{"id":678,"date":"2018-05-22T17:42:21","date_gmt":"2018-05-22T10:42:21","guid":{"rendered":"http:\/\/www.otakudang.org\/?p=678"},"modified":"2018-05-22T17:42:21","modified_gmt":"2018-05-22T10:42:21","slug":"mencoba-firewalld-sebagai-pengganti-iptables","status":"publish","type":"post","link":"https:\/\/www.otakudang.org\/?p=678","title":{"rendered":"Mencoba ‘firewalld’ Sebagai Pengganti ‘iptables’"},"content":{"rendered":"

Dari awal dulu kenal\u00a0ipchains<\/em> trus ganti jadi\u00a0iptables<\/em>. Belum sempet mainan sampe ngeh banget, eh sekarang sudah ada\u00a0firewalld<\/em>. Karena kebanyakan berkutat dengan distro Centos 7 yang defaultnya menggunakan\u00a0firewalld<\/em>, akhirnya mau ndak mau ya harus ngeh juga walaupun sedikit-sedikit. Sebelumnya saya pernah posting soal\u00a0iptables<\/em> untuk Asterisk di sini<\/a>. Jadi saya coba ndak jauh-jauh mengingat perintah berikut ini untuk server-server VoIP saya. Yang biasanya saya lakukan sebagai berikut:<\/p>\n

Mengaktifkan\u00a0firewalld\u00a0<\/em>agar secara default up setelah reboot atau start.<\/p>\n

# systemctl enable firewalld\r\n# systemctl start firewalld\r\n<\/pre>\n
Mengganti port ssh dari 22 ke 8022 (soalnya kalo ndak begitu, selalu diprobe<\/em> dari mana-mana):<\/p>\n
# firewall-cmd --permanent --zone=public --add-port=8022\/tcp\r\n# firewall-cmd --permanent --zone=public --remove-service=ssh\r\n<\/pre>\n
Lalu menambahkan port-port penting untuk produksi:<\/p>\n
# firewall-cmd --permanent --zone=public --add-service={http,https}\r\n# firewall-cmd --permanent --zone=public --add-port={5060,5061,7000,7001,8000,8443,11000}\/tcp\r\n# firewall-cmd --permanent --zone=public --add-port={5060,5061,7000,7001,8000,8443,11000}\/udp\r\n# firewall-cmd --permanent --zone=public --add-port=16384-32784\/udp\r\n<\/pre>\n
Lalu menambahkan blok ip address yang diperbolehkan untuk mengakses service ke server:<\/p>\n
# firewall-cmd --permanent --zone=public --add-rich-rule='rule family=\"ipv4\" source address=\"1.2.3.4\" accept'\r\n# firewall-cmd --permanent --zone=public --add-rich-rule='rule family=\"ipv4\" source address=\"6.7.8.0\/24\" accept'\r\n<\/pre>\n
Optional, kita bisa menambahkan blocking ICMP. Pertama, kita bisa lihat list tipe ICMP:<\/p>\n
#\u00a0firewall-cmd --get-icmptypes\r\naddress-unreachable bad-header communication-prohibited destination-unreachable echo-reply echo-request fragmentation-needed host-precedence-violation host-prohibited host-redirect host-unknown host-unreachable ip-header-bad neighbour-advertisement neighbour-solicitation network-prohibited network-redirect network-unknown network-unreachable no-route packet-too-big parameter-problem port-unreachable precedence-cutoff protocol-unreachable redirect required-option-missing router-advertisement router-solicitation source-quench source-route-failed time-exceeded timestamp-reply timestamp-request tos-host-redirect tos-host-unreachable tos-network-redirect tos-network-unreachable ttl-zero-during-reassembly ttl-zero-during-transit unknown-header-type unknown-option\r\n<\/pre>\n
dari list di atas misal kita akan melakukan block\u00a0echo-reply<\/em>:<\/p>\n
# firewall-cmd --permanent --zone=public --add-icmp-block=echo-reply\r\n<\/pre>\n
Jika dirasa sudah cukup, reload rule di atas dengan perintah:<\/p>\n
# firewall-cmd --reload\r\n<\/pre>\n
Dari contoh di atas, sudah keliatan polanya kan? Jika masih belum juga, url berikut ini bisa membantu menjelaskan cara kerja\u00a0firewalld<\/em> dengan lebih jelas.<\/p>\n