作者 主題: rhel7 的 firewalld 觀念請教  (閱讀 1951 次)

0 會員 與 1 訪客 正在閱讀本文。

fedora

  • 憂鬱的高中生
  • ***
  • 文章數: 99
    • 檢視個人資料
rhel7 的 firewalld 觀念請教
« 於: 2014-11-25 15:42 »
最近在學 rhel7,對於新的 firewalld 觀念,教材上有一段敘述是這樣的:

Every packet that comes into the system will first be checked for its source address. If that soruce address is tied to a specific zone, the rules for that zone will be parsed. If the source address is not tied to a zone, the zone for the incoming network interface wil be used. If the network interface is not associated with a zone for some reason, the default zone will be used. The default zone is not a separate zone itself; it is one of the other zones.

public zone 是預設的 zone,現在我在 work zone 裡加上一來源網路段:
# firewall-cmd --add-source=192.168.1.0/24 --zone=work --permanent

接著將 ssh 服務從 work zone 中移除:
# firewall-cmd --remove-service=ssh --zone=work --permanent

# systemctl restart firewalld

最後做個檢視:
# firewall-cmd --list-all-zones
public (default, active)
  interfaces: enp0s3
  sources:
  services: ssh
  ports:
  masquerade: no
  forward-ports:
  icmp-blocks:
  rich rules:

work
  interfaces:
  sources: 192.168.1.0/24
  services: dhcpv6-client ipp-client
  ports:
  masquerade: no
  forward-ports:
  icmp-blocks:

結果我從client 端用 ssh 連 server 還是可以連。

若按照原文的說法,若來源端符合該 zone 時,會以此 zone 裡的規則做比對,所以應該是以 work zone 為主,但 work zone 中並無 ssh 服務,所以client 應該無法 ssh 連進來不是嗎?

還是我觀念有問題呢?

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17465
    • 檢視個人資料
    • http://www.study-area.org
Re: rhel7 的 firewalld 觀念請教
« 回覆 #1 於: 2014-11-25 21:28 »
rhel7的firewall沒玩過...
不知道可以加 deny 的規則嗎?

fedora

  • 憂鬱的高中生
  • ***
  • 文章數: 99
    • 檢視個人資料
Re: rhel7 的 firewalld 觀念請教
« 回覆 #2 於: 2014-11-26 09:55 »
rhel7 跟之前的 redhat 差別很大,以前 redhat 改版

大概花個一兩天就可以全部掌控,但 rhel7 很多都改了

包括以 systemd 取代用了 n 年的 init,系統日誌將來也可能由 systemd-journald 取代傳統的 syslogd

gurb2 開機流程及 rescue mode 進入方式都改變了   firewall 也是一樣,當然傳統 iptables 還是可用

至於 netman 大大問的 deny 問題也是可用在 firewalld 中,因 firewalld 裡預設有幾個 zone 可套用


« 上次編輯: 2014-12-03 22:58 由 fedora »

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17465
    • 檢視個人資料
    • http://www.study-area.org
Re: rhel7 的 firewalld 觀念請教
« 回覆 #3 於: 2014-11-26 11:31 »
感謝大大的說明!
看來得找個時間try rhel7了... ^_^

greatboy

  • 可愛的小學生
  • *
  • 文章數: 1
  • 性別: 男
    • 檢視個人資料
    • V管联盟
Re: rhel7 的 firewalld 觀念請教
« 回覆 #4 於: 2014-12-15 21:58 »
能说一下你看的是什么教材吗?
改变从现在开始

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17465
    • 檢視個人資料
    • http://www.study-area.org
Re: rhel7 的 firewalld 觀念請教
« 回覆 #5 於: 2014-12-15 22:36 »
先預告一下:

明年1/31群英會,我們邀請到小州老師來講rhel7的新改變哦~~ ^_^

devil24g

  • 可愛的小學生
  • *
  • 文章數: 7
    • 檢視個人資料
Re: rhel7 的 firewalld 觀念請教
« 回覆 #6 於: 2015-03-30 19:28 »
最後做個檢視:
# firewall-cmd --list-all-zones
public (default, active)
  interfaces: enp0s3
  sources:
  services: ssh
  ports:
  masquerade: no
  forward-ports:
  icmp-blocks:
  rich rules:

work
  interfaces:
  sources: 192.168.1.0/24
  services: dhcpv6-client ipp-client
  ports:
  masquerade: no
  forward-ports:
  icmp-blocks:

没有注意到你的interface是在publice zone里面吗? 你可以用nmcli来更改interface所在zone的位置

devil24g

  • 可愛的小學生
  • *
  • 文章數: 7
    • 檢視個人資料
Re: rhel7 的 firewalld 觀念請教
« 回覆 #7 於: 2015-03-30 19:31 »
rhel7的firewall沒玩過...
不知道可以加 deny 的規則嗎?

firewalld里面可以加自定义规则, 用--add-rich-rule这个参数可以在指定zone里面添加类似iptables一样的source, destination, port, service, accept, reject等