[hsvt]

Пытаюсь перенастроить пулл правил с pf на firewalld. Задача в общем то простая, два интерфейса внешних eno1 eno2, eno1 в зоне drop

 

drop (default, active)
 interfaces: eno1
 sources:
 services:
 ports: 22/tcp
 masquerade: no
 forward-ports:
 icmp-blocks:
 rich rules:

 

На eno1 нужно, ссш из вне, 80,443 только для определённых префиксов, всё остальное drop.

 

 

eno2 в зоне public:

 

public (active)
 interfaces: eno2
 sources:
 services: http https
 ports:
 masquerade: no
 forward-ports:
 icmp-blocks:
 rich rules:

 

ssh тут не нужен, нужно 80,443 отовсюду, всё остальное drop.

 

Помимо этого еще используется несколько direct правил, с ними проблем нет.

Типа таких:

 

ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            multiport dports 3306 match-set mysql src
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            multiport dports 10050 zabbix src
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0            icmptype 8 code 0
DROP       tcp  --  0.0.0.0/0            0.0.0.0/0            multiport dports 3306
DROP       tcp  --  0.0.0.0/0            0.0.0.0/0            multiport dports 10050
DROP       icmp --  0.0.0.0/0            0.0.0.0/

 

Применить списки ipset (http://www.firewalld.org/2015/12/ipset-support/) к самим зонам не даёт, хотя хотелось бы, гораздо лучше чем перечислять их в source или rich.

 

Есть тут извращенцы по новому firewalld которые готовы рассказать про все прелести и удобства работы с зонами :) Или лучше оставить простой iptables-service?