hsvt Posted January 27, 2016 · Report post Пытаюсь перенастроить пулл правил с pf на firewalld. Задача в общем то простая, два интерфейса внешних eno1 eno2, eno1 в зоне drop drop (default, active) interfaces: eno1 sources: services: ports: 22/tcp masquerade: no forward-ports: icmp-blocks: rich rules: На eno1 нужно, ссш из вне, 80,443 только для определённых префиксов, всё остальное drop. eno2 в зоне public: public (active) interfaces: eno2 sources: services: http https ports: masquerade: no forward-ports: icmp-blocks: rich rules: ssh тут не нужен, нужно 80,443 отовсюду, всё остальное drop. Помимо этого еще используется несколько direct правил, с ними проблем нет. Типа таких: ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 3306 match-set mysql src ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 10050 zabbix src ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmptype 8 code 0 DROP tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 3306 DROP tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 10050 DROP icmp -- 0.0.0.0/0 0.0.0.0/ Применить списки ipset (http://www.firewalld.org/2015/12/ipset-support/) к самим зонам не даёт, хотя хотелось бы, гораздо лучше чем перечислять их в source или rich. Есть тут извращенцы по новому firewalld которые готовы рассказать про все прелести и удобства работы с зонами :) Или лучше оставить простой iptables-service? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...