我将不胜感激一些帮助configurationfirewalld请。 这里有一些背景。 我所要做的就是阻止所有的访问 – 除了列入白名单的IP地址到https上运行的Web应用程序。 我做了很多Googlesearch。 了解了一些东西,但没有一个工作。 这是我所做的: 我可以告诉firewalld正在运行 # systemctl status firewalld firewalld.service – firewalld – dynamic firewall daemon Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled) Active: active (running) 也与 # firewall-cmd –state running 我有默认区域 # firewall-cmd –get-zones block dmz drop external home internal public trusted work 我的活动区域包括: # firewall-cmd –get-active-zones public sources: 192.72.0.193 192.72.0.0/22 94.27.256.190 我的默认区域是公开的: […]
我刚刚在我的Centos反向代理服务器上完成了fail2ban的设置。 我能够得到它阻止所有要求,如果一定的标准得到满足(非常简单)。 但是,现在我想redirect违规用户,而不是阻止他们。 我知道这是可能的使用自定义操作文件,但我似乎无法让它正常工作。 我想redirect到服务器上的另一个端口(也许运行Apache与一个自定义的网页,说明为什么他们被redirect)或完全到另一个网站。 有什么想法吗? 这是我尝试redirect到另一个端口(意图是将违规用户redirect到同一台服务器上的端口8080)。 该操作称为防火墙redirect,它来自firewallcmd-ipset。 # Fail2Ban action file for firewall-cmd/ipset # # This requires: # ipset (package: ipset) # firewall-cmd (package: firewalld) # # This is for ipset protocol 6 (and hopefully later) (ipset v6.14). # Use ipset -V to see the protocol and version. # # IPset was a feature […]
我设置了Fail2ban来保护ssh,我使用firewalld,我看到很多人推荐使用anaction = iptables-multiport和其他使用iptables的解决scheme,而不是firewalld声称它更快或消耗更less的资源。 正如我之前所说,我已经configuration了firewalld(实际上我只是阻止了所有的端口,除了我用了3分钟),我想知道是否应该使用iptables或firewalld通过设置firewallcmd-ipset而不是上述configuration(以较快者为准)。 另外我注意到,我有一个安装的iptables软件包,甚至很难,我不记得安装它,但它不运行,也不能运行。 所以只是为了澄清: 哪一个更好的performance? 哪个是fail2ban在centos7上使用的默认防火墙? Firewalld取代了Iptables,还是仅仅是一种与之交互的不同方式? 谢谢!
我正在使用fail2ban/firewalld来限制对Nginx服务器的类似bot的访问。 通常,相应的监狱configuration如下所示: [nginx-botsearch] #banaction = iptables-multiport enabled = true filter = nginx-botsearch logpath = /var/log/nginx*/*access*.log maxretry = 3 bantime = 3600 这按预期工作(缺省值为firewallcmd-ipset ),即iptables -L命令在INPUT_direct链中显示一个条目: REJECT tcp — anywhere anywhere multiport dports http,https match-set fail2ban-nginx-botsearch src reject-with icmp-port-unreachable 与相应的fail2ban-nginx-botsearch ipset 。 但是,当bantime增加时,我注意到一个奇怪的行为。 一切正常预计bantime <= 4294967 。 当我设置bantime = 4294968并重新加载fail2ban服务时, iptables输出中的条目丢失(ipset未被创build),实际上,使用例如ab实用程序进行testing显示禁止未被强制执行。 有趣的是,使用banaction = iptables-multiport即使对于“大型”禁令也是如此。 什么可能是这种行为的原因? 我在CentOS 7上使用了fail2ban […]
