tra-loi-cau-hoi-phat-trien-web.com

Chặn các kết nối gửi đi trên RHEL7 / CentOS7 với tường lửa?

RHEL7/CentOS7 có dịch vụ tường lửa firewalld mới, thay thế iptables service (cả hai đều sử dụng công cụ iptables để tương tác với Netfilter của kernel bên dưới).

firewalld có thể dễ dàng điều chỉnh để chặn lưu lượng truy cập đến, nhưng như Thomas Woerner đã lưu ý 1,5 năm trước "không thể hạn chế lưu lượng đi với tường lửa theo cách đơn giản vào lúc này" . Và theo như tôi có thể thấy tình hình đã không thay đổi kể từ đó. Hay là có nó? Có cách nào để chặn lưu lượng đi với firewalld không? Nếu không có bất kỳ cách "tiêu chuẩn" nào khác (trên bản phân phối RHEL7) về việc chặn lưu lượng đi ngoại trừ việc thêm quy tắc thủ công thông qua công cụ iptables?

12
golem

Tôi không tìm thấy bất kỳ tùy chọn nào trong GUI đẹp đó, nhưng có thể thông qua giao diện trực tiếp

Để chỉ bật cổng 80:

firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 0 -p tcp -m tcp --dport=80 -j ACCEPT
firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 1 -j DROP

Điều này sẽ thêm nó vào quy tắc vĩnh viễn, không phải quy tắc thời gian chạy.
[.__.] Bạn sẽ cần tải lại các quy tắc vĩnh viễn để chúng trở thành quy tắc thời gian chạy.

firewall-cmd --reload

để hiển thị các quy tắc vĩnh viễn

firewall-cmd --permanent --direct --get-all-rules

để hiển thị các quy tắc thời gian chạy

firewall-cmd --direct --get-all-rules
13
Fedora-user

Sau khi tự đặt câu hỏi tương tự và với một số sửa đổi, tôi đã thu thập một số quy tắc Nice để hạn chế lưu lượng truy cập đi đến các truy vấn HTTP/HTTPS và DNS:

Cho phép kết nối được thiết lập:

# firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 0 -m state --state ESTABLISHED,RELATED -j ACCEPT

Cho phép HTTP:

# firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 1 -p tcp -m tcp --dport 80 -j ACCEPT

Cho phép HTTPS:

# firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 1 -p tcp -m tcp --dport 443 -j ACCEPT

Cho phép truy vấn DNS:

# firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 1 -p tcp -m tcp --dport 53 -j ACCEPT
# firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 1 -p udp --dport 53 -j ACCEPT

Từ chối mọi thứ khác:

# firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 2 -j DROP

Trước tiên, có thể nên thử nghiệm bằng cách bỏ qua đối số '--permanent'.

Tôi không có nghĩa là một chuyên gia, nhưng điều này dường như làm việc tốt với tôi :)

6
user253068

Liên quan đến GUI; Tôi nghĩ rằng bạn tìm thấy điều này trong "Cấu hình trực tiếp". Để truy cập nó, bạn phải chọn nó trong "Xem". Tôi có thể sai.

Ghi chú bên cạnh

Để xóa các quy tắc; bạn phải thoát ra và sau đó nhập lại.

1
user301864