Tenho vários servidores RHEL7 / CentOS7 nos quais preciso bloquear o tráfego all OUTGOING para máquinas dedicadas ou sub-redes de rede dedicadas, por exemplo. CIDR 168.192.10.0/24.
No momento, eu tentei com firewall-cmd , mas não tive sorte. A maioria das postagens que vi estava usando iptables , mas eu prefiro uma solução baseada em firewalld .
Já tentei basear minha solução nesses dois tópicos Bloquear saída conexões ... e Bloqueie conexões de saída no Centos 7 com firewalld mas de alguma forma minhas regras devem estar erradas, pois ainda posso abrir uma conexão http com o servidor.
Regras atuais de firewalld (sem regras definidas)
public (active)
target: default
icmp-block-inversion: no
interfaces: eth0
sources:
services: dhcpv6-client http https ssh
ports:
protocols:
masquerade: no
forward-ports:
sourceports:
icmp-blocks:
rich rules:
Vamos supor que o IP de origem do servidor do servidor seja 168.192.18.56. Em seguida, as regras que tentei definir (também com --permanent
firewall-cmd --direct --add-rule ipv4 filter OUTPUT 0 -d 168.192.10.0/24 -j REJECT
firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" source address="168.192.18.56" destination address=168.192.10.0/24 reject'
Eu também tentei com a ação DROP . As regras atuais são
public (active)
target: default
icmp-block-inversion: no
interfaces: eth0
sources:
services: dhcpv6-client http https ssh
ports:
protocols:
masquerade: no
forward-ports:
sourceports:
icmp-blocks:
rich rules:
rule family="ipv4" destination address="192.168.10.0/24" log prefix="dropped" level="debug" limit value="20/m" drop
Agora não tenho certeza se devo recarregar firewalld ? Neste caso, eu faria as regras permanentes.
Meu mal-entendido agora é que
wget 192.168.10.30 e obter o index.html Eu gostaria de saber o que estou fazendo de errado.