ファイアウォールの豊富なルール

Question

RedHat ドキュメントには次のセクションがあります。豊富なルール。

ここでは、2つのallow規則と1つまたは他のすべてdropがreject必要です（プロトコルを介した接続を許可すると仮定し、他のすべてがtcp必要ですdropが、使用法に適している場合はdrop次のように置き換えます）。reject

firewall-cmd --zone=dmz --add-rich-rule='rule family="ipv4" source address="192.168.1.10" port port="2222" protocol="tcp" accept'
firewall-cmd --zone=dmz --add-rich-rule='rule family="ipv4" destination address="192.168.1.20" port port="4444" protocol="tcp" accept
firewall-cmd --zone=dmz --add-rich-rule='rule family="ipv4" source address="192.168.1.10" invert="true" destination address="192.168.1.20" invert="true" drop'

これにより、ほとんどの結果が得られ、両方の許可されたアドレスから別のポートを明示的にブロックすることはありませんが、すでに探しているものかもしれません。

firewalld実行中のバージョンがサポートしている場合priorityプロパティ、他の2つのルールの後に優先順位の高い包括的なdrop/を簡単に追加できます。reject

firewall-cmd --zone=dmz --add-rich-rule='priority=999 drop'

Answer 1

RedHat ドキュメントには次のセクションがあります。豊富なルール。

ここでは、2つのallow規則と1つまたは他のすべてdropがreject必要です（プロトコルを介した接続を許可すると仮定し、他のすべてがtcp必要ですdropが、使用法に適している場合はdrop次のように置き換えます）。reject

firewall-cmd --zone=dmz --add-rich-rule='rule family="ipv4" source address="192.168.1.10" port port="2222" protocol="tcp" accept'
firewall-cmd --zone=dmz --add-rich-rule='rule family="ipv4" destination address="192.168.1.20" port port="4444" protocol="tcp" accept
firewall-cmd --zone=dmz --add-rich-rule='rule family="ipv4" source address="192.168.1.10" invert="true" destination address="192.168.1.20" invert="true" drop'

これにより、ほとんどの結果が得られ、両方の許可されたアドレスから別のポートを明示的にブロックすることはありませんが、すでに探しているものかもしれません。

firewalld実行中のバージョンがサポートしている場合priorityプロパティ、他の2つのルールの後に優先順位の高い包括的なdrop/を簡単に追加できます。reject

firewall-cmd --zone=dmz --add-rich-rule='priority=999 drop'

ファイアウォールの豊富なルール

ベストアンサー1

おすすめ記事