Máquina: servera
- Herramientas utilizadas: Shell Bash y utilidades básicas de Linux.
Pasos del Laboratorio
Prerequisitos
-
Inicio de sesión
- Inicia sesión en la máquina
serveradesdebastioncomo el usuariostudentutilizando la llave privada proporcionada:
ssh student-#-servera - Inicia sesión en la máquina
Paso 1: Validación de multi zonas
- Validar que el servicio de firewalld esté instalado, iniciado y habilitado:
dnf install firewalld -y systemctl is-active firewalld || echo "Start firewalld" && systemctl start firewalld systemctl is-enabled firewalld || echo "Enable firewalld" && systemctl enable firewalld - Validar estado actual de firewalld:
Salida similar:
firewall-cmd --list-allpublic (active) target: default icmp-block-inversion: no interfaces: eth0 sources: services: cockpit dhcpv6-client http https ssh ports: protocols: forward: yes masquerade: no forward-ports: source-ports: icmp-blocks: rich rules: - Quitar servicios diferentes a:
dhcpv6-clientysshde la zonapublic:firewall-cmd --zone=public --remove-service=http --remove-service=https --permanent - Validar cambios.
firewall-cmd --reload - Validar estado actual de firewalld:
Salida similar:
firewall-cmd --get-active-zonespublic interfaces: eth0Salida similar:firewall-cmd --list-all --zone=publicpublic (active) target: default icmp-block-inversion: no interfaces: eth0 sources: services: cockpit dhcpv6-client ssh ports: protocols: forward: yes masquerade: no forward-ports: source-ports: icmp-blocks: rich - Desde otro sistema (sistema 2 ) puede ejecutar:
Salida similar:
curl http://IP_SISTEMA_CON_FIREWALLD/test-firewalld.htmlcurl: (7) Failed to connect to: XXXSalida similar:curl -k https://IP_SISTEMA_CON_FIREWALLD/test-firewalld.htmlcurl: (7) Failed to connect to: XXX - Agregar IP de (sistema 2) a la zona trusted para permitir cualquier acceso desde ese sistema.
firewall-cmd --add-source IP_SISTEMA_2/32 --zone=trusted - Validar estado actual de firewalld:
Salida similar:
firewall-cmd --get-active-zonespublic interfaces: eth0 trusted sources: IP_SISTEMA_2/32Salida similar:firewall-cmd --list-all --zone=publicpublic (active) target: default icmp-block-inversion: no interfaces: eth0 sources: services: cockpit dhcpv6-client ssh ports: protocols: forward: yes masquerade: no forward-ports: source-ports: icmp-blocks: richSalida similar:firewall-cmd --list-all --zone=trustedtrusted (active) target: ACCEPT icmp-block-inversion: no interfaces: sources: IP_SISTEMA_2/32 services: ports: protocols: forward: yes masquerade: no forward-ports: source-ports: icmp-blocks: rich rules: - Desde otro sistema (sistema 2 ) puede ejecutar:
Salida:
curl http://IP_SISTEMA_CON_FIREWALLD/test-firewalld.htmlOK firewalSalida:curl -k https://IP_SISTEMA_CON_FIREWALLD/test-firewalld.htmlOK firewal - Hemos demostrado la funcionalidad de multiples zonas.
Resultados Esperados
- Firewalld correctamente configurado con múltiples zonas operativas.
- Acceso controlado según las reglas establecidas para cada zona.
- Verificación de conectividad entre zonas conforme a las políticas de seguridad definidas.
- Confirmación de que el puerto 22 (SSH) es accesible mediante las configuraciones de multizonas, asegurando la conectividad remota según las reglas establecidas.
- Identificación y resolución de posibles problemas de configuración.