我一直在努力通过一些奇怪的 (对我)firewalld错误,但现在看到我想要的防火墙行为。 但是,对我来说,有什么作品似乎是drop区和trusted [root@douglasii ~]# firewall-cmd –get-active-zones drop interfaces: eth0 veth879317c vethaff7c39 vethb2fec6e trusted sources: 192.168.0.0/16 [root@douglasii ~]# firewall-cmd –zone=drop –list-all drop (default, active) interfaces: eth0 veth879317c vethaff7c39 vethb2fec6e sources: services: ssh ports: 443/tcp 80/tcp masquerade: no forward-ports: icmp-blocks: rich rules: [root@douglasii ~]# firewall-cmd –zone=trusted –list-all trusted interfaces: sources: 192.168.0.0/16 services: ssh ports: 443/tcp 80/tcp […]
我新安装了一个OVH VPS的CentOS 7。 但是当我运行命令firewall-cmd我得到这个: -bash: firewall-cmd: command not found 所以我看着如何解决这个问题,我看到基本上我需要安装它。 所以我试图完全禁用iptables: systemctl mask iptables但我收到一个错误,我奇怪,因为我是以root身份运行: Failed to execute operation: Access denied 我也试过以下命令: [root@vps****** ~]# systemctl status iptables ● iptables.service Loaded: not-found (Reason: No such file or directory) Active: inactive (dead) 和 [root@vps****** ~]# systemctl stop iptables Failed to stop iptables.service: Unit iptables.service not loaded. 所以我认为iptables没有安装,但是当我运行命令iptables –version我得到iptables […]
我在端口5678上运行ssh。 对于我的源IP地址1.2.3.4 – 我想连接到端口22,并将firewalld端口转发到5687。 没有其他源IP地址获得端口转发。 我会input什么防火墙cmd行来实现这一目标?
我知道我可以使用下面的命令来阻止一个单一的IP: firewall-cmd –permanent –add-rich-rule="rule family='ipv4' source address='115.239.228.12' reject" 但我需要从115.239.xx开始阻止所有ips 我有Cent OS 7。 谢谢
我正在尝试使用FirewallD来限制从networking上的其他机器访问CentOS服务器。 它有一个单一的networking接口,在公共区域运行。 可以说,这个服务器的IP地址10.10.1.20。 我想要做的是只允许IP地址为10.10.1.125和10.10.1.126的计算机能够连接(ssh和https)到该服务器。 没有其他的IP地址应该能够连接到这台服务器(甚至不知道它的存在)。 我尝试使用FirewallD丰富的规则如下(在10.10.1.20) sudo firewall-cmd –add-rich-rule 'rule family="ipv4" source address="10.10.1.0/24" drop' sudo firewall-cmd –add-rich-rule 'rule family="ipv4" source address="10.10.1.125" accept' sudo firewall-cmd –add-rich-rule 'rule family="ipv4" source address="10.10.1.126" accept' 但似乎没有工作。 我不能从10.10.1.125或10.10.1.126的10.10.1.20 ssh连接。 我尝试以相反的顺序input规则,但它仍然不起作用。 有人可以帮我吗? 在我上面写的规则可以应用之前,是否需要将区域从公共更改为更具限制性的区域?
我一直在使用iptables,但是直到最近才使用过firewalld 。 我已经通过firewalld使用以下命令启用端口3000 TCP: # firewall-cmd –zone=public –add-port=3000/tcp –permanent 但是,我无法访问端口3000上的服务器。从外部框: telnet 178.62.16.244 3000 Trying 178.62.16.244… telnet: connect to address 178.62.16.244: Connection refused 没有路由问题:我有一个单独的规则,从端口80端口转发到端口8000,从外部正常工作。 我的应用程序肯定也听港口: Proto Recv-Q Send-Q Local Address Foreign Address State User Inode PID/Program name tcp 0 0 0.0.0.0:3000 0.0.0.0:* LISTEN 99 36797 18662/node firewall-cmd似乎没有显示端口 – 看看ports是空的 。 你可以看到我前面提到的前瞻性规则。 # firewall-cmd –list-all public (default, […]
我开始使用RHEL7并学习一些有关systemd的变化。 有没有办法执行/sbin/service iptables save在firewalld? $ /sbin/service iptables save The service command supports only basic LSB actions (start, stop, restart, try-restart, reload, force-reload, status). For other actions, please try to use systemctl. 我可以从文档find最接近的并行–reload : Reload the firewall without loosing state information: $ firewall-cmd –reload 但是它并没有明确地说是否保存。
我一整天早上都在读firewalld,然后想出下面的公共区域: <?xml version="1.0" encoding="utf-8"?> <zone> <short>Public</short> <description>For use in public areas. You do not trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.</description> <source address="167.114.37.0/24"/> <source address="92.222.185.0/24"/> <source address="92.222.184.0/24"/> <source address="92.222.186.0/24"/> <source address="149.202.34.10/32"/> <service name="dhcpv6-client"/> <service name="http"/> <service name="ssh"/> <service name="https"/> </zone> 我能想到的最好的办法是,这个区域应该只允许这些端口/服务的传入连接,并提供对这些子网的完全访问。 但是,当我用nmap扫描我的服务器时,我得到了开放端口的小船(我绝对不在白名单子网中的一个)。 PORT STATE SERVICE […]
我试图用firewalld设置一个CentOS 7虚拟机来在两个不同的子网之间路由stream量。 我有2个networking接口,外部networking的ens192和内部networking的ens224: $ ip a 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN qlen 1 link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 inet 127.0.0.1/8 scope host lo valid_lft forever preferred_lft forever inet6 ::1/128 scope host valid_lft forever preferred_lft forever 2: ens192: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000 link/ether 00:0c:29:62:88:ba brd ff:ff:ff:ff:ff:ff inet 10.212.21.26/16 […]
我有几个RHEL7 / CentOS7服务器,我需要阻止所有的 OUTGOINGstream量到专用机器或专用networking子网,例如CIDR 168.192.10.0/24。 目前我用firewall-cmd尝试过,但并不幸运。 我看到的大多数post都是使用iptables但我宁愿select基于firewalld的解决scheme。 我已经试图将我的解决scheme基于这两个主题阻止传出连接…并阻止与firewalld在Centos 7上的传出连接,但不知何故我的规则必须是错误的,因为我仍然可以打开一个HTTP连接到服务器。 目前的firewalld规则(没有定义规则) public (active) target: default icmp-block-inversion: no interfaces: eth0 sources: services: dhcpv6-client http https ssh ports: protocols: masquerade: no forward-ports: sourceports: icmp-blocks: rich rules: 假设服务器的服务器源IP是168.192.18.56。 接下来,我试图定义的规则(也与–permanent firewall-cmd –direct –add-rule ipv4 filter OUTPUT 0 -d 168.192.10.0/24 -j REJECT firewall-cmd –zone=public –add-rich-rule='rule family="ipv4" source address="168.192.18.56" destination address=168.192.10.0/24 reject' […]