Torne as configurações do teclado Apple persistentes em ../hid_apple/parameters/

Question

Marco Klein

Asked: 2025-04-01 03:35:31 +0800 CST2025-04-01 03:35:31 +0800 CST 2025-04-01 03:35:31 +0800 CST

Firewalld ignorando regra rica contra encaminhamento de porta

772

Estou com um problema ao configurar meu firewalld para ter um link perfeito com o docker e o fail2ban.

Primeiro, o que quero alcançar é a seguinte configuração de roteamento de tráfego:

[PUBLIC] -> 
  [FIREWALLD] -> (
    [143/tcp FORWARD PORT] -----> [DOCKER/143/tcp]
    [ 22/tcp]              -----> [openssh locally running]
  )

falha2banimento

Configurei o fail2ban para ouvir meu contêiner docker, verificar erros de autenticação e configurar um ban usando firewall-cmd. Isso funciona até agora. Assim que eu erro de autenticação 3 vezes, ele envia um comando para o firewalld.

Encaminhamento de porta

Eu também configurei o encaminhamento de porta para o docker. Estou configurando explicitamente, porque não quero que o docker destrua minha rede. Talvez isso seja algo que eu não precise no futuro, mas é configurado por meio da StrictForwardPorts=yesconfiguração. https://firewalld.org/2024/11/strict-forward-ports

Meta

O objetivo é que sempre que um gatilho fail2ban acontecer, o IP não tenha mais acesso à porta 143 (encaminhada) e (talvez) nem às outras. Mas, a princípio, eu gostaria de banir por porta.

Problema

O problema atualmente é que, se uma regra de rejeição avançada for criada, ela bloqueará a porta 22 para esse IP, mas não a porta 143.

Tentativas Eu também tentei colocar o IP na dropzona, dando a ele a prioridade -10. Mesmo resultado de erro. A porta 22 é descartada, mas a 143 ainda funciona.

O que estou fazendo errado? Aqui está minha configuração de zona da última tentativa:

docker (active)
  target: ACCEPT
  ingress-priority: 0
  egress-priority: 0
  icmp-block-inversion: no
  interfaces: br-0aa8d4b5dde7 docker0
  sources: 
  services: 
  ports: 
  protocols: 
  forward: yes
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 
        rule priority="-999" family="ipv4" source address="192.168.178.44" reject

drop (active)
  target: DROP
  ingress-priority: -10
  egress-priority: -10
  icmp-block-inversion: no
  interfaces: 
  sources: 192.168.178.44
  services: 
  ports: 
  protocols: 
  forward: yes
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 

public (default, active)
  target: default
  ingress-priority: 0
  egress-priority: 0
  icmp-block-inversion: no
  interfaces: 
  sources: 
  services: dhcpv6-client ssh
  ports: 
  protocols: 
  forward: yes
  masquerade: no
  forward-ports: 
        port=143:proto=tcp:toport=143:toaddr=172.18.0.2
  source-ports: 
  icmp-blocks: 
  rich rules: 
        rule priority="-999" family="ipv4" source address="192.168.178.44" reject

Como visto: Na verdade, o endereço 192.168.178.44 deveria estar totalmente bloqueado para a zona pública. Mas não está. Além disso, adicionei o IP à drop zone. Parece que a prioridade da drop zone está funcionando, pois minha conexão SSH é descartada em vez de rejeitada, mas a porta 143 ainda está acessível

Atualização 1: Algumas informações de depuração

$ sudo firewall-cmd --get-policies
allow-host-ipv6 docker-forwarding

Atualização 2: --info-policy=docker-forwarding

docker-forwarding (active)
  priority: -1
  target: ACCEPT
  ingress-zones: ANY
  egress-zones: docker
  services: 
  ports: 
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: `

Atualização 3:

