Início / unix / Perguntas / 727095
Accepted
山河以无恙
Asked: 2022-12-03 07:21:32 +0800 CST

O `K8s` pode iniciar o serviço firewalld com `zone` definido como `trusted`?

  • 772

Pode K8siniciar o serviço firewalld com zonedefinido como trusted?

Tenho uma vulnerabilidade de segurança ICMP em meu cluster e preciso ativar um firewall para restringi-la. Posso ativar o serviço firewalld com zonedefinido como trusted?

Não tenho como testar, é um ambiente pré-live

Existe alguma maneira de especificar a zona como trustedao iniciar firewall, que é publico padrão e afetará os K8s, ou existe alguma outra solução?

linux

1 respostas

  1. Best Answer

    Para a pré-configuração da zona de firewall, encontrei o método aqui: firewall-offline-cmd

    Com firewall-offline-cmdvocê pode definir as regras do firewall antes que o firewalld seja iniciado.

    Em relação ao efeito de iniciar firewalldem k8s, observei que os nós do cluster funcionam bem após o início e acho que funciona. Não sei se será um problema no futuro

    Nota: Se você costuma iptablescriar algumas natou outras regras no cluster, ativar o firewall fará com que elas desapareçam

    Minha vulnerabilidade: vulnerabilidade de resposta de solicitação de carimbo de data/hora ICMP

    Eu testei e descobri que esta vulnerabilidade pode ser resolvida sem iniciar firewalld.service, basta adicionar as seguintes regras e elas entrarão em vigor imediatamente, ou talvez apenas adicioná-las se forem regras curtas. Você não precisa começarfirewalld 

    ┌──[[email protected]]-[~]
└─$iptables -A INPUT -p icmp --icmp-type 13 -j DROP
┌──[[email protected]]-[~]
└─$iptables -A OUTPUT -p icmp --icmp-type 14 -j DROP
    • 2

relate perguntas