CentOS8システムがあり、ファイアウォールの基本構成は次のとおりです。
firewall-cmd --list-all
public (active)
target: default
icmp-block-inversion: no
interfaces: ens192
sources:
services: dhcpv6-client mdns ssh
ports:
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
ホワイトリストに追加したい範囲を追加しました。 10.21.0.0/16は許可し、他のすべての人はブロックしたいと思います。
firewall-cmd --add-source=10.21.0.0/16
firewall-cmd --add-source=10.21.0.0/16 --permanent
firewall-cmd --list-all
public (active)
target: default
icmp-block-inversion: no
interfaces: ens192
sources: 10.21.0.0/16
services: dhcpv6-client mdns ssh
ports:
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
ただし、IP 158.121.110.66を使用してボックスでSSHを試してみると通過します。 10.21.0.0/16を除くすべてをブロックしてはいけませんか?私は何が間違っていましたか?
ベストアンサー1
ファイアウォールが特定のソース以外のすべての接続を拒否するようにするには、デフォルト領域をたとえば、またはdrop次のように設定する必要がありますblock。
firewall-cmd --set-default-zone=drop
もちろん、これらを適用するときは非常に注意する必要があります:-)