Tutorial kali ini akan dibahas cara membuat konfigurasi FirewallD di CentOS 7. Firewall merupakan tingkat dasar keamanan untuk server. Aplikasi ini bertanggung jawab untuk menolak traffic ke setiap port pada server dengan pengecualian untuk port/service yang telah diizinkan. Tidak seperti Linux CentOS 6, di CentOS 7 firewall disebut firewalld. Sebuah tool yang disebut firewall-cmd
dapat digunakan untuk mengkonfigurasi kebijakan firewall Anda. Strategi dasar ini akan mengunci segala sesuatu aktivitas yang tidak memiliki alasan yang baik untuk mencoba mengakses server.
Panduan Konfigurasi FirewallD CentOS 7
Layanan firewalld
memiliki kemampuan untuk memodifikasi tanpa membuat koneksi saat ini terputus, sehingga kita bisa mengaktifkannya terlebih dahulu sebelum membuat rule pengecualian:
sudo systemctl start firewalld
Dengan mengetik perintah diatas, maka firewall telah aktif. kita dapat menggunakan utilitas firewall-cmd
untuk mengetahui dan mengatur informasi perizinan firewall. Aplikasi firewalld
menggunakan konsep “zona” untuk label terpercaya dari host lain pada suatu jaringan. Pelabelan ini memberikan kemampuan untuk menetapkan aturan yang berbeda tergantung pada seberapa banyak jaringan yang dipercaya.
Dalam panduan ini, kita akan memanfaatkan zona default agar tak perlu repot memembuat zona baru, kemudian kita akan membuat rule untuk default-zone
tersebut. Nanti ketika firewall direload, zona default ini akan menjadi zona yang diterapkan pada interface. Langkah selanjutnya dengan menambahkan rule pada firewall untuk service diizinkan. Dan yang paling penting dari service yang perlu diizinkan adalah service SSH, karena kita perlu untuk mempertahankan akses administratif jarak jauh atau remote server.
Jika Anda belum mengubah port SSH daemon
yang aktif, Anda dapat mengaktifkan service SSH hanya dengan mengetik namanya saja:
sudo firewall-cmd --permanent --add-service=ssh
Jika Anda telah mengubah port SSH pada server Anda, maka Anda akan harus menentukan port baru secara eksplisit. Anda juga perlu untuk memasukkan protokol yang memanfaatkan service. Contoh: (sesuaikan dengan port yang telah anda rubah)
sudo firewall-cmd --permanent --remove-service=ssh
sudo firewall-cmd --permanent --add-port=5555/tcp
Ini adalah suatu langkah minimal yang diperlukan untuk dapat mempertahankan akses administratif ke server. Langkah selanjutnya adalah menambahkan service yang lain dan membuka firewall untuk service yang akan ditambahkan.
Jika Anda berencana untuk menjalankan web server HTTP konvensional, Anda akan harus mengaktifkan layanan http:
sudo firewall-cmd --permanent --add-service=http
Jika anda berencana web server anda menggunakan SSL/TLS, anda harus mengizinkan traffic https
sudo firewall-cmd --permanent --add-service=https
Jika anda membutuhkan akses email dengan SMTP
sudo firewall-cmd --permanent --add-service=smtp
Bisa juga dengan satu baris saja (bulk) menggunakan kurung kurawal, contoh
firewall-cmd --permanent --add-service={http,https,smtp}
Anda bisa melihat daftar service, kemudian anda bisa memilih apa saja yang ingin anda tambahkan seperti contoh sebelumnya. Untuk melihat list service ketik:
sudo firewall-cmd --get-services
Setelah anda selesai, anda bisa melihat semua service yang telah anda tambahkan dalam daftar rule firewall dan service mana saja yang diizinkan firewall
sudo firewall-cmd --permanent --list-all
Kemudian setelah anda siap untuk menerapkan perubahan pada firewall, reload firewall
sudo firewall-cmd --reload
Jika semua berjalan dengan baik, jangan lupa untuk mengaktifkan firewall secara otomatis setelah system reboot.
sudo systemctl enable firewalld
Selesai, kini server anda mempunyai konfigurasi firewall untuk keamanan server dan sedikit lebih tahu bagaimana cara konfigurasi firewalld di centos 7.
Referensi: Additional Recommended Steps for New CentOS 7 Servers