router/CentOS7

他方からはアクセス可能で、でも逆の方向にはアクセスできない
そのようなルールをfirewall-cmdで用意するにはダイレクトルールを使うしかないみたい

「リモートサーバ」から「ログインノード」へのアクセスは許可したいが、その逆の「ログインノード」から「リモートサーバ」へに接続は全て不許可にしたい
2021y03m05d_195121360.png

CentOS7からのfirewalldによる制御は、ゾーン毎のINPUTに対してsshを許したり、httpを許したりと「入る方向の」制御がメインです。
そのため非常に分かりやすく展開するサービス毎に制御できる

ですが、そのマシンから出て行く方向への制御は従来のiptablesにあった書式をダイレクトに付ける必要がある.

ここでは「ログインノード」に対して「192.168.2.0/24」への全ての通信を遮断してみる

コマンド

「ログインノード」にて単純に

firewall-cmd --permanet --direct --add-rule ipv4 filter OUTPUT 1 -m state --state NEW -p tcp -d 192.168.2.0/24 -J DROP
firewall-cmd --reload

となる。
GUI操作では
「ファイアウォールの設定」を開いて、メニューの「表示」から「ダイレクト設定」を有効にする。
次に右メニューで「ダイレクト設定」を選択して、その下部で「ルール」を選択する。
2021y03m05d_200509656.png
そして、「追加」ボタンを押下する
開いた「ダイレクトルール」画面で、

  • ipv
    ipv4
  • テーブル
    filter
  • チェイン
    OUTPUT
  • 優先度
    1
  • 引数
    「-m state --state NEW -p tcp -d 192.168.2.0/24 -j DROP」

として「OK」ボタンを押下します
2021y03m05d_200707087.png

一応「OK」ボタンを押下すると反映します。これで問題なければ永続的に有効にするためにメニューの「オプション」から「永続的にする実行時設定」を選択する

一応、「iptables -L」コマンドで何がどのように定義されたかは見えるが、複雑すぎてもはや無理..


トップ   編集 添付 複製 名前変更     ヘルプ   最終更新のRSS
Last-modified: 2021-03-05 (金) 20:12:43 (42d)