Dr *_*r I 2 firewalld centos7 firewalld-zone
正如我在该主题的评论中所问的那样:使用 firewalld 阻止除少数 ips 之外的所有 ips
我正在寻找一种方法来拒绝所有公共 IP,但我在 firewalld 的公共区域中除外。
目前,我的公共区域只有 ssh/http/https 服务,并且我指定了整个互联网所需的源 IP。
问题是我不明白为什么 firewalld 没有按要求过滤源 IP?
通常,根据我的理解,将源 IP 指定给区域,要求 Firewalld 丢弃除来自指定 IP 的请求之外的所有请求。
但是在我的机器上它不起作用,因为我可以在家中连接到不是指定源 IP 之一的机器。
有人建议创建一个名为“内部/其他”的新区域,因为服务器不在私有局域网上,所以我只有一个公共接口,所以我为什么要创建/使用另一个区域,因为公共区域应该删除所有 IP来源清单上指定的除外。
Firewalld 公共区域是否会自动向世界开放添加在其上的服务?
如果我创建第二个名为 internal 的区域,只有 ssh 服务和源 IP,然后将此区域链接到我的 eth0,firewalld 会阻止所有非“源”IP 吗?
当然,执行这样的过程会假设我从公共区域服务的服务中删除 ssh 服务。
我的防火墙是:
[root@groot ~]# firewall-cmd --list-all-zones
block
interfaces:
sources:
services:
ports:
masquerade: no
forward-ports:
icmp-blocks:
rich rules:
dmz
interfaces:
sources:
services: ssh
ports:
masquerade: no
forward-ports:
icmp-blocks:
rich rules:
drop (default)
interfaces:
sources:
services:
ports:
masquerade: no
forward-ports:
icmp-blocks:
rich rules:
external
interfaces:
sources:
services: ssh
ports:
masquerade: yes
forward-ports:
icmp-blocks:
rich rules:
home
interfaces:
sources:
services: dhcpv6-client ipp-client mdns samba-client ssh
ports:
masquerade: no
forward-ports:
icmp-blocks:
rich rules:
internal (active)
interfaces: eth0
sources: 192.168.0.0/24
services: ssh
ports:
masquerade: no
forward-ports:
icmp-blocks:
rich rules:
public
interfaces:
sources:
services: dhcpv6-client ssh
ports:
masquerade: no
forward-ports:
icmp-blocks:
rich rules:
trusted
interfaces:
sources:
services:
ports:
masquerade: no
forward-ports:
icmp-blocks:
rich rules:
work
interfaces:
sources:
services: dhcpv6-client ipp-client ssh
ports:
masquerade: no
forward-ports:
icmp-blocks:
rich rules:
这看起来像你的问题:
internal (active)
interfaces: eth0
sources: 192.168.0.0/24
如果指定了两个接口,并为区域的源IP地址,那么从交通区比赛无论是界面还是源IP地址。
如果您希望区域仅匹配源 IP 地址,请从中删除接口。
| 归档时间: |
|
| 查看次数: |
376 次 |
| 最近记录: |