Início / unix / Perguntas / 556246
Accepted
Alexis
Asked: 2019-12-09 19:40:41 +0800 CST

Firewalld: Como largar tudo menos um IP?

  • 772

Eu gostaria de entender o FirewallD vindo do Iptables.

Minha zona é a zona padrão dropsem nenhum serviço.

drop (active)
  target: DROP
  icmp-block-inversion: no
  interfaces: enp9s0u2u1u2c2
  sources:
  services: 
  ports: 
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules:

Qual é o ponto de adicionar um ip de origem a esta zona?

  1. Eu adicionei todos os IPs locaisfirewall-cmd --add-source=192.168.0.0/16

  2. Ele ainda descarta todos os pacotes, mesmo vindos de um desses IPs de origem.

    • Adicionar um serviço a essa zona permitirá que qualquer pessoa acesse esse serviço, independentemente dos IPs de origem que eu definir.

    • Como restringir o serviço e permitir apenas um único IP (ou intervalo) para o serviço?

O comportamento do firewalld não é muito claro comparado ao iptables. Há tantas suposições e comportamentos padrão desconhecidos.

firewalld

1 respostas

  1. Best Answer

    1. Eu adicionei todos os IPs locais firewall-cmd --add-source=192.168.0.0/16

    2. Ele ainda descarta todos os pacotes, mesmo vindos de um desses IPs de origem.

    Da documentação do FirewallD :

    Vincular uma origem a uma zona significa que as configurações dessa zona serão usadas para restringir o tráfego dessa origem.

    Então, você disse ao FirewallD que a dropzona agora se aplicará especificamente ao tráfego vindo de 192.168.0.0/16 e a nada mais. Não tenho certeza do que acontecerá com qualquer tráfego vindo de fora desse intervalo de IP. (Modificar a zona padrão dropassim pode não ser uma boa ideia.)

    Adicionar um serviço a uma zona normalmente significa que o serviço especificado sempre é permitido para qualquer interface configurada para essa zona, para qualquer endereço IP de origem. Se uma zona não tiver serviços habilitados, ela não permitirá todo o tráfego. Eu não tentei adicionar endereços IP de origem a uma zona, então não tenho ideia de como o comportamento normal interage com isso.

    Para alcançar o que deseja, você provavelmente deve criar uma nova zona e adicionar uma regra avançada para o serviço desejado:

    firewall-cmd --permanent --new-zone="allow-limited-<service>"
firewall-cmd --permanent --zone="allow-limited-<service>" --add-rich-rule="rule source address=192.168.0.0/16 service name=<service> accept"

    Agora, se você atribuir uma interface de rede a esta zona allow-limited-<service>, ela permitirá apenas o serviço <service>(que pode incluir uma ou mais portas TCP e/ou UDP) de 192.168.0.0/16 e bloqueará todo o resto.

    Uma zona é efetivamente um conjunto predefinido de regras de firewall que você pode aplicar facilmente a qualquer interface de rede específica. Uma interface de rede pode ser atribuída a apenas uma zona por vez.

    A lógica do FirewallD parece ser adaptada para uso corporativo/ISP/provedor de hospedagem, onde pode haver interfaces VLAN separadas e a alocação de endereços IP pode mudar drasticamente se a empresa obtiver um novo bloco de IPs de um intervalo muito diferente dos anteriores. Nesse ambiente, você pode vincular as regras de firewall a interfaces (VLAN ou físicas) de acordo com sua finalidade, não tanto a endereços IP.

    • 1

relate perguntas