IptablesでFirewallDについて学びたい。
drop
私の地域はサービスのない基本地域です。
drop (active)
target: DROP
icmp-block-inversion: no
interfaces: enp9s0u2u1u2c2
sources:
services:
ports:
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
このゾーンにソースIPを追加するのはなぜですか?
- すべてのローカルIPを追加しました。
firewall-cmd --add-source=192.168.0.0/16
そのソース IP のいずれかから来る場合でも、すべてのパケットを破棄します。
このゾーンにサービスを追加すると、私が設定したソースIPに関係なく、誰でもこのサービスにアクセスできます。
サービスを制限し、単一のIP(または範囲)のみがサービスにアクセスできるようにするにはどうすればよいですか?
iptablesと比較すると、ファイアウォールの動作はまったく明確ではありません。仮定が多すぎて基本的な動作がわかりません。
答え1
すべてのローカルIPを追加しましたFirewall-cmd --add-source=192.168.0.0/16
そのソース IP のいずれかから来る場合でも、すべてのパケットを破棄します。
~からファイアウォールD文書:
オリジンをゾーンにバインドするとは、そのロケールがそのオリジンのトラフィックを制限するために使用されることを意味します。
drop
したがって、この領域は192.168.0.0/16のトラフィックにのみ適用され、他のトラフィックには適用されないことをFirewallDに通知します。そのIP範囲外の着信トラフィックはどうなるのかわかりません。 (このように基本drop
領域を変更するのはおそらく良い考えではありません。)
ゾーンにサービスを追加することは、通常、指定されたサービスがゾーン内のすべてのインターフェイス、ソースIPアドレスに対して常に設定できることを意味します。ゾーンに対して有効なサービスがない場合、すべてのトラフィックはブロックされます。ソースIPアドレスをゾーンに追加したことがないため、一般的な動作がこのアドレスとどのようにやり取りするのかわかりません。
必要なものを達成するには、おそらく新しいゾーンを作成し、必要なサービスのための豊富なルールを追加する必要があります。
firewall-cmd --permanent --new-zone="allow-limited-<service>"
firewall-cmd --permanent --zone="allow-limited-<service>" --add-rich-rule="rule source address=192.168.0.0/16 service name=<service> accept"
この領域にネットワークインターフェイスを割り当てると、192.168.0.0/16(1つ以上のTCPおよび/またはUDPポートを含めることができます)allow-limited-<service>
のサービスのみが許可され、他のすべてのサービスはブロックされます。<service>
ゾーンは、実際に特定のネットワークインターフェイスに簡単に適用できる事前定義されたファイアウォールルールのセットです。ネットワークインターフェイスは一度に1つのゾーンにのみ割り当てることができます。
FirewallDロジックは、企業/ ISP /ホスティングプロバイダの用途に合わせてカスタマイズされているように見え、別々のVLANインターフェイスを持つことができ、企業が以前のIP範囲とはまったく異なるIP範囲から新しいIPブロックを取得した場合にIPアドレスを割り当てることができます。途方もない変化があるでしょう。この環境では、ファイアウォールルールを(VLANまたは物理)にバインドできます。相互作用目的に応じて、IPアドレスはそれほど重要ではありません。