Я новичок в управлении Centos 7 / Server. Пытаюсь понять, как работать с firewalld. мой выпуск ядра: 2.6.32-042stab084.20 (OpenVZ)
И:
#firewall-cmd --version
#0.3.9
Проблема в том, что я не могу получить какие-либо функции из firewall-cmd. Вот некоторые из команд, которые я пробовал:
# systemctl status firewalld -l
firewalld.service - firewalld - dynamic firewall daemon
Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled)
Active: active (running) since ...;
Main PID: 120
CGroup: /system.slice/firewalld.service
└─120 /usr/bin/python -Es /usr/sbin/firewalld --nofork --nopid
systemd[1]: Starting firewalld - dynamic firewall daemon...
systemd[1]: Started firewalld - dynamic firewall daemon.
firewalld[120]: ERROR: ebtables not usable, disabling ethernet bridge firewall.
firewalld[120]: ERROR: INVALID_ZONE
Кажется, что firewalld запущен, и на самом деле он выполняет свою функцию межсетевого экрана. но когда я пытаюсь использовать firewall-cmd:
# firewall-cmd --state
not running
#firewall-cmd --get-zones
#[nothing happens]
#firewall-cmd --reload
[X]Server crashed and I had to request a reboot!
Я установил fail2ban, и он работает, добавляя IP-адреса в список запрещенных, который я могу просмотреть: iptables -L -n.
# iptables -V
#iptables v1.4.21
# iptables -nvL
Chain INPUT (policy ACCEPT 798 packets, 89141 bytes)
pkts bytes target prot opt in out source destination
76260 14M f2b-SSH tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
69823 14M f2b-sshd tcp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 22
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 725 packets, 113K bytes)
pkts bytes target prot opt in out source destination
Chain INPUT_ZONES (0 references)
pkts bytes target prot opt in out source destination
Chain INPUT_ZONES_SOURCE (0 references)
pkts bytes target prot opt in out source destination
Chain INPUT_direct (0 references)
pkts bytes target prot opt in out source destination
Chain f2b-SSH (1 references)
pkts bytes target prot opt in out source destination
17 1060 REJECT all -- * * 111.222.333.444 0.0.0.0/0 reject-with icmp-port-unreachable
...
...
Но теперь я хочу открыть определенный порт для приложения и не могу использовать firewall-cmd. Так что я могу сделать?
Проблема в том, что вы используете OpenVZ. OpenVZ работает под управлением ядра 2.6, которое не имеет возможностей, на которые полагается демон firewalld, и все изменения systemd переносятся обратно в sysvinit для OpenVZ.