K8s
ファイアウォールサービスを開始するように設定できますか?zone
trusted
私のクラスタにICMPセキュリティの脆弱性があり、それを制限するにはファイアウォールを開く必要があります。ファイアウォールサービスを有効にしてzone
設定できますかtrusted
?
試してみません。これはリリース前の環境です。
trusted
firewall
デフォルトでは、K8に影響を与えるように起動時に地域を指定する方法はありますかpublic
、それとも別の回避策がありますか?
答え1
ファイアウォールエリアプリセットの場合、ここで方法を見つけました。ファイアウォールオフラインcmd
ファイアウォールが開始される前にファイアウォールルールを設定できますfirewall-offline-cmd
。
firewalld
起動効果については、k8s
起動後にクラスタノードが正常に動作することを観察しましたが、効果があると思います。これからも問題が発生するかはわかりません。
注:クラスタにいくつかのルールまたは他のルールがある場合は、iptables
ファイアウォールをオンにするとそのルールが消えます。nat
マイ脆弱性:ICMPタイムスタンプ要求応答の脆弱性
テストの結果、この脆弱性は起動せずに解決できることがわかりましたfirewalld.service
。単純なルールの場合は、すぐに適用するには、次のルールを追加するだけです。始める必要はありません。firewalld
┌──[[email protected]]-[~]
└─$iptables -A INPUT -p icmp --icmp-type 13 -j DROP
┌──[[email protected]]-[~]
└─$iptables -A OUTPUT -p icmp --icmp-type 14 -j DROP
以前にこれらの設定を行ったことを覚えておいてください。そうしないと、システムの再起動時にその構成が消えます。