我在VPS /networking服务器上运行firwalld。 public区域是active和default (我不希望改变)。 我如何只允许这两个外部IP地址访问VPS(即我在public区域定义的所有服务): IP1: 11.22.33.44/24 IP2: 55.66.77.88/24 这些是假IP地址,并注意到它们故意不在同一个子网上 。 我想我明白为什么以下不起作用(它locking了一个或另一个IP)。 user$ sudo firewall-cmd –zone=public –permanent –add-source=11.22.33.44/24 user$ sudo firewall-cmd –zone=public –permanent –add-source=55.66.77.88/24 user$ sudo firewall-cmd –permanent –zone=public –add-rich-rule='rule family="ipv4" source address="11.22.33.44/24" invert="True" drop' user$ sudo firewall-cmd –permanent –zone=public –add-rich-rule='rule family="ipv4" source address="55.66.77.88/24" invert="True" drop' user$ sudo firewall-cmd –reload 我需要修改这个工作(所以它不locking一个IP或其他或两者)? 谢谢! = 🙂 编辑 […]
我不是很熟悉networking的东西,我很难理解干草firewalld作品。 我正在开发一个REST服务,实际上在端口8080上侦听,而且我希望能够发送端口80上的请求,这个请求将被redirect到8080。 为了在CentOS 6上做到这一点,我使用了iptables和这样一个规则: iptables -t nat -A PREROUTING -p tcp –dport 80 -j REDIRECT –to-port 8080 我在CentOS 7上迁移,甚至iptables仍然存在,仍然有效,事实上,firewalld是默认的防火墙软件,让我想我应该开始使用该软件…事实是,我不明白它是如何工作的,如何将我的单个iptables规则转换成firewalld规则。 我知道firewalld“理解”了iptables规则(实际上,我正在使用firewalld的这个规则继续工作),但是我想知道如何去做,而且我也希望这个规则也是永久的。 谢谢
我有Debian 8,Virtualmin,Proftpd我build立了一个ftp账号,我可以在同一台服务器上login和下载。 但是,从另一个IP,我不能连接在不安全的FTP端口21(我可以用sftp(安全)在端口22) 当做这个:nmap -p 21 ip.num.ber我以前得到这个结果PORT STATE SERVICE 21 / tcp filtered ftp 所以我在FirewallD中对Virtualmin进行了修改,增加了端口21的应用configuration,现在我得到PORT STATE SERVICE 21 / tcp open ftp 我没有在黑名单中检查用户,没有任何与PAM相关的东西有关。 但是我仍然无法使用Filezillalogin。 我认为这与防火墙有关,我知道在路由数据包的时候需要做些什么,我对networking很陌生。 感谢您的帮助
我的linux环境是fedora 27,httpd正在运行,而firewall-cmd –list-all显示 FedoraWorkstation (active) target: default icmp-block-inversion: no interfaces: wlp3s0 sources: services: dhcpv6-client ssh samba-client mdns ports: 1025-65535/udp 1025-65535/tcp protocols: masquerade: no forward-ports: source-ports: icmp-blocks: rich rules: 虽然http服务或80端口是不允许的,nmap显示 Starting Nmap 7.60 ( https://nmap.org ) at 2017-11-25 18:55 PST Nmap scan report for 10.0.0.15 Host is up (0.000052s latency). PORT STATE SERVICE 80/tcp open http […]
我正在做部署Fedora 20的试点,尽pipe有外部的防火墙保护,这里的规定说我需要在每个主机上都有单独的防火墙。 现在来了,firewalld是这里的新国王,所以我正在学习它的方式。 现在我有一个清理的端口列表,声明(非公开)默认区域和一些典型的服务,加上一个特定的服务似乎运行良好。 但是,当应用任何更改( – 永久模式),并重新加载防火墙: # firewall-cmd –reload 这需要花费太多的时间 ,大约10分钟以上才能完成命令 – 这与“成功”快乐地结束。 计算机在这段时间基本上是不可用的,因为连接丢失。 但在此之后,它就像预期的那样运行。 日志没有帮助到目前为止… 开始/停止服务工作正常,在1〜2秒内完成,可以预期的。 有什么我可以遗漏/省略? 这个恼人的行为怎么可能被排除? 谢谢
我有一个(tinc)VPN设置与多个客户端连接到位于防火墙后面的LAN上的VPN服务器。 我想把这个局域网暴露给服务器正在服务的VPN。 我已经看到了一些如何configurationiptables的例子,但是我想用FirewallD来configuration这个设置,但是还没有成功。 VPN子网为10.0.0.0/24,本地局域网为192.168.178.0/24。 VPN服务器在10.0.0.60和192.168.178.47。 testing客户端在10.0.0.17。 我跑了: firewall-cmd –permanent –zone=external –add-interface=vpn firewall-cmd –permanent –zone=internal –add-interface=eth0 firewall-cmd –permanent –zone=external –add-masquerade systemctl restart firewalld 在VPN服务器上,在客户端上: route add -net 192.168.178.0 netmask 255.255.255.0 gw 10.0.0.60 ping 192.168.178.1 哪个返回100%的丢包。 有什么我做错了吗? PS:如果我在testing客户端上运行“ping 192.168.178.47”,我会得到回复! 只是不是局域网的其余部分。
我有一个networking应用程序部署在一个networking服务器上,在CentOS 7上运行。 此Web应用程序通过外部SMTP(in-v3.mailjet.com,端口587)发送电子邮件。 如何启用CentOS连接到外部SMTP? 该服务器在Digital Ocean上托pipe。
我不能让vsftpd和firewalld在CentOS 7上正确地协同工作(不需要增加被动范围到firewalld)。 看起来像firewalld忽略连接跟踪(nf_conntrack_ftp已加载,但有0个用户)。 这个build议是否正确,firewalld还不支持连接跟踪? 在firewalld我启用了ftp服务,但是我可以login和列表,我不能上传文件,除非我停止防火墙或添加一个明确的被动范围。 Firewalld命令: firewall-cmd –permanent –add-service=ftp 结果iptables规则: -A IN_public_allow -p tcp -m tcp –dport 21 -m conntrack –ctstate NEW -j ACCEPT 连接跟踪模块: # lsmod | grep conntrack_ftp nf_conntrack_ftp 18638 0
我想只允许几个IP地址进行SSH连接。 我正在使用带有firewalld和OpenSSH SSH客户端的CentOS 7。 我怎样才能做到这一点?
我有以下与此问题相关的区域。 SemiTrusted和 上市 我想将IPSECencryption的stream量(即来自某些特定的IP地址)视为属于SemiTrusted。 在iptables中,我会使用策略匹配来使用一个semitrusted链。 我怎么能用firewalld来实现这一点。 我在firewalld手册页中没有看到任何关于策略的提及,也没有看到如何根据firewalld.richlanguage(5)中的ipsec策略进行匹配。 我想我可以使用firewalld.direct(5),但我不知道如何将其与基于firewalld.zone(5)的其他configuration集成。 编辑:为了说清楚,我不想在区域SemiTrusted中打开ipsec端口。 这是微不足道的。