我试图理解Linux firwalld区域背后的逻辑,以及它们被评估的方式。 据我了解,区域被定义为接口和IP范围的列表,允许/拒绝规则可以被应用。 它是否正确? 对于包含接口和附加IP范围的区域。 即使stream量将从该范围内的IP到达机器,但是通过不同的接口,是否允许为该区域允许的服务? 按什么顺序评估区域? 与两个(可能相互矛盾的)区域相匹配的传入stream量会发生什么情况? 例如,允许nfs从给定接口连接到机器的区域Z1和拒绝来自IP的所有传入stream量的区域Z2。 通过Z1定义的接口到达机器的NFSstream量会发生什么,但是z2中定义的IP会发生什么?
自从我使用Centos以来,我一直在使用带有自定义防火墙脚本的iptables来parsing规则。 但是由于Centos 7 firewalld是新的默认设置。 这对我来说很好,有时间继续前进。 无论如何,我认为firewalld的文档写得不好,只有几个例子。 所以我的问题很简单,但我会说明我想实现的。 我有一个有两个接口的服务器。 一个接口连接到互联网,另一个是内部networking。 内部接口上的所有stream量都是允许的,所以我将它添加到了可信区域。 到现在为止还挺好。 我默认的思路是,所有的stream量都被阻止,除了它的服务目的(http,https在我的情况)。 对于维护和备份ssh应该打开几个IP地址。 我正在考虑使用自定义服务为ssh创build一个规则,但这不起作用,因为服务不接受源标记。 那么我该如何继续呢? 我想创build一个文件,我可以定义我的例外(ssh为一个ip,http为所有等),所以我可以将它们复制到其他服务器。 提前致谢!
我是Centos 7 / Serverpipe理新手。 我想弄清楚如何使用firewalld。 我的内核版本是:2.6.32-042stab084.20(OpenVZ) 和: #firewall-cmd –version #0.3.9 问题是我无法从firewall-cmd中获得任何function。 以下是我尝试过的一些命令: # systemctl status firewalld -l firewalld.service – firewalld – dynamic firewall daemon Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled) Active: active (running) since …; Main PID: 120 CGroup: /system.slice/firewalld.service └─120 /usr/bin/python -Es /usr/sbin/firewalld –nofork –nopid systemd[1]: Starting firewalld – dynamic firewall daemon… systemd[1]: Started firewalld – […]
我试图在CentOS7上运行fail2ban(没有SELinux),它使用firewalld。 我的目标是将其设置为禁止Asterisk密码失败。 安装程序是默认的yum install fail2ban configuration方面我只加了jail.local以下内容: [DEFAULT] backend = systemd banaction = firewallcmd-ipset destemail = [email protected] sender = [email protected] [asterisk] enabled = true #filter = asterisk #logpath = /var/log/asterisk/messages maxretry = 5 bantime = 86400 现在,当我重新启动fail2ban服务,我得到这样的fail2ban.log条目: 2015-04-26 13:35:18,149 fail2ban.server [2820]: INFO Changed logging target to /var/log/fail2ban.log for Fail2ban v0.9.1 2015-04-26 13:35:18,151 fail2ban.database [2820]: INFO Connected […]
我想知道如何阻止IP在服务器上使用smtp服务与centos 7防火墙。 我尝试使用这样的东西: firewall-cmd –permanent –zone="public" –add-rich-rule='rule family=ipv4 source address=[ipadress] –remove-service=smtp' 但不是正确的语法 或者我应该阻止TCP端口25,465和587? 也如果有人可以告诉我如何自动做到这一点,从文件(如果可能的话)得到de ip将是伟大的
运行时 [root@host ~]# firewall-cmd –get-active-zones [root@host ~]# [root@host ~]# firewall-cmd –get-default-zone public 我没有得到任何活动区域。 我怎样才能激活一个区域?
