Jump to content
Калькуляторы

Firewalld прошу помочь реализовать логику

Пытаюсь перенастроить пулл правил с pf на firewalld. Задача в общем то простая, два интерфейса внешних eno1 eno2, eno1 в зоне drop

 

drop (default, active)
 interfaces: eno1
 sources:
 services:
 ports: 22/tcp
 masquerade: no
 forward-ports:
 icmp-blocks:
 rich rules:

 

На eno1 нужно, ссш из вне, 80,443 только для определённых префиксов, всё остальное drop.

 

 

eno2 в зоне public:

 

public (active)
 interfaces: eno2
 sources:
 services: http https
 ports:
 masquerade: no
 forward-ports:
 icmp-blocks:
 rich rules:

 

ssh тут не нужен, нужно 80,443 отовсюду, всё остальное drop.

 

Помимо этого еще используется несколько direct правил, с ними проблем нет.

Типа таких:

 

ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            multiport dports 3306 match-set mysql src
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            multiport dports 10050 zabbix src
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0            icmptype 8 code 0
DROP       tcp  --  0.0.0.0/0            0.0.0.0/0            multiport dports 3306
DROP       tcp  --  0.0.0.0/0            0.0.0.0/0            multiport dports 10050
DROP       icmp --  0.0.0.0/0            0.0.0.0/

 

Применить списки ipset (http://www.firewalld.org/2015/12/ipset-support/) к самим зонам не даёт, хотя хотелось бы, гораздо лучше чем перечислять их в source или rich.

 

Есть тут извращенцы по новому firewalld которые готовы рассказать про все прелести и удобства работы с зонами :) Или лучше оставить простой iptables-service?

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.