KSL - UBL Merupakan Kelompok Riset Mahasiswa / Mahasiswi Dibidang Teknologi Informasi Khususnya FOSS (Free Open Source Software)

Jumat, 24 November 2017

Konfigurasi FirewallD di RHEL 6/7/Centos 7/Fedora 25/26



Apa sih Firewall?

Mungkin banyak dari kita yang sering keliru mengenai Firewall dengan Access Control List (ACL) atau bahkan banyak juga yang belum mengerti keduanya. Ok kita bahas dengan lugas perbedaannya supaya kita gak salah faham lagi.


Gambar diatas adalah contoh icon dari Firewall itu sendri namun bukan berarti kita menciptakan sebuah tembok yang ada apinya ya, karna pada sejatinya ini hanyalah sebuah analogi saja. Trus apa dong pengertian Firewall? Firewall merupakan metode keamanan dalam jaringan yang bersifat flexibel serta tegas. Flexibel karna dia bisa dengan mudah dirubah dalam membaca tag aktif dan tag pasif serta tegas dalam menetapkan ketentuannya. Jika dianalogikan lagi, firewall lebih seperti Polisi.


Access Control List


Gambar diatas adalah analogi dari ACL, kenapa digambarkan dengan gembok dan list? Karna pada dasarnya kita menggunakan sebuah list yang dijadikan sebagai control dalam jaringan kita. Tidak fleksibel karna bersifat paten dan akurat karna sudah dideklarsikan sebelumnya.Dari dua analogi diatas bahwa kita sudah tahu perbedaan dari keduanya, jadi untuk selanjutnya kalian sudah harus bisa tahu bedanya dan tidak salah dalam mengartikan ya.

PENGERTIAN DARI FIREWALLD

FirewallD adalah firewall dengan solusi yang komplit dan sudah tersedia di Centos 7/Fedora 25/26 dan RHEL 6/7. FirewallD berjalan di dalam terminal firewall-cmd sehingga kita harus mengkonfigurasinya dengan akurat. Sebelum kita mulai mengkonfigurasi FirewallD, ada baiknya kita mengerti terlebih dahulu konsep dasar dari firewall-cmd agar kita tidak salah dalam mengartikannya.

Zones

FirewallD mengantur dengan menggunakan kelompok aturan yang menggunakan entitas dan disebut dengan “zona”. Zona pada dasarnya adalah kumpulan dari intruksi yang memberikan intruksi jalur ini diizinkan atau tidak sesuai dengan tingkat kepercayan dari jaringan yang terhubung pada komputer kita. Antarmuka diberikan zona untuk menentukan perilaku yang harus diizinkan oleh Firewall.

Ada beberapa hal yang harus kita ketahui dalam mengkonfigurasi FirewallD, diantaranya :

drop : adalah tingkat kepercayaan yang paling rendah, semua koneksi akan dibuang dan tidak diberikan balasan dan mungkin hanya koneksi dari dalam saja yang dibolehkan untuk keluar.

block : hampir sama dengan drop, tapi bukan cuma dibuang tapi juga diberikan pesan dari icmp6-adm-prohibitted atau icmp-host-prohibitted.

public : Merupakan jaringan publik dan tidak tepercaya. Anda tidak mempercayai komputer lain namun mengizinkan koneksi masuk yang masuk pada basis kasus per kasus.

external : Jaringan eksternal jika Anda menggunakan firewall sebagai gateway Anda. Ini dikonfigurasi untuk NAT masquerading sehingga jaringan internal Anda tetap bersifat pribadi namun dapat dijangkau.

internal : Sisi lain dari zona eksternal, digunakan untuk bagian internal gateway. Komputer cukup dapat dipercaya dan beberapa layanan tambahan tersedia.

dmz : Digunakan untuk komputer yang berada di DMZ (komputer terisolasi yang tidak memiliki akses ke jaringan Anda yang lain). Hanya koneksi masuk tertentu yang diizinkan.

work : Digunakan untuk mesin kerja. Percaya sebagian besar komputer di jaringan. Beberapa layanan mungkin diperbolehkan.

home : Lingkungan rumah Ini umumnya menyiratkan bahwa Anda mempercayai sebagian besar komputer lain dan beberapa layanan lagi akan diterima.

trusted : Percaya semua mesin di jaringan. Yang paling terbuka dari pilihan yang tersedia dan harus digunakan secukupnya.


