Я пытаюсь использовать FirewallD для ограничения доступа к серверу CentOS с других машин в сети. Он имеет единый сетевой интерфейс и работает в общественный зона. Допустим, IP-адрес этого сервера 10.10.1.20.
Я хочу сделать так, чтобы только машины с IP-адресами 10.10.1.125 и 10.10.1.126 могли подключаться (ssh и https) к этому серверу. Ни один из других IP-адресов не должен иметь возможность подключаться к этому серверу (или даже знать, что он существует).
Я пробовал использовать расширенные правила FirewallD следующим образом (10.10.1.20)
sudo firewall-cmd --add-rich-rule 'rule family="ipv4" source address="10.10.1.0/24" drop'
sudo firewall-cmd --add-rich-rule 'rule family="ipv4" source address="10.10.1.125" accept'
sudo firewall-cmd --add-rich-rule 'rule family="ipv4" source address="10.10.1.126" accept'
Но похоже, что это не работает. Я не могу подключиться по ssh к 10.10.1.20 из 10.10.1.125 или 10.10.1.126.
Я пробовал вводить правила в обратном порядке, но все равно не работает.
Кто-нибудь может мне помочь? Нужно ли мне менять зону с публичной на более ограниченную, например, drop, прежде чем правила, которые я написал выше, могут быть применены?
Сложные правила не подходят для этого. Время от времени они просто будут создавать путаницу.
Поймите, что firewalld зона соответствует набору служб, которые вы можете разрешить, и источникам трафика для этих служб.
Все, что вам нужно сделать, это установить службы, которые вы хотите разрешить в зоне (что вы, вероятно, уже сделали), а затем установить источники.
Источники трафика могут быть обозначены двумя способами: по интерфейсу или по IP-адресу источника. Соответствующий трафик любой источник проходит эту проверку.
Итак, что вы хотите сделать, это добавить IP-адреса, разрешенные для доступа к службам, а затем удалить интерфейс (если есть).
firewall-cmd --zone=public --add-source=10.10.1.25
firewall-cmd --zone=public --add-source=10.10.1.26
firewall-cmd --zone=public --remove-interface=enp2s1
firewall-cmd --runtime-to-permanent
И обратите внимание, что вы, вероятно, не хочу сделать это в public зона, но создайте новую зону. В этой зоне есть несколько настроек, разрешенных по умолчанию (например, DHCP), которые могут вызвать проблемы, если вы удалите интерфейс и ограничите зону по IP-адресу источника.
sudo firewall-cmd --add-rich-rule 'rule family="ipv4" service name="ssh" source address="10.10.1.125" accept'
sudo firewall-cmd --add-rich-rule 'rule family="ipv4" service name="https" source address="10.10.1.125" accept'
sudo firewall-cmd --add-rich-rule 'rule family="ipv4" service name="ssh" source address="10.10.1.126" accept'
sudo firewall-cmd --add-rich-rule 'rule family="ipv4" service name="https" source address="10.10.1.126" accept'
firewall-cmd --reload
и перезапустите службу брандмауэра.
брандмауэр по умолчанию блокирует все соединения. Так что вам нужно добавить только эти правила.