На этот вопрос уже есть ответ:
Я пытаюсь использовать FirewallD для ограничения доступа к CentOS сервер с других машин в сети. Он имеет единый сетевой интерфейс и работает в общедоступной зоне . Допустим, IP-адрес этого сервера 10.10.1.20.
Я хочу, чтобы только машины с IP-адресами 10.10.1.125 и 10.10.1.126 могли подключаться (ssh и https) к этому серверу. Ни один из других IP-адресов не должен иметь возможность подключаться к этому серверу (или даже знать, что он существует).
Я попытался использовать следующие расширенные правила FirewallD (10.10.1.20)
sudo firewall-cmd --add-rich-rule 'rule family="ipv4" source address="10.10.1.0/24" drop'
sudo firewall-cmd --add-rich-rule 'rule family="ipv4" source address="10.10.1.125" accept'
sudo firewall-cmd --add-rich-rule 'rule family="ipv4" source address="10.10.1.126" accept'
Но, похоже, это не сработало. Я не могу подключиться по ssh к 10.10.1.20 из 10.10.1.125 или 10.10.1.126.
Я попытался ввести правила в обратном порядке, но все равно не работает.
Кто-нибудь может мне здесь помочь? Нужно ли мне изменить зону с публичной на более ограниченную, например, drop, прежде чем правила, которые я написал выше, могут быть применены?
Богатые правила не подходят для этого. Они просто создадут путаницу, сейчас и позже.
Поймите, что зона firewalld соответствует набору служб, которые вы можете разрешить, и источникам трафика для этих служб.
] Все, что вам нужно сделать, это установить службы, которые вы хотите разрешить в зоне (что вы, вероятно, уже сделали), а затем установить источники.
Источники трафика могут быть назначены двумя способами: по интерфейсу или по источнику Айпи адрес. Трафик, который соответствует любому источнику, проходит эту проверку.
Итак, вы хотите добавить IP-адреса, которым разрешен доступ к службам, а затем удалить интерфейс (если есть).
firewall-cmd --zone=public --add-source=10.10.1.25
firewall-cmd --zone=public --add-source=10.10.1.26
firewall-cmd --zone=public --remove-interface=enp2s1
firewall-cmd --runtime-to-permanent
И обратите внимание, что вы, вероятно, не хотите делать это в общедоступной
зоне, а создадите новую зону. В этой зоне есть несколько настроек, разрешенных по умолчанию (например, DHCP), что может вызвать проблемы, если вы удалите интерфейс и ограничите зону по IP-адресу источника.
sudo firewall-cmd --add-rich-rule 'rule family="ipv4" service name="ssh" source address="10.10.1.125" accept'
sudo firewall-cmd --add-rich-rule 'rule family="ipv4" service name="https" source address="10.10.1.125" accept'
sudo firewall-cmd --add-rich-rule 'rule family="ipv4" service name="ssh" source address="10.10.1.126" accept'
sudo firewall-cmd --add-rich-rule 'rule family="ipv4" service name="https" source address="10.10.1.126" accept'
firewall-cmd --reload
и перезапустите службу брандмауэра.
брандмауэр по умолчанию блокирует все соединения . Так что вам нужно добавить только эти правила.