ファイアウォールの豊富なルール

ファイアウォールの豊富なルール

DMZゾーンにCentOS7サーバーがあり、2つのストリームのみを開こうとします。

  1. ポート 2222 から 192.168.1.10 からの着信トラフィックを許可します。
  2. 192.168.1.20 ポート 4444 へのトラフィックを許可
  3. 他はすべてブロック

ファイアウォールが豊富なルールを使用してこれを実行したいのですが、これは着信トラフィックでのみ機能するようです(確認が必要です)。適用する正しい規則を見つけるのに役立ちます。

よろしくお願いします。

答え1

RedHat ドキュメントには次のセクションがあります。豊富なルール

ここでは、2つのallow規則と1つまたは他のすべてdropreject必要です(プロトコルを介した接続を許可すると仮定し、他のすべてがtcp必要ですdropが、使用法に適している場合はdrop次のように置き換えます)。reject

firewall-cmd --zone=dmz --add-rich-rule='rule family="ipv4" source address="192.168.1.10" port port="2222" protocol="tcp" accept'
firewall-cmd --zone=dmz --add-rich-rule='rule family="ipv4" destination address="192.168.1.20" port port="4444" protocol="tcp" accept
firewall-cmd --zone=dmz --add-rich-rule='rule family="ipv4" source address="192.168.1.10" invert="true" destination address="192.168.1.20" invert="true" drop'

これにより、ほとんどの結果が得られ、両方の許可されたアドレスから別のポートを明示的にブロックすることはありませんが、すでに探しているものかもしれません。

firewalld実行中のバージョンがサポートしている場合priorityプロパティ、他の2つのルールの後に優先順位の高い包括的なdrop/を簡単に追加できます。reject

firewall-cmd --zone=dmz --add-rich-rule='priority=999 drop'

関連情報