firewalldでoutboundの通信制限をかけたところ、Inboundの通信もできなくなりました。
Inboundの許可設定はリッチルールで、Ounboundの許可設定とその他Outboundの拒否設定は
ダイレクトルールで設定しました。
#####やりたいこと
SSH足場サーバ→設定対象サーバ ssh接続許可(Inbound)
設定対象サーバ→メールサーバ smtp接続許可(Outbound)
その他全ての通信(Inbound/Outbound)を遮断
######構成
サーバ | IPアドレス |
---|---|
設定対象サーバ | 192.168.1.100 |
SSH足場サーバ | 192.168.1.22 |
メールサーバ | 192.168.1.25 |
#####やったこと
[SSH足場サーバ→設定対象サーバ ssh接続許可(Inbound)]
# firewall-cmd --permanent --add-rich-rule "rule family="ipv4" source address="192.168.1.22" port port="22" protocol="tcp" accept" # firewall-cmd --list-all public (active) target: default icmp-block-inversion: no interfaces: ens192 sources: services: ports: protocols: masquerade: no forward-ports: source-ports: icmp-blocks: rich rules: rule family="ipv4" source address="192.168.1.22" port port="22" protocol="tcp" accept
[設定対象サーバ→メールサーバ smtp接続許可(Outbound)]
# firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 1 -o ens192 -m tcp -p tcp -d 192.168.1.25 --dport 25 -j ACCEPT
[その他全ての通信を遮断]
# firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 10 -o ens192 -j REJECT ←この設定後ssh接続の通信が遮断され、接続できなくなりました。
#####質問事項
①リッチルールとダイレクトルールは共存できますか?
②共存できる場合、どちらの設定が優先されますか?リッチルールで許可していてもダイレクトルール側の全拒否ルールが優先されるのでしょうか。
③共存できない場合は、Outboundの制限を設定したい以上、Inbound含め全てダイレクトルールで設定した方がよいのでしょうか。
リッチルールよりもダイレクトルールが優先されているためにやりたいことが実現できていないと考えたので上記のような質問の仕方をしておりますが、
コマンドがそもそも違う等、その他の原因がございましたらご指摘いただけると幸いです。
回答1件
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2020/08/17 00:37