Red de conocimiento informático - Conocimiento del nombre de dominio - ¿Cómo evitar que centos7 acceda activamente a la red externa?

¿Cómo evitar que centos7 acceda activamente a la red externa?

1. Prohibición de IP (esto es lo que más solemos usar)

# firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source dirección='222.222.222.222' rechazar" IP única

# firewall-cmd --permanent --add-rich-rule="rule family='ipv4' dirección de origen='222.222.222.0/24 ' rechazar" segmento IP

# firewall-cmd --permanent --add-rich-rule="familia de reglas=dirección de origen ipv4=192.168.1.2 puerto puerto=80 protocolo=tcp aceptar" IP única Una cierta port

Este es el que más utilizamos.

Bloquear una IP y un puerto rechazar rechazar aceptar permitir

Por supuesto, aún podemos prohibir la IP a través de ipset

# firewall-cmd --permanent --zone=public --new -ipset=lista negra --type=hash:ip

# firewall-cmd --permanent --zone=public --ipset=lista negra --add-entry=222.222.222.222

Bloquear segmento de red

# firewall-cmd --permanent --zone=public --new-ipset=blacklist --type=hash:net

# firewall-cmd -- permanente --zone=public --ipset=blacklist --add-entry=222.222.222.0/24

Para las reglas de ipset

# firewall-cmd --permanent --zone = public --new-ipset-from-file=/path/blacklist.xml

Luego bloquear la lista negra

# firewall-cmd --permanent --zone=public --add - rich-rule='fuente de regla ipset=eliminación de lista negra'

2. Prohibición de IP y puerto

# firewall-cmd --permanent --add-rich-rule="familia de reglas =ipv4 dirección de origen=192.168.1.2 puerto puerto=80 protocolo=tcp aceptar"

Solo se permite el acceso al puerto 80 para la IP 192.168.1.2 (para denegar el acceso, simplemente reemplace aceptar con rechazar y eliminar para esta regla, simplemente cambie –add-rich-rule a –remove-rich-rule)

# firewall-cmd --permanent --add-rich-rule="rule family=dirección de origen ipv4= 192.168 .1.2/24 port port=80 protocolo=tcp aceptar"

Solo se permite el acceso al puerto 80 para el segmento IP 192.168.1.2 (para denegar el acceso, simplemente reemplace aceptar con rechazar y elimine la regla. – add-rich-rule se puede cambiar a –remove-rich-rule)

3. La tarjeta de red interna de la tarjeta de red dual no está restringida por el firewall

# firewall-cmd - -permanent - -zone=public --add-interface=eth1

Tarjeta de red pública –zone=zona pública predeterminada

# firewall-cmd --permanent --zone=trusted - -add- interface=eth2

Tarjeta de red interna –zone=trusted es una zona confiable que acepta todas las conexiones de red

Recargar para que surta efecto

<

p># firewall-cmd --reload