ATURAN PERMANEN

Jadi gini, dalam Firewall itu kita bisa set pemanen atau cuma sementara.Jika sebuah aturan ditambahkan atau diubah, secara default, perilaku firewall yang sedang berjalan dimodifikasi. Pada boot berikutnya, aturan lama akan dikembalikan.Sebagian besar operasi firewall-cmd dapat mengambil flag --permanent untuk menunjukkan bahwa firewall non-fana harus ditargetkan. Ini akan mempengaruhi aturan yang diisikan saat booting. Pemisahan ini berarti Anda dapat menguji aturan di contoh firewall aktif Anda dan kemudian mengisi ulang jika ada masalah. Anda juga dapat menggunakan flag --permanent untuk membangun seluruh rangkaian aturan dari waktu ke waktu yang semuanya akan diterapkan sekaligus saat perintah reload dikeluarkan.

Turning On/Nyalakan Firewall

Gunakan perintah : $ systemctl start firewalld.service


KONFIGURASI DASAR FIREWALLD


Telusuri FirewallD secara Defaults

Gunakan perintah : $ firewall-cmd –get-default-zone
Gambar diatas menunjukan bahwa zona yang sedang aktif adalah publik dan interface yangterhubung dengan zona tersebut adalah wlp3s0 (merupakan interface wireless) karna saya sedang menggunakan interface tsb.

Mencetak Rules/Aturan yang ada di zone Publik

Gunakan perintah : $ firewall-cmd –list-all
Gambar diatas merupakan konfigurasi default karna saya belum mengkonfigurasi FirewallD nya.


Telusuri Zona Alternatif

Gunakan perintah : $ firewall-cmd –get-zones
Nah disitu tertera zona alternatif yang bisa kita guakan selain publik. Untuk keterangan masing-masing zona bisa kalian browse lagi lebih mendalam.

Tampilkan konfigurasi salah satu zona secara menyeluruh

Gunakan perintah : $ firewall-cmd –zone=home –list-all
Pada kasus ini kita menggunakan zona ‘home’ untuk menampilkan konfigurasinya secara menyeluruh


atau kalian bisa menampilkan semua zona dengan konfigurasi mereka masing -masing dengan menggunakan perintah : $ firewall-cmd –list-all-zones | less


Merubah interface yang terhubung dengan salah satu zona

Kita cek terlebih dahulu interface apa saja yang ada didalam perangkat kita

 
Untuk kasus ini saya menggunakan interface docker0 untuk diaktifkan ke zona ‘home’. Kemudian gunakan perintah : $ firewall-cmd –zone=home –change-interface=docker0

Tapi jika restart maka zone yang baru saja rubah tadi tidak terdata karna bersifat sementara:

nah sekarang bagaimana kita buat dia menjadi permanen?


KONFIGURASI FIREWALLD SECARA PERMANEN

Konfigurasi firewalld secara permanent harus kita masukan pada konfigurasi yang sudah ada. Pada Fedora ataupun Centos pada /etc/sysconfig/network-scripts/
Kemudian kita coba rubah konfigurasinya : $ sudo nano /etc/sysconfig/network-scripts/ifcfg-docker0.
Masukan ZONE=home sebagai penanda bahwa interface tersebut masuk kedalam zona home. Kemudian kita coba cek zona yang aktif sekarang








Mengatur Zona Default

Kita mengatur zona default dengan menggunakan syntax : $ firewall-cmd –set-default-zone=home Kemudian kita lihat hasilnya


Mengaktifkan service pada Zona yang Aktif

Kita bisa menambahkan layanan atau port yang kita butuhkan ke zona yang akan kita gunakan. Untuk melihat daftar service yang tersedia : $ firewall-cmd –get-services












Cara mengaktifkan servicenya dengan cara : $ firewall-cmd –zone=public –add-service= < nama service>
Kemudian kita bisa melihat service yang berjalan pada zona dengan cara : $ firewall-cmd –zone= --list-services







Membuat zona buatan sendiri

Dalam beberapa kasus, kita membutuhkan zona-zona baru untuk menyesuaikan kebutuhan. Menambahkan zona baru dengan cara : $ firewall-cmd –permanent –new-zone=   








Kemudian kita reload dan lihat apakah zona kita sudah masuk sebagai permanent atau belum : $ firewall-cmd –reload




Tidak ada komentar: