firewalld
es un demonio de firewall administrado dinámicamente con soporte para zonas de red/firewall para definir el nivel de confianza de las conexiones o interfaces de red. De modo predeterminado Firewalld tiene diferentes tipos de zonas. Cada una tiene un distinto nivel de seguridad: Para redes públicas: drop, block y public [predeterminada], redes externas: external, redes para hogar: work, home y internal y trusted en que todas las conexiones son aceptadas. En la mayoria se descartan los paquetes entrantes no solicitados y el resto son rechazados. Los registros en /var/log/firewalld.
# systemctl enable firewalld
iniciar firewalld automaaticamente al inicio del sistema
# firewall-cmd --state
comprobar si esta activo. Más información: systemctl status firewalld
# firewall-cmd --check-config
si el archivo de configuración tiene errores
# firewall-cmd --set-log-denied=all
registrar todos los paquetes descartados [unicast, broadcast, multicast]
# firewall-cmd --get-log-denied
imprimir el registro de valores denegados
# firewall-cmd --list-all
visión completa de la configuración de firewalld
# firewall-cmd --list-all --zone=home
de una zona concreta
# firewall-cmd --add-service=ssh --timeout 15m
incluir ssh durante 15 minutos al firewall
# firewall-cmd --permanent --get-zones
# firewall-cmd --reload
releer configuración después de algún cambio
# firewall-cmd --panic-on
desactivar inmediatamente el trafico de red
# firewall-cmd --panic-off
volver a activarlo
# firewall-cmd --query-panic
comprobar si está activado o no el modo panic
# firewall-cmd --query-lockdown
consultar si el bloqueo está habilitado
# firewall-cmd --lockdown-on
desbloquear bloqueo del firewall. Solo las aplicaciones en la lista blanca puedan solicitar cambios
# firewall-cmd --lockdown-off
habilitar el bloqueo
# firewall-cmd --list-services
servicios no permitidos
# firewall-cmd --get-services
numerar todos los servicios predefinidos
# firewall-cmd --add-service=samba
añadir un servicio a los permitidos
# firewall-cmd --runtime-to-permanent
que la nueva configuración sea permanente
# firewall-cmd --list-ports
listar los puertos permitidos
# firewall-cmd --add-port=22/tcp
añadir un puerto y tipo a los permitidos
# firewall-cmd --remove-port=22/tcp
cerrar un puerto
# firewall-cmd --list-all-zones
información detallada de todas las zonas
# firewall-cmd --zone=public --list-all
información detallada de una zona concreta
# firewall-cmd --get-default-zone
verificar qué zona es la utilizada por el firewalld
# firewall-cmd --get-active-zone
ver los interfaces asociados a cada zona
# firewall-cmd --add-lockdown-whitelist-user=USER
añadir USER a la lista blanca
# firewall-cmd --remove-lockdown-whitelist-user=USER
suprimir USER de la lista blanca
# firewall-cmd --query-lockdown-whitelist-user=USER
consultar si USER esta en la lista blanca
# firewall-cmd --list-lockdown-whitelist-users
consultar listado de usuarios de la lista blanca
# dmesg | grep -i REJECT
ver los paquetes rechazados