stack-co.de Logo
Netzwerk & Firewall

Firewall einrichten mit firewalld auf CentOS – Schritt für Schritt

April 25, 2026 · Geplagt

Firewall einrichten mit firewalld auf CentOS – Schritt für Schritt

Einleitung

Die Sicherheit von Linux-Servern steht im Mittelpunkt jeder professionellen IT-Infrastruktur. Eine der wichtigsten Schutzmaßnahmen ist die korrekte Konfiguration einer Firewall. Firewalld hat sich als modernes und benutzerfreundliches Firewall-Verwaltungstool auf aktuellen Linux-Distributionen wie CentOS etabliert und bietet eine dynamische Alternative zu traditionellen iptables-Regeln.

Im Gegensatz zu herkömmlichen Firewall-Lösungen arbeitet firewalld mit dem modernen nftables-Framework und ermöglicht eine regelbasierte Konfiguration ohne Unterbrechung bestehender Verbindungen. Das Tool verwendet das Konzept von Zonen, Services und Rich Rules, wodurch sich komplexe Netzwerk-Sicherheitsrichtlinien elegant umsetzen lassen.

Dieser Leitfaden führt Sie durch die vollständige Installation, Konfiguration und Verwaltung von firewalld auf CentOS-Systemen. Sie erlernen den sicheren Umgang mit temporären und permanenten Regeln, die Erstellung benutzerdefinierter Services sowie bewährte Praktiken zur Vermeidung von Aussperrungen bei Remote-Verbindungen.

Voraussetzungen

Für die erfolgreiche Durchführung dieses Tutorials benötigen Sie folgende Komponenten und Berechtigungen:

  • Ein CentOS-System (Version 7 oder höher, idealerweise CentOS Stream)
  • Root-Zugriff oder sudo-Berechtigung für administrative Aufgaben
  • Grundlegende Kenntnisse der Linux-Kommandozeile und Systemverwaltung
  • SSH-Zugang zum Server (bei Remote-Administration)
  • Verständnis grundlegender Netzwerk-Konzepte wie Ports und Protokolle

Stellen Sie sicher, dass Ihr System über eine aktive Netzwerkverbindung verfügt und die Paketverwaltung korrekt funktioniert. Bei Remote-Servern sollten Sie zusätzlich eine alternative Zugriffsmethode (wie eine Konsole über das Hosting-Panel) verfügbar haben, falls es zu Konfigurationsproblemen kommt.

Schritt-für-Schritt Anleitung

Installation und Aktivierung von firewalld

Auf den meisten modernen CentOS-Systemen ist firewalld bereits vorinstalliert. Falls nicht, installieren Sie es mit dem folgenden Befehl:

sudo dnf install firewalld -y

Starten Sie anschließend den firewalld-Dienst und aktivieren Sie ihn für den automatischen Start beim Systemboot:

sudo systemctl start firewalld
sudo systemctl enable firewalld

Überprüfen Sie den Status des Dienstes:

sudo systemctl status firewalld

Grundlegende Konfiguration und Zonen-Konzept

Firewalld organisiert Regeln in sogenannten Zonen, die verschiedene Vertrauensebenen für Netzwerkverbindungen repräsentieren. Zeigen Sie die verfügbaren Zonen an:

sudo firewall-cmd --get-zones

Die Standardzone ermitteln Sie mit:

sudo firewall-cmd --get-default-zone

Typischerweise ist die „public“-Zone als Standard konfiguriert. Betrachten Sie die aktuelle Konfiguration dieser Zone:

sudo firewall-cmd --zone=public --list-all

Services und Ports freigeben

Firewalld verwendet vordefinierte Services, die häufig benötigte Anwendungen repräsentieren. Listen Sie verfügbare Services auf:

sudo firewall-cmd --get-services

Um beispielsweise HTTP-Traffic zu erlauben, fügen Sie den entsprechenden Service hinzu:

sudo firewall-cmd --zone=public --add-service=http --permanent
sudo firewall-cmd --reload

Für benutzerdefinierte Anwendungen können Sie spezifische Ports freigeben:

sudo firewall-cmd --zone=public --add-port=8080/tcp --permanent
sudo firewall-cmd --reload

