問題の特定のサーバーはCentOS 7を実行し、ポート22(SSH)およびポート範囲11224-12224(主にリバースSSHトンネリング)で提供されます。サーバーはパブリックIPからアクセス可能で、SSHを使用した証明書を介してのみログインを許可し、Fail2banが設定されています。
ポート22:パブリックアクセス用に開いています。 (リモートサーバーがこれに接続して接続のために次の範囲のポートをバインドした場合)
ポート範囲 11224-12224 - プライベート IP 範囲
ICMP: 開いたままプライベート IP 範囲(10.0.0.0 – 10.255.255.255, 172.16.0.0 – 172.31.255.255, 192.168.0.0 – 192.168.255.255) のみアクセス
私は大丈夫ですが、これはiptables私firewalldに新しいことであり、リモートで直接接続しているのでssh試行錯誤を受けて自分自身をロックするのではなく、権威ある答えを探しています。Firewalld何の修正もなく在庫状態です。
ベストアンサー1
ポート22:
firewall-cmd --permanent --zone=public --add-service=ssh # persistent setting
firewall-cmd --reload
ポート範囲 11224-12224:
firewall-cmd --add-rich-rule='rule family="ipv4" source address="10.0.0.0/8" port port="11224-12224" protocol="tcp" accept'
firewall-cmd --add-rich-rule='rule family="ipv4" source address="172.16.0.0/12" port port="11224-12224" protocol="tcp" accept'
firewall-cmd --add-rich-rule='rule family="ipv4" source address="192.168.0.0/16" port port="11224-12224" protocol="tcp" accept'
firewall-cmd --reload
望むより:https://fedoraproject.org/wiki/Features/FirewalldRichLanguage
ICMP:
すべてのICMPを盲目的にブロックしないでください。ルートMTU検索が中断され、すべての接続のMTU値が下がらないと、VPN、IPv6ゲートウェイ、さまざまな種類のクラウドサービスなどを介して最大サイズのパケットを転送するすべての接続が機能しなくなります。オペレーティングシステムでは、ICMP応答転送を優先度の低いジョブとして扱い、過度のワークロードが発生した場合は無視できます。
誰かが存在しないホストにpingを試みると、欠落しているホストのアップストリームルーターはICMP「ホストに接続できません」というメッセージをpingerに送り返します。 ping応答をブロックしている場合、pingerは次のようにホストが存在するかどうかを確認し続けます。
- ping応答受信=ホストが存在する
- ping応答はありませんが、宛先ホストに最も近いルータでICMP「ホストに接続できません」=ホストは存在しません。
- ping応答なしそしてICMP なし = ホストが存在し、ping をブロックする可能性が高い。
これはかなり単純な問題です。