Outra ideia que me veio à mente foi criar outra política com prioridade -10, contendo a regra rica:

sudo firewall-cmd --permanent --new-policy ban-pre-routing
sudo firewall-cmd --permanent --policy ban-pre-routing --add-ingress-zone ANY
sudo firewall-cmd --permanent --policy ban-pre-routing --add-egress-zone HOST
sudo firewall-cmd --permanent --policy ban-pre-routing --set-priority -10
sudo firewall-cmd --permanent --policy ban-pre-routing --add-rich-rule="rule family=ipv4 source address=192.168.178.44 port port=143 protocol=tcp reject"

Ainda sem efeito. Meu Host *.44 ainda pode se conectar à máquina. Se eu deixar de fora a port port=143 protocol=tcpparte, ele bloquearia a máquina para ssh - enquanto ainda seria capaz de acessar a porta 143.

Atualização 4: Usando a Atualização 3 com a política configurada para egress zone docker, não resulta em diferença. Minhas configurações estão assim agora:

$ sudo firewall-cmd --list-all-policies
allow-host-ipv6 (active)
  priority: -15000
  target: CONTINUE
  ingress-zones: ANY
  egress-zones: HOST
  services: 
  ports: 
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 
        rule family="ipv6" icmp-type name="neighbour-advertisement" accept
        rule family="ipv6" icmp-type name="neighbour-solicitation" accept
        rule family="ipv6" icmp-type name="redirect" accept
        rule family="ipv6" icmp-type name="router-advertisement" accept

ban-pre-routing (active)
  priority: -10
  target: CONTINUE
  ingress-zones: ANY
  egress-zones: docker
  services: 
  ports: 
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 
        rule family="ipv4" source address="192.168.178.44" port port="143" protocol="tcp" reject

docker-forwarding (active)
  priority: -1
  target: ACCEPT
  ingress-zones: ANY
  egress-zones: docker
  services: 
  ports: 
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules:

E para zonas:

$ sudo firewall-cmd --list-all --zone=public
public (default, active)
  target: default
  ingress-priority: 0
  egress-priority: 0
  icmp-block-inversion: no
  interfaces: 
  sources: 
  services: dhcpv6-client ssh
  ports: 
  protocols: 
  forward: yes
  masquerade: no
  forward-ports: 
        port=143:proto=tcp:toport=143:toaddr=172.18.0.2
  source-ports: 
  icmp-blocks: 
  rich rules: 

$ sudo firewall-cmd --list-all --zone=drop
drop
  target: DROP
  ingress-priority: 0
  egress-priority: 0
  icmp-block-inversion: no
  interfaces: 
  sources: 
  services: 
  ports: 
  protocols: 
  forward: yes
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 

$ sudo firewall-cmd --list-all --zone=docker
docker (active)
  target: ACCEPT
  ingress-priority: 0
  egress-priority: 0
  icmp-block-inversion: no
  interfaces: br-c5f172e4effe docker0
  sources: 
  services: 
  ports: 
  protocols: 
  forward: yes
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules:

1 respostas

Voted

Marco Klein · Answer 1 · 2025-04-03T03:35:50+08:00

Também postei uma postagem na página do firewalld no github. Lá, o usuário erig0 me apontou qual era o problema real. Veja a discussão do GitHub

Como o encaminhamento de porta é definido com uma prioridade muito maior do que qualquer outra coisa no kernel do Linux, a regra de encaminhamento de porta é levada em consideração e todo o resto que vem depois é ignorado.

É por isso que nenhuma das minhas tentativas de bloquear a porta usando o método padrão funcionou.

Veja como configurar todo o encaminhamento de porta com uma opção de bloqueio (específica de porta) usando firewalld:

Obtenha uma cópia limpa da firewalldconfiguração (se necessário)
Desvantagem: Desligue iptablespara docker. Para fazer isso, certifique-se de que
- /etc/docker/daemon.jsonexiste
- iptablespropriedade está definida parafalse
```
$ cat /etc/docker/daemon.json
{
   "iptables": false
}
```
- Reinicie a máquina - Sim , é realmente necessário limpar todos os erros do docker em iptables. Caso contrário, você se verá em uma situação em que o docker permite tráfego independentemente da configuração do seu firewall.
Agora, reconfigure a comunicação docker-container.
- Realocar contêineres docker para a dockerzona predefinida de firewalld:
```
firewall-cmd --permanent --zone docker --add-source 172.17.0.1/16
```
  ⚠️ Certifique-se de adicionar todas as sub-redes que você precisa - com o comando acima. No meu caso, eu também tinha um ambiente docker-compose rodando no 172.18.0.1/16 subnet.
Habilitar comunicação container-outbound (se desejado). Isso também diz respeito à comunicação container2container (host internamente):
```
sudo firewall-cmd --permanent --new-policy docker-outbound
sudo firewall-cmd --permanent --policy docker-outbound --add-ingress-zone docker
sudo firewall-cmd --permanent --policy docker-outbound --add-egress-zone ANY
sudo firewall-cmd --permanent --policy docker-outbound --set-target ACCEPT
sudo firewall-cmd --permanent --policy docker-outbound --add-masquerade
```
Esses comandos irão
- Verifique as conexões com o docker da zona de entrada (fonte).
- Observe as conexões que partem de qualquer lugar dessa fonte.
- Permita conexões e mascare-as.
Como resultado, seu contêiner deve ser capaz de ter sucesso curl google.com.

Por último, mas não menos importante, habilite o acesso externo aos contêineres docker se permitido pelo encaminhamento de porta:

firewall-cmd --permanent --new-policy docker-inbound
firewall-cmd --permanent --policy docker-inbound --add-ingress-zone ANY
firewall-cmd --permanent --policy docker-inbound --add-egress-zone HOST

Agora, tudo está conectado para encaminhamento de porta puramente de firewalld, o docker deixa seus dedos fora do caminho. Configurar o encaminhamento de porta em si agora é direto.

Configure um IPset (se necessário, um IPset dedicado por porta(-set) - você decidirá). Este IPset conterá todos os endereços IP bloqueados para aquela porta(-set) específica
```
firewall-cmd --permanent --new-ipset=banned-imap --type=hash:net
```
Adicione uma nova política para encaminhamento de porta:
```
sudo firewall-cmd --permanent --zone public --add-rich-rule 'rule family="ipv4" source NOT ipset="banned-imap" forward-port port="143" protocol="tcp" to-port="143" to-addr="172.18.0.2"'
```
O que essa regra faz:
- Quando uma chamada chega na zona pública, E
- é uma chamada IPv4 na porta 143/tcp, E
- seu endereço IP de origem não está localizado em nosso conjunto de IP "banned-imap",
- ENTÃO encaminhar para a porta 143 do contêiner docker fornecido (172.18.0.2)

Esta é a configuração completa do firewall. Para adicionar um IP, execute:

sudo firewall-cmd --permanent --ipset=banned-imap --add-entry=192.168.178.70

E para habilitá-lo novamente para acesso:

sudo firewall-cmd --permanent --ipset=banned-imap --remove-entry=192.168.178.70

Tenha em mente que, se você fornecer --permanent, você tem que recarregar o firewall. Para ter mudanças imediatas em vigor, deixe de fora --permanentao executar o comando - No entanto, você terá que ter em mente que esse ip desaparece da lista após o próximo recarregamento/reinicialização/reinicialização.

Firewalld ignorando regra rica contra encaminhamento de porta

Possível firmware ausente /lib/firmware/i915/* para o módulo i915

Falha ao buscar o repositório de backports jessie

Como exportar uma chave privada GPG e uma chave pública para um arquivo

Como podemos executar um comando armazenado em uma variável?

Como configurar o systemd-resolved e o systemd-networkd para usar o servidor DNS local para resolver domínios locais e o servidor DNS remoto para domínios remotos?

apt-get update error no Kali Linux após a atualização do dist [duplicado]

Como ver as últimas linhas x do log de serviço systemctl

Nano - pule para o final do arquivo

erro grub: você precisa carregar o kernel primeiro

Como baixar o pacote não instalá-lo com o comando apt-get?

Firewalld ignorando regra rica contra encaminhamento de porta

1 respostas

relate perguntas