在FirewallD自带的CentOS 7中,启用HTTP访问非常简单: firewall-cmd –permanent –zone=public –add-service=http 然而, firewall-cmd –permanent –zone=public –add-service=ftp 不起作用:该规则适用,但除禁用FirewallD之外,我无法以任何方式访问FTP。 一些诊断信息: 我已经检查了服务定义文件(ftp.xml),它使用了nf_conntrack_ftp模块。 在我的VPS模块被编译到内核(不分离),所以它不是通过lsmod,但我可以确认它在这里: zgrep FTP /proc/config.gz CONFIG_NF_CONNTRACK_FTP=y CONFIG_NF_CONNTRACK_TFTP=y CONFIG_NF_NAT_FTP=y CONFIG_NF_NAT_TFTP=y
我正在使用AWS MarketPlace的这个图像 。 问题是,centos 7应该是用firewalld而不是iptables来的。 但是firewalld没有安装,但安装了iptables 。 这是为什么。 还有什么其他的变化,这个特定的图像,这是centos提供的,应该是在常规的7个图像上。
我在这台独一无二的网关/防火墙系统上安装了Fedora。 安装完成后,我运行了' yum upgrade ',所以应该是最新的Fedora 21 – 我有点落后(特别是Fedora 22),所以希望能够解决任何问题(现在可以实现MAYBE I应该去了Fedora 20!)… 一旦我起来,我configuration了两个网卡在他们各自的IP地址,重新启动,确认他们是好的,并开始“防火墙”设置。 首先,我跑了: # firewall-cmd –list-all-zones 我确认firewalld正在使用的接口名称与其他工具一致(与以前版本的Fedora不同,例如19 – 请参阅FC19 FirewallDdebugging帮助请求:端口不转发 ) 为了把界面放到正确的区域,我跑了: firewall-cmd –permanent –zone=external –change-interface=enp2s0 firewall-cmd –permanent –zone=internal –change-interface=enp5s4 然后继续尝试设置端口转发等。有几个步骤,例如打开端口,然后转发它。 然而,没有任何工作。 经过一番挖掘,我发现这篇文章只是几天前,所以我觉得这是非常当前 – http://www.certdepot.net/rhel7-get-started-firewalld/ – 并遵循其build议编辑/etc/sysctl.conf并添加一行net.ipv4.ip_forward=1 ,然后用/etc/sysctl.conf # sysctl -p将其激活,但不幸的是,事情实际上是“倒退”了… 以前,尝试连接到转发的端口挂了,但现在他们回来了: ssh: connect to host 167.101.97.2 port 6543: No route to host 所以,我试图通过UN-DOING端口转发和对sysctl.conf的编辑来恢复正常,但事情并没有回到“原来的! 令人怀疑,我重新启动,一切设置为默认,刚刚安装的条件,我可以 […]
在我们的CentOS 6服务器上,我使用了本文中的信息来减less我们的服务器上的蛮力ssh尝试,特别是速率限制/日志logging部分。 有没有办法在CentOS 7中使用firewalld来做同样的事情? 我宁愿避免切换回iptables,因为看起来firewalld是操作系统的发展方向。 作为参考,这里是我们使用的iptables的基本configuration(一些值是不同的) /sbin/iptables -N LOGDROP /sbin/iptables -A LOGDROP -j LOG /sbin/iptables -A LOGDROP -j DROP iptables -I INPUT -p tcp –dport 22 -i eth0 -m state –state NEW -m recent –set iptables -I INPUT -p tcp –dport 22 -i eth0 -m state –state NEW -m recent –update –seconds 60 –hitcount 4 […]
我在Fedora 19上有一个OpenVPN服务器,有两个客户端 – 一个客户端和服务器在同一个LAN上,另一个在互联网上。 我希望2个客户端能够通过隧道相互交谈,如果我停止在服务器上的firewalld.service,他们可以。 我怎样才能configurationfirewalld允许这种stream量? 可以使用GUI,也可以使用firewall-cmd。 我认为相当于iptables的命令是: iptables -A INPUT -i tun + -j ACCEPT iptables -A FORWARD -i tun + -j ACCEPT 如何用firewalld做到这一点?
有一个简单的方法来导出/导入firewalld设置? 我想在一台服务器上设置firewalld,然后在其他服务器上使用。 包括添加自定义区域,直接规则等