RHEL7 / CentOS7 zawiera nową firewalld
usługę zapory ogniowej, która zastępuje iptables service
(oba używają iptables
narzędzia do interakcji z Netfilterem jądra poniżej).
firewalld
można łatwo dostroić, aby blokować ruch przychodzący, ale jak zauważył Thomas Woerner 1,5 lat temu „ograniczenie ruchu wychodzącego nie jest obecnie możliwe przy pomocy firewalld w prosty sposób”. I o ile widzę, sytuacja się nie zmieniła. A może to? Czy jest jakiś sposób na blokowanie ruchu wychodzącego firewalld
? Jeśli nie, czy istnieją inne „standardowe” sposoby (na dystrybucji RHEL7) blokowania ruchu wychodzącego, z wyjątkiem ręcznego dodawania reguł za pomocą iptables
narzędzia?
ipv4
(iptables). Może być pożądane mieć podobne reguły dlaipv6
(dla ip6tables) lubeb
(dla ebtables).Po tym, jak sam zadałem to samo pytanie i przy odrobinie majsterkowania, zebrałem kilka fajnych zasad ograniczania ruchu wychodzącego do zapytań HTTP / HTTPS i DNS:
Zezwalaj na ustanowione połączenia:
Zezwalaj na HTTP:
Zezwalaj na HTTPS:
Zezwalaj na zapytania DNS:
Odrzuć wszystko inne:
Dobrym pomysłem może być przetestowanie najpierw, pomijając argument „--permanent”.
Nie jestem bynajmniej ekspertem, ale wydaje mi się, że to działa dobrze :)
źródło
firewall-cmd [--permanent] --direct --remove-rules ipv4 filter OUTPUT
zrobi to masowo.W sprawie GUI; Myślę, że znajdziesz to w „ Konfiguracja bezpośrednia ”. Aby uzyskać do niego dostęp, musisz wybrać go w „ Widoku ”. Mogę się mylić.
Dygresja
Aby usunąć reguły; musisz wyjść, a następnie ponownie wejść.
źródło