Управление групповыми политиками Firewalld

Назначение групповых политик Firewalld — загрузка и применения настроек Firewalld на клиентских машинах под управлением ОС Linux.

Настройки, применяемые в рамках данных политик, хранятся в файле MACHINE/Registry.pol в подкаталоге соответствующего объекта GPO в SysVol в формате записей реестра (см. подраздел «Изменение настроек групповых политик в GPO (через Registry.pol)»).

Серверное расширение (SSE) распространяется в виде административного шаблона в формате ADMX (см. подраздел «Установка административных шаблонов на контроллере домена»).

Клиентское расширение (CSE) получает правила, заданные с помощью серверного расширения, и применяет их с помощью команды firewalld-cmd.

Пример настройки групповой политики для применения правил Firewalld с помощью GPME:

  1. На участнике домена под управлением ОС Windows с установленным набором инструментов RSAT и административными шаблонами Samba откройте GPME и в области навигации редактора в левой панели раскройте Конфигурация компьютера → Политики → Административные шаблоны → Samba → Unix Settings → Firewalld.

  2. В правой панели нажмите дважды на Zones.

  3. В диалоговом окне Zones установите Включено и в области Параметры нажмите Показать.

  4. В диалоговом окне Вывод содержания введите в поле Значение название зоны. Например: Work. Нажмите Применить и ОК.

  5. В правой панели нажмите дважды на Rules.

  6. В диалоговом окне Rules установите Включено и в области Параметры задайте правила для зоны в формате JSON. Например:

    { "work":
  [
    {
      "rule": { "family": "ipv4"},
      "source address": "172.25.1.7",
      "service name": "ftp",
      "reject": {}
    }
  ]
}

  7. Нажмите Применить и ОК.

  8. Для проверки доступности политики на клиентской машине с ОС Linux  — участнике домена выполните:

    sudo /app/inno-samba/sbin/samba-gpupdate --rsop
Resultant Set of Policy
Computer Policy

GPO: Default Domain Policy
=================================================================
  CSE: gp_firewalld_ext
  -----------------------------------------------------------
    Policy Type: Rules
    -----------------------------------------------------------
    [
      [ work ] =
        [
          [ rule ] =
            [ family ] = ipv4
          [ source address ] = 172.25.1.7
          [ service name ] = ftp
          [ reject ] =
        ]
    ]
    -----------------------------------------------------------
    Policy Type: Zones
    -----------------------------------------------------------
    [ work ]
    -----------------------------------------------------------
  -----------------------------------------------------------
=================================================================

  9. Обновите политики на клиентской машине:

    sudo /app/inno-samba/sbin/samba-gpupdate --force

  10. Для проверки того, что правило задано, попробуйте задать его повторно с помощью firewall-cmd. Если правило уже существует, будет выдано соответствующее предупреждение:

    sudo firewall-cmd --permanent --zone=work --add-rich-rule \
 'rule family=ipv4 source address=172.25.1.7
  service name=ftp reject'
Warning: ALREADY_ENABLED: rule family=ipv4
 source address=172.25.1.7 service name=ftp reject
success