「K8s」が「zone」を「trusted」に設定してファイアウォールサービスを開始できますか?

「K8s」が「zone」を「trusted」に設定してファイアウォールサービスを開始できますか?

K8sファイアウォールサービスを開始するように設定できますか?zonetrusted

私のクラスタにICMPセキュリティの脆弱性があり、それを制限するにはファイアウォールを開く必要があります。ファイアウォールサービスを有効にしてzone設定できますかtrusted

試してみません。これはリリース前の環境です。

trustedfirewallデフォルトでは、K8に影響を与えるように起動時に地域を指定する方法はありますかpublic、それとも別の回避策がありますか?

答え1

ファイアウォールエリアプリセットの場合、ここで方法を見つけました。ファイアウォールオフラインcmd

ファイアウォールが開始される前にファイアウォールルールを設定できますfirewall-offline-cmd

firewalld起動効果については、k8s起動後にクラスタノードが正常に動作することを観察しましたが、効果があると思います。これからも問題が発生するかはわかりません。


注:クラスタにいくつかのルールまたは他のルールがある場合は、iptablesファイアウォールをオンにするとそのルールが消えます。nat


マイ脆弱性:ICMPタイムスタンプ要求応答の脆弱性

テストの結果、この脆弱性は起動せずに解決できることがわかりましたfirewalld.service。単純なルールの場合は、すぐに適用するには、次のルールを追加するだけです。始める必要はありません。firewalld

┌──[[email protected]]-[~]
└─$iptables -A INPUT -p icmp --icmp-type 13 -j DROP
┌──[[email protected]]-[~]
└─$iptables -A OUTPUT -p icmp --icmp-type 14 -j DROP

以前にこれらの設定を行ったことを覚えておいてください。そうしないと、システムの再起動時にその構成が消えます。

関連情報