我有两台具有不同版本的 RHEL 和firewalld 的服务器。两者的配置相同,但当我将源 IP 添加到区域时,它们的行为不同。
服务器A:
# cat /etc/redhat-release
Red Hat Enterprise Linux Server release 7.9 (Maipo)
# firewall-cmd --version
0.6.3
服务器B:
# cat /etc/redhat-release
Red Hat Enterprise Linux release 9.3 (Plow)
# firewall-cmd --version
1.2.5
两台服务器都有一个非常基本的firewalld配置,我可以通过ssh连接到它们(注意两个配置中都包含ssh服务):
A:
# firewall-cmd --list-all
public (active)
target: default
icmp-block-inversion: no
interfaces: ens32
sources:
services: dhcpv6-client mysql ssh
ports:
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
乙:
# firewall-cmd --list-all
public (active)
target: default
icmp-block-inversion: no
interfaces: eno8303
sources:
services: cockpit dhcpv6-client ssh
ports:
protocols:
forward: yes
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
服务器将托管 MariaDB 数据库,因此我需要确保允许端口 3306。在没有其他更改的情况下,我运行以下命令(根据经验)允许来自特定 IP 地址 192.168.1.2 的端口 3306 流量:
# firewall-cmd --new-zone=test --permanent
success
# firewall-cmd --zone=test --add-source=192.168.1.2 --permanent
success
# firewall-cmd --zone=test --add-port=3306/tcp --permanent
success
# firewall-cmd --reload
运行这些命令后,我仍然可以从 IP 地址 192.168.1.2 通过 SSH 连接到服务器 A,但无法通过 SSH 连接到服务器 B。但是,我可以从其他计算机通过 SSH 连接到服务器 B。从192.168.1.2进入BI服务器得到:
# ssh ServerB
ssh: connect to host ServerB port 22: No route to host
如果我在没有该选项的情况下创建区域--add-source,SSH 可以正常工作,因此该选项在较新的服务器上似乎有不同的行为。那是对的吗?我找不到任何其他原因导致此功能不起作用。
看起来旧版本的firewalld允许区域漂移。
什么是区域漂移?
用户可以配置基于源的 zoneFoo - 您通过 --add-source 添加源的区域。如果zoneFoo使用默认的--set-target,那么数据包将被允许进入第二个基于接口的区域。这包括包罗万象的默认区域。
资料来源:
Firewalld 博客文章:https://firewalld.org/2020/01/allowzonedrifting
Alma Linux论坛:https://almalinux.discourse.group/t/adding-source-ip-to-specific-zone-prevents-same-ip-from-accessing-services-in-other-zones/2539/3