Firewalldのゾーンを使用してアウトバウンドアクセスをブロックする

Firewalldのゾーンを使用してアウトバウンドアクセスをブロックする

CentOS Linuxバージョン7.9.2009を実行しているコンピュータに制限されたアクセスを提供したいと思います。

この目的のために、デフォルトゾーンを「Custom」という新しいゾーンに変更し、次の構成を適用しました。

<?xml version="1.0" encoding="utf-8"?>
<zone>
  <service name="ssh"/>
  <port protocol="tcp" port="5901"/>
  <port protocol="tcp" port="5902"/>
  <port protocol="tcp" port="5903"/>
  <rule family="ipv4">
    <source address="192.168.2.15"/>
    <drop/>
  </rule>
</zone>

この構成により、ユーザーは引き続き他のコンピュータまたはネットワークにアクセスできます。 Firewalldでもこれらの接続をブロックできますか?

答え1

特定のサービスまたはターゲットへのアウトバウンドアクセスをブロックするには、必要な制限を含むカスタムファイアウォールゾーンを作成する必要があります。

  1. Firewall-cmd コマンドを使用してカスタム領域を作成します。
  2. アウトバウンドアクセスルールを定義します。
  3. このカスタムゾーンをアウトバウンドトラフィックのデフォルトゾーンに設定するには、デフォルトゾーンを設定します。
  4. ファイアウォールの再読み込み

発信インターネットアクセスをブロックするには、このルールをCastom Zoneに追加します。

firewall-cmd --permanent --zone=block-outgoing --add-rich-rule='rule family="ipv4" source address="IP_machine" drop'

編集する

最後の編集のために。

sudo firewall-cmd --permanent --new-zone={name zone}
sudo firewall-cmd --permanent --zone={name zone} --add-service=ssh
sudo firewall-cmd --permanent --zone={name zone} --add-service=dns
sudo firewall-cmd --permanent --zone={name zone} --add-rich-rule='rule family="ipv4" drop'
sudo firewall-cmd --reload

編集する

</rule>
  <rule family="ipv4">
    <outbound/>
    <drop/>
</rule>

関連情報