Назад | Перейти на главную страницу

Блокировка ВСЕГО исходящего трафика Используете firewalld для выделенных сетевых подсетей?

У меня есть несколько серверов RHEL7 / CentOS7, на которых мне нужно заблокировать все ИСХОДЯЩИЙ трафик на выделенные машины или выделенные сетевые подсети, например CIDR 168.192.10.0/24.

На данный момент я пробовал с firewall-cmd но не повезло. Большинство сообщений, которые я видел, использовали iptables но я бы предпочел решение, основанное на firewalld.

Я уже пробовал основывать свое решение на этих двух темах Заблокировать исходящие соединения ... и Блокируйте исходящие соединения на Centos 7 с помощью firewalld но почему-то мои правила должны быть неправильными, поскольку я все еще могу открыть http-соединение с сервером.

Текущий firewalldправила (правила не определены)

public (active)
    target: default
    icmp-block-inversion: no
    interfaces: eth0
    sources:
    services: dhcpv6-client http https ssh
    ports:
    protocols:
    masquerade: no
    forward-ports:
    sourceports:
    icmp-blocks:
    rich rules:

Предположим, исходный IP-адрес сервера - 168.192.18.56. Затем правила, которые я пытался определить (также с --permanent

firewall-cmd --direct --add-rule ipv4 filter OUTPUT 0 -d 168.192.10.0/24 -j REJECT 
firewall-cmd  --zone=public --add-rich-rule='rule family="ipv4" source address="168.192.18.56" destination address=168.192.10.0/24 reject'

Я также пробовал с УДАЛИТЬ действие. Текущие правила

public (active)
  target: default
  icmp-block-inversion: no
  interfaces: eth0
  sources:
  services: dhcpv6-client http https ssh
  ports:
  protocols:
  masquerade: no
  forward-ports:
  sourceports:
  icmp-blocks:
  rich rules:
    rule family="ipv4" destination address="192.168.10.0/24" log prefix="dropped" level="debug" limit value="20/m" drop

Теперь не уверен, что мне нужно перезагрузить firewalld? В этом случае я бы сделал правила постоянными.

Мое недоразумение в том, что

Я был бы признателен, если бы знал, что делаю неправильно