Q&A
いまのままですとほぼ丸投げです。
自分で考えて、設定して、テストして、何度もリトライして、それでもNGなら再度質問するようにしてください。
環境:CentOS Linux release 8.1.1911 (Core) (ウェブサーバ)
ウェブサーバのfirewalldにて下記を実現したい場合どのようなルールを書けば良いのか困っています。
172.17.10.56/28のセグメントにいるクライアントはウェブサーバのtcp/53、tcp/80をアクセス許可する
172.17.10.56/28のセグメントにいるクライアントはウェブサーバの上記以外のポートはアクセス拒否する
他のセグメントにいるクライアントはウェブサーバの全ポートにアクセス許可する
試したこと
firewall-cmd --permanent --zone=trusted --add-rich-rule='rule family="ipv4" source address="172.17.10.56/28" port protocol="tcp" port="8080" reject'
上記のようにインターフェースをtrustedゾーンに設定し、特定セグメントかつ特定ポート以外を
rejectするルールを試そうとしておりましたが、ポートをレンジで書く方法が分からず、
一つ一つ書いていくのも非現実的と思い、何か他に実現する方法を探しております。
上記ルールを実現するfirewalldのルールについてご回答頂けますと幸いです。
よろしくお願いいたします。
まずは、ご自身で調べてテストしたルールを質問に追記していただけないでしょうか?
ポート番号を指定しなければ、全ポート扱いになるのでは?
回答1件
0
ベストアンサー
trusted ゾーンのターゲットが ACCEPT なので、難しくなるのだと思います。
trusted ゾーンのターゲットを DROP (または default) にするか、
別のゾーンに変更して、rich rule で 許可ルールだけ 設定します。
(rich rule) rule family="ipv4" source address="172.17.10.56/29" port port="80" protocol="tcp" accept rule family="ipv4" source address="172.17.10.56/29" port port="53" protocol="udp" accept rule family="ipv4" source address="172.17.10.56/29" port port="53" protocol="tcp" accept rule family="ipv4" source NOT address="172.17.10.56/29" accept
(trusted ゾーンのターゲット変更) # firewall-cmd --permanent --zone=trusted --set-target=DROP
ちなみに、ネットワークアドレスは 172.17.10.56/29 または 172.17.10.48/28 ではないでしょうか。
投稿2020/05/15 14:06
総合スコア12173
あなたの回答
tips
プレビュー
