Achtung: Standardmässig ist Ihr System ungeschützt! Um den Server zu schützen, installieren Sie umgehend nach der Bereitstellung des Servers eine Firewall und konfigurieren Sie diese. In dieser Anleitung wird die Installation und Konfiguration der Firewalllösung iptables in Verbindung mit einem grafischen Benutzerinterface erklärt. Dies ist aus unserer Sicht die am einfachsten zu konfigurierende Lösung.
Um die Firewall für ihren virtuellen Scientific Linux Server zu installieren und zu aktivieren, gehen sie wie folgt vor
Melden sie sich per SSH an ihrem Server an.
Führen Sie zuerst ein Update durch
yum updateInstallieren Sie das Paket system-config-firewall-tui
yum install system-config-firewall-tuiSollte das Paket nicht im Repository sein, suchen Sie die aktuelle Version der Firewall im Netz (es kann auch von einer andere RedHat-Distribution wie beispielsweise CentOS sein) und laden Sie diese mit wget herunter (Beispiel für die Version 1.2.29).
wget http://mirror.centos.org/centos/7/os/x86_64/Packages/system-config-firewall-tui-1.2.29-10.el7.noarch.rpmGeben Sie dann noch einmal den Befehl für die Installation ein.
yum install system-config-firewall-tuiSollten Sie die Meldung erhalten, dass bereits eine Firewall (firewalld) installiert ist, deaktivieren Sie diese mit folgenden Befehlen
systemctl stop firewalld.service systemctl disable firewalld.serviceSobald die Firewall installiert ist, wechsel Sie mit folgenden Befehl ins graphische Benutzerinterface (ncurses).
system-config-firewall-tuiAktivieren Sie die Firewall (* bei Enabled) und klicken Sie dann auf "Customize"
Aktivieren Sie die Dienste, welche Sie gerne verfügbar machen wollen. Alle anderen Dienste/Ports werden gesperrt. Damit Sie sich weiterhin via SSH mit dem Server verbinden können, lassen Sie zumindest diesen Dienst aktiviert. Klicken Sie dann auf "Forward".
Im nächsten Fenstern können Sie noch eigene Portranges eingeben. Falls Sie nicht wissen, was Sie dort eintragen sollen, lassen Sie es leer und klickcen Sie auf "Forward".
Hier können Sie Netzwerkschnittstellen von der Firewall ausschliessen. Wenn Sie unsicher sind, markieren Sie KEIN Interface.
Hier können Sie definieren, ob für eine Netzwerkschnittstelle NAT aktiviert werden soll. Wenn Sie unsicher sind, markieren Sie auch hier nichts.
Hier können Sie Angaben zum Weiterleiten von Ports machen. Im Zweifelsfall lassen Sie es so, wie es ist.
Hier können Sie noch festlegen, wie mit ICMP Paketen (beispielsweise Ping) umgegangen werden soll. Grundsätzlich müssen Sie das nicht unterbinden und können alles unmarkiert lassen.
Hier können Sie noch zusätzliche Regeln erfassen. Dies ist für Profis gedacht. Klicken Sie dann auf "Close"
Bestätigen Sie dann mit OK. Achtung, die Firewall ist dann sofort aktiv.
