Usando firewall-cmd
, abra a porta 8080/tcp
, uma vez nas regras ativas (somente acionando uma reconstrução das regras iptables
com a alteração) e uma vez na configuração salva (salvando apenas a alteração na configuração em /etc/firewalld/
) .
# firewall-cmd --add-port=8080/tcp
success
# firewall-cmd --permanent --add-port=8080/tcp
success
UPDATE: permite uma interface inteira, conforme solicitado no comentário.
firewalld
tem um conceito de zonas. Por padrão, as ações são feitas na public
zone., Mas há muitas zonas predefinidas, por exemplo, dmz
, work
, ... e a trusted
zone que implicitamente confia em tudo. O mais fácil de permitir uma interface é adicionar essa interface à trusted
zone. Como de costume, os dois comandos são, uma vez para a configuração (com --permanent
) uma vez para o conjunto ativo (sem --permanent
. --reload
também poderia funcionar).
# firewall-cmd --zone=trusted --add-interface=enp0s8
# firewall-cmd --permanent --zone=trusted --add-interface=enp0s8
As regras do iptables terão regras alteradas de acordo com essas regras-chave, visíveis na saída de iptables-save
(só estou escrevendo alguns aqui, há muitos mais):
-A FORWARD_IN_ZONES -i enp0s8 -j FWDI_trusted
-A FWDI_trusted -j ACCEPT
-A INPUT_ZONES -i enp0s8 -j IN_trusted
-A IN_trusted -j ACCEPT
Agora, por exemplo, uma conexão tcp de entrada remota a uma porta aleatória (em um endereço) nessa interface provavelmente alternará de "Nenhuma rota para host" ou outro erro "Destino inacessível" para erro "Conexão recusada", a menos que realmente haja um processo de ouvir.
Existem alguns problemas, possivelmente dependentes da distribuição, para que ele sempre funcione corretamente, inclusive após a reinicialização, mesmo que pareça bom no início. Exemplo:
Firewalld Adicionando Interfaces a um problema de zona
Realmente, uma vez indo além da tarefa de abrir algumas portas, usar firewalld
em vez de criar diretamente as próprias regras com iptables
pode se tornar complicado e requer investimento no conhecimento de sua sintaxe, que poderia ter sido gasto no conhecimento da camada inferior (hoje iptables
, amanhã nft
...) e requer mesmo assim que verifique os resultados hoje com iptables-save
(o amanhã pode se tornar nft list ruleset -a
).