FirewallD は、機能しないポートの IP 範囲を許可します。

tag-icon tag-icon centos firewalld
FirewallD は、機能しないポートの IP 範囲を許可します。

私はサーバーに接続するためにIPサブネット全体を開こうとしますが、クライアントは毎週IPが更新され、サーバーにアクセスできなくなるという問題が発生しています。

私のIPは197.245.0.0/16(例:197.245.0.1 - 197.245.255.255)に低下し、IPはまだIP範囲内にありますが、ポート5060と5061でロックされています。これは私の公開領域の結果です。 xml - さまざまな範囲で特定のポートを開いて正しく動作しますが、上記のポートがなぜこれを行うのかわかりません。

顧客の現在のIPアドレスは197.245.90.xですが、ファイアウォールでブロックしてはいけませんか?

<?xml version="1.0" encoding="utf-8"?>
<zone>
  <short>Public</short>
  <description>For use in public areas. You do not trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.</description>
  <service name="dhcpv6-client"/>
  <service name="ssh"/>
  <port protocol="tcp" port="443"/>
  <port protocol="tcp" port="1567"/>
  <port protocol="tcp" port="80"/>
  <rule family="ipv4">
    <source address="195.35.114.0/23"/>
    <port protocol="tcp" port="5061"/>
    <accept/>
  </rule>
  <rule family="ipv4">
    <source address="195.35.114.0/23"/>
    <port protocol="tcp" port="5060"/>
    <accept/>
  </rule>
  <rule family="ipv4">
    <source address="197.245.0.0/16"/>
    <port protocol="tcp" port="5060"/>
    <accept/>
  </rule>
  <rule family="ipv4">
    <source address="195.35.114.0/23"/>
    <port protocol="udp" port="10000-30000"/>
    <accept/>
  </rule>
  <rule family="ipv4">
    <source address="197.245.0.0/16"/>
    <port protocol="udp" port="10000-30000"/>
    <accept/>
  </rule>
  <rule family="ipv4">
    <source address="197.245.0.0/16"/>
    <port protocol="tcp" port="5061"/>
    <accept/>
  </rule>
  <rule family="ipv4">
    <source address="204.27.0.0/16"/>
    <reject/>
  </rule>
  <rule family="ipv4">
    <source address="89.163.0.0/16"/>
    <reject/>
  </rule>
</zone>

答え1

投稿した情報によると、ブロックしないでください。

iptablesターゲットを持つルールをテーブルTRACEに挿入することをデバッグするには、次の手順を実行しますraw

追跡する

この目標は、パケットがテーブル、チェーン、およびルールを通過したときにパケットが一致する各ルールをカーネルが記録するようにパケットを表示します。

これを表示するには、ロギングバックエンド(たとえば、ip(6)t_LOGまたはnfnetlink_log)をロードする必要があります。パケットは文字列プレフィックス「TRACE:tablename:chainname:type:rulenum」を使用して記録されます。ここで、タイプは「rule」(通常のルールの場合)、「return」(ユーザーの終わりの暗黙のルールの場合)です。定義されたチェーン)と「ポリシー」(一般ルールの場合)は組み込みチェーンのポリシーです。元のテーブルでのみ使用できます。

あなたの場合は次のとおりです。

modprobe nfnetlink_log
iptables -t raw -I PREROUTING -s 197.245.0.0/16 -p tcp --dport 5061 -j TRACE

分析が完了したら削除してください。

iptables -t raw -D PREROUTING -s 197.245.0.0/16 -p tcp --dport 5061 -j TRACE

iptablesこれを行うには、コマンドではなくコマンドを使用してくださいfirewall-*

関連情報