ホワイトリストにある元のIPアドレスを除くすべての着信要求をブロックするようにCentOS 7ファイアウォールを設定したいと思います。ホワイトリストのIPアドレスの場合は、すべてのポートにアクセスできる必要があります。
私はいくつかの解決策が見つかりましたが(動作しているかどうかはわかりません)、iptablesCentOS 7を使用しました。コマンドで達成できるfirewalldものと似たものが見つかりませんでした。firewall-cmd
インターフェイスはパブリックエリアにあります。また、すべてのサービスをパブリックスペースに移動しました。
ベストアンサー1
ゾーンにソースを追加してこれを行います。まず、お住まいの地域で利用可能なソースを確認してください。
firewall-cmd --permanent --zone=public --list-sources
そうでない場合は、追加を開始できます。これが「許可リスト」です。
firewall-cmd --permanent --zone=public --add-source=192.168.100.0/24
firewall-cmd --permanent --zone=public --add-source=192.168.222.123/32
(これにより、/24IP全体と単一IPが追加されるため、サブネットと単一IPの両方への参照が得られます。)
開くポートの範囲を設定します。
firewall-cmd --permanent --zone=public --add-port=1-22/tcp
firewall-cmd --permanent --zone=public --add-port=1-22/udp
これはポート1〜22にのみ適用されます。必要に応じて拡張できます。
今行ったことを再ロードしてください。
firewall-cmd --reload
作業内容を確認してください。
firewall-cmd --zone=public --list-all
注/編集:これは重要ではありませんが、IPグループをホワイトリストに追加するためにファイアウォールの「信頼できる」領域が好きです。読んでみると、さらに詳しく評価できます。地域選択のためのredhatの提案。
また見なさい:
- ファイアウォールを使用した RHEL 7 ドキュメント
- FedoraファイアウォールDドキュメント(とても良いです。Fedoraはしばらくファイアウォールを使ってきました)
DROPこのソースの外部にパケットを送信する場合は、/24以前に例として使用したソース外部パケットをドロップする例を次に示します。これには豊富なルールを使用できます、私は信じる。これは概念的であり、まだテストしていません(centos 7がコマンドを受け入れる以外)。 pcapを実行し、期待どおりに機能していることを確認するのは簡単です。
firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" source address="192.168.100.0/24" invert="True" drop'