DMZゾーンにCentOS7サーバーがあり、2つのストリームのみを開こうとします。
- ポート 2222 から 192.168.1.10 からの着信トラフィックを許可します。
- 192.168.1.20 ポート 4444 へのトラフィックを許可
- 他はすべてブロック
ファイアウォールが豊富なルールを使用してこれを実行したいのですが、これは着信トラフィックでのみ機能するようです(確認が必要です)。適用する正しい規則を見つけるのに役立ちます。
よろしくお願いします。
答え1
RedHat ドキュメントには次のセクションがあります。豊富なルール。
ここでは、2つのallow
規則と1つまたは他のすべてdrop
がreject
必要です(プロトコルを介した接続を許可すると仮定し、他のすべてがtcp
必要ですdrop
が、使用法に適している場合はdrop
次のように置き換えます)。reject
firewall-cmd --zone=dmz --add-rich-rule='rule family="ipv4" source address="192.168.1.10" port port="2222" protocol="tcp" accept'
firewall-cmd --zone=dmz --add-rich-rule='rule family="ipv4" destination address="192.168.1.20" port port="4444" protocol="tcp" accept
firewall-cmd --zone=dmz --add-rich-rule='rule family="ipv4" source address="192.168.1.10" invert="true" destination address="192.168.1.20" invert="true" drop'
これにより、ほとんどの結果が得られ、両方の許可されたアドレスから別のポートを明示的にブロックすることはありませんが、すでに探しているものかもしれません。
firewalld
実行中のバージョンがサポートしている場合priority
プロパティ、他の2つのルールの後に優先順位の高い包括的なdrop
/を簡単に追加できます。reject
firewall-cmd --zone=dmz --add-rich-rule='priority=999 drop'