У меня есть несколько серверов RHEL7 / CentOS7, на которых мне нужно заблокировать все ИСХОДЯЩИЙ трафик на выделенные машины или выделенные сетевые подсети, например CIDR 168.192.10.0/24.
На данный момент я пробовал с firewall-cmd
но не повезло. Большинство сообщений, которые я видел, использовали iptables
но я бы предпочел решение, основанное на firewalld
.
Я уже пробовал основывать свое решение на этих двух темах Заблокировать исходящие соединения ... и Блокируйте исходящие соединения на Centos 7 с помощью firewalld но почему-то мои правила должны быть неправильными, поскольку я все еще могу открыть http-соединение с сервером.
Текущий firewalld
правила (правила не определены)
public (active)
target: default
icmp-block-inversion: no
interfaces: eth0
sources:
services: dhcpv6-client http https ssh
ports:
protocols:
masquerade: no
forward-ports:
sourceports:
icmp-blocks:
rich rules:
Предположим, исходный IP-адрес сервера - 168.192.18.56. Затем правила, которые я пытался определить (также с --permanent
firewall-cmd --direct --add-rule ipv4 filter OUTPUT 0 -d 168.192.10.0/24 -j REJECT
firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" source address="168.192.18.56" destination address=168.192.10.0/24 reject'
Я также пробовал с УДАЛИТЬ действие. Текущие правила
public (active)
target: default
icmp-block-inversion: no
interfaces: eth0
sources:
services: dhcpv6-client http https ssh
ports:
protocols:
masquerade: no
forward-ports:
sourceports:
icmp-blocks:
rich rules:
rule family="ipv4" destination address="192.168.10.0/24" log prefix="dropped" level="debug" limit value="20/m" drop
Теперь не уверен, что мне нужно перезагрузить firewalld
? В этом случае я бы сделал правила постоянными.
Мое недоразумение в том, что
wget 192.168.10.30
и получить index.html
назадЯ был бы признателен, если бы знал, что делаю неправильно