我升级到CentOS 7并学习firewalld。
当我build立一个新的服务器,我的默认iptableconfiguration最好的安全性(我相信这是一个非常标准的configuration):
# IPv4 iptables -F iptables -A INPUT -p tcp --dport 22 -j ACCEPT iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT /sbin/service iptables save iptables -L -v # IPv6 ip6tables -F ip6tables -A INPUT -p tcp --dport 22 -j ACCEPT ip6tables -P INPUT DROP ip6tables -P FORWARD DROP ip6tables -P OUTPUT ACCEPT ip6tables -A INPUT -i lo -j ACCEPT ip6tables -A INPUT -p ipv6-icmp -j ACCEPT ip6tables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT /sbin/service ip6tables save ip6tables -L -v 现在变成:
firewall-cmd --set-default-zone=public firewall-cmd --permanent --zone=public --add-service=ssh firewall-cmd --permanent --zone public --remove-service dhcpv6-client firewall-cmd --zone=public --change-interface=em1 firewall-cmd --reload
我相信这可行,但安全性较低。 我有一个印象,使用BLOCK区域将是更合适的,但由于icmp的ipv6打破。 任何build议什么是最好的firewalldconfiguration将是最好地反映旧的iptable规则? 为了保持这个问题的通用性,我对允许使用SSH感兴趣 – 不用打破IPv6,也不允许其他任何东西。
谢谢!