¿Cómo evitar que centos7 acceda activamente a la red externa?
1. Prohibición de IP (esto es lo que más solemos usar)
# firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source dirección='222.222.222.222' rechazar" IP única
# firewall-cmd --permanent --add-rich-rule="rule family='ipv4' dirección de origen='222.222.222.0/24 ' rechazar" segmento IP
# firewall-cmd --permanent --add-rich-rule="familia de reglas=dirección de origen ipv4=192.168.1.2 puerto puerto=80 protocolo=tcp aceptar" IP única Una cierta port
Este es el que más utilizamos.
Bloquear una IP y un puerto rechazar rechazar aceptar permitir
Por supuesto, aún podemos prohibir la IP a través de ipset
# firewall-cmd --permanent --zone=public --new -ipset=lista negra --type=hash:ip
# firewall-cmd --permanent --zone=public --ipset=lista negra --add-entry=222.222.222.222
Bloquear segmento de red
# firewall-cmd --permanent --zone=public --new-ipset=blacklist --type=hash:net
# firewall-cmd -- permanente --zone=public --ipset=blacklist --add-entry=222.222.222.0/24
Para las reglas de ipset
# firewall-cmd --permanent --zone = public --new-ipset-from-file=/path/blacklist.xml
Luego bloquear la lista negra
# firewall-cmd --permanent --zone=public --add - rich-rule='fuente de regla ipset=eliminación de lista negra'
2. Prohibición de IP y puerto
# firewall-cmd --permanent --add-rich-rule="familia de reglas =ipv4 dirección de origen=192.168.1.2 puerto puerto=80 protocolo=tcp aceptar"
Solo se permite el acceso al puerto 80 para la IP 192.168.1.2 (para denegar el acceso, simplemente reemplace aceptar con rechazar y eliminar para esta regla, simplemente cambie –add-rich-rule a –remove-rich-rule)
# firewall-cmd --permanent --add-rich-rule="rule family=dirección de origen ipv4= 192.168 .1.2/24 port port=80 protocolo=tcp aceptar"
Solo se permite el acceso al puerto 80 para el segmento IP 192.168.1.2 (para denegar el acceso, simplemente reemplace aceptar con rechazar y elimine la regla. – add-rich-rule se puede cambiar a –remove-rich-rule)
3. La tarjeta de red interna de la tarjeta de red dual no está restringida por el firewall
# firewall-cmd - -permanent - -zone=public --add-interface=eth1
Tarjeta de red pública –zone=zona pública predeterminada
# firewall-cmd --permanent --zone=trusted - -add- interface=eth2
Tarjeta de red interna –zone=trusted es una zona confiable que acepta todas las conexiones de red
Recargar para que surta efecto
<p># firewall-cmd --reload