为了获得VNC的访问权限,我把这个愚蠢的命令放到了ssh的firewalld上 $ firewall-cmd –enable 5903:tcp 现在我不能ssh,ping或curl服务器。 哎呦。 任何人都可以解释造成这种情况的原因吗? 我的意思是肯定 – 自行启用将启用防火墙及其默认规则(即SSH访问是其中之一)是正确的? 正如你可能可以告诉我没有阅读手册 – 基本的人为错误。 另外请注意,我以普通用户身份运行该命令,而不是以root身份或通过sudo运行。 谢谢所有:(
我正试图在公共区域打开ftp端口,而firewall-cmd以非描述性的响应退出。 命令输出是: firewall-cmd –zone=public –add-service=ftp Error: COMMAND_FAILED 操作系统:CentOS Linux版本7.3.1611(核心) 用更多的细节更新原始问题。 journalctl输出: ~ firewall-cmd –zone=public –add-service=ftp Error: COMMAND_FAILED ~ journalctl -xf Mar 06 00:46:42 hostname firewalld[3496]: ERROR: COMMAND_FAILED debugging输出: ~ firewalld –nofork –debug=10 <…> 2017-03-06 00:49:57 DEBUG1: zone.addService('public', 'ftp', 0) 2017-03-06 00:49:57 DEBUG4: <class 'firewall.core.fw_transaction.FirewallZoneTransaction'>.execute(True) 2017-03-06 00:49:57 DEBUG4: <class 'firewall.core.fw_transaction.FirewallZoneTransaction'>.prepare(True, …) 2017-03-06 00:49:57 DEBUG4: <class 'firewall.core.fw_transaction.FirewallZoneTransaction'>.prepare(True, […]
所以,我第一次安装了Fedora Core 19 ,replace了一个老的系统,它的磁盘终于死掉了。 该系统作为networking服务器和网关/防火墙 ,保护内部系统。 因为它有很多networkingconfiguration,所以我得到了一个介绍 – 我发现我真的很喜欢 – 新的防火墙守护进程firewalld 。 当我突然发现内部邮件服务器的maillog文件变得疯狂的时候,我以为一切进展顺利(总是遇到麻烦的时候) – 只是运气好的时候,我正好在工作6个小时后才看到它。 调查显示,问题是我的内部邮件系统(受防火墙保护)以某种方式认为所有的出站邮件都来自网关系统,因此它是一个“内部”系统,垃圾邮件发现者是一个开放的中继站。 我也注意到,不pipe怎么样,内部和外部区域被标记为“伪装”,实际上maillog文件中感知的IP地址是网关的IP。 通过转发的ssh端口login也证实在内部使用了错误的IP。 没问题!“我错误地想了一下,是的,关掉内部区域的伪装,确实把通过网关传递给内部系统的错误的IP修复了,但是,这并没有解决问题,因为莫名其妙地(到目前为止! 看起来好像端口25不再被转发! 其他端口正在转发,至less我所说的简单testing的ssh端口是。 所以,我想,我只是打开那个奇特的loggingfunction ! 这是命令: firewall-cmd –zone=external –add-rich-rule='rule family="ipv4" forward-port port="25" protocol="tcp" to-port="25" to-addr="192.168.1.1" log prefix="smtp-to-inside" level="info"' 我试着用permanent选项,而不是等等。 没有任何东西出现在/ var / log / messages中 – 或者我能想到的任何其他日志文件中。就好像内核只是忽略了那个端口一样。 我想也许内部邮件系统可能会阻止与防火墙的外部stream量,但网关应该logging连接尝试,但我什么也得不到。 任何和所有帮助表示赞赏。
我想: 删除外部networking中除80和443之外的所有传入连接 允许192.168.0.0/16上的内部机器连接到:9000:8080 以下是我通过firewall-cmd设置我的drop区的过程: echo "net.ipv4.ip_forward=1" >> /etc/sysctl.conf sysctl -p systemctl start firewalld.service systemctl enable firewalld firewall-cmd –set-default-zone=drop firewall-cmd –permanent –zone=drop –add-service=ssh firewall-cmd –permanent –zone=drop –add-port=80/tcp firewall-cmd –permanent –zone=drop –add-port=443/tcp firewall-cmd –zone=drop –permanent –add-rich-rule='rule source address="192.168.0.0/16" port port="9000" protocol="tcp" accept' firewall-cmd –zone=drop –permanent –add-rich-rule='rule source address="192.168.0.0/16" port port="8080" protocol="tcp" accept' firewall-cmd –reload 以下是活动drop区的外观: [root@machine ~]# […]