Temporäre vs. permanente Regeln

Ein wichtiges Konzept in firewalld ist der Unterschied zwischen temporären und permanenten Regeln. Temporäre Regeln gelten nur bis zum nächsten Reload oder Neustart:

sudo firewall-cmd --zone=public --add-service=https

Permanente Regeln überdauern Systemneustarts, müssen aber explizit aktiviert werden:

sudo firewall-cmd --zone=public --add-service=https --permanent
sudo firewall-cmd --reload

Erweiterte Konfiguration mit Rich Rules

Für komplexere Regelwerke bietet firewalld Rich Rules, die detailliertere Kontrolle ermöglichen:

sudo firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" service name="ssh" accept' --permanent

Diese Regel erlaubt SSH-Zugriff nur aus dem lokalen Subnetz 192.168.1.0/24.

Benutzerdefinierte Services erstellen

Für wiederkehrende Port-Konfigurationen können Sie eigene Services definieren. Erstellen Sie eine Service-Datei:

<?xml version="1.0" encoding="utf-8"?>
<service>
  <short>Custom App</short>
  <description>Custom application service</description>
  <port protocol="tcp" port="9000"/>
  <port protocol="udp" port="9000"/>
</service>

Speichern Sie diese Konfiguration unter /etc/firewalld/services/custom-app.xml und laden Sie firewalld neu:

sudo firewall-cmd --reload
sudo firewall-cmd --zone=public --add-service=custom-app --permanent

Überprüfung

Nach der Konfiguration sollten Sie die Firewall-Einstellungen gründlich testen. Überprüfen Sie zunächst die aktive Konfiguration:

sudo firewall-cmd --list-all

Testen Sie die Erreichbarkeit freigegebener Services von einem externen System:

telnet [server-ip] [port]
# oder mit nmap
nmap -p [port] [server-ip]

Kontrollieren Sie auch die Logdateien auf eventuelle Blockierungen:

sudo journalctl -u firewalld -f

Für detailliertere Analyse können Sie das Logging aktivieren:

sudo firewall-cmd --set-log-denied=all

Troubleshooting

Häufige Probleme und Lösungsansätze

Falls Sie sich aus Ihrem System ausgesperrt haben, können Sie firewalld über die Konsole deaktivieren:

sudo systemctl stop firewalld

Bei Konfigurationskonflikten setzen Sie die Firewall auf Standardwerte zurück:

sudo firewall-cmd --complete-reload

Wenn Services nicht korrekt funktionieren, überprüfen Sie die Syntax Ihrer Regeln:

sudo firewall-cmd --check-config

Debugging und Monitoring

Aktivieren Sie ausführliches Logging für detaillierte Fehleranalyse:

sudo firewall-cmd --set-log-denied=unicast

Überprüfen Sie die zugrundeliegenden nftables-Regeln:

sudo nft list ruleset

Bei Performance-Problemen analysieren Sie die Regelanzahl pro Zone:

sudo firewall-cmd --zone=public --list-all --verbose

Fazit

Firewalld bietet eine moderne und flexible Lösung für die Firewall-Verwaltung auf CentOS-Systemen. Die zonenbasierte Architektur, combined mit der Unterscheidung zwischen temporären und permanenten Regeln, ermöglicht sowohl schnelle Tests als auch robuste Produktionskonfigurationen.

Die wichtigsten Erkenntnisse dieses Tutorials umfassen das Verständnis der Zonen-Hierarchie, die sichere Anwendung von Runtime- und Permanent-Regeln sowie die Nutzung von Rich Rules für komplexe Anforderungen. Durch die Erstellung benutzerdefinierter Services lassen sich wiederkehrende Konfigurationsaufgaben automatisieren und standardisieren.

Für Produktionsumgebungen empfiehlt es sich, Firewall-Konfigurationen zu dokumentieren, regelmäßig zu testen und in automatisierte Deployment-Prozesse zu integrieren. Die Kombination aus firewalld’s benutzerfreundlicher Oberfläche und der Mächtigkeit des zugrundeliegenden nftables-Frameworks macht es zu einer ausgezeichneten Wahl für moderne Serverinfrastrukturen.