O firewall-cmd do Fedora mostra mais serviços disponíveis do que os configurados

Question

O firewall-cmd do Fedora mostra mais serviços disponíveis do que os configurados

#1 resposta do (4 votos)

2

Então, sim, configurando o firewall-cmd do Fedora 20. Tentou limitar o tráfego de entrada apenas a http, https e ssh. No entanto, a máquina ainda responde a pings, e o comando --get-service mostra uma lista de itens que eu não uso.

Por que a desconexão?

O comando --get-service é preciso ou o comando --list-services é preciso?

Se o último, por que o ping é transmitido?

[root@build-node httpd]# firewall-cmd --get-service
amanda-client bacula bacula-client dhcp dhcpv6 dhcpv6-client dns ftp high-availability http https imaps ipp ipp-client ipsec kerberos kpasswd ldap ldaps libvirt libvirt-tls mdns mountd ms-wbt mysql nfs ntp openvpn pmcd pmproxy pmwebapi pmwebapis pop3s postgresql proxy-dhcp radius rpc-bind samba samba-client smtp ssh telnet tftp tftp-client transmission-client vnc-server wbem-https
[root@build-node httpd]# firewall-cmd --get-active-zone
public
  interfaces: eth0 eth1 eth2
[root@build-node httpd]# firewall-cmd --zone=public --list-services
http https ssh

Além disso, trechos do iptables -L -n.

Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
INPUT_direct  all  --  0.0.0.0/0            0.0.0.0/0
INPUT_ZONES_SOURCE  all  --  0.0.0.0/0            0.0.0.0/0
INPUT_ZONES  all  --  0.0.0.0/0            0.0.0.0/0
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain INPUT_ZONES (1 references)
target     prot opt source               destination
IN_public  all  --  0.0.0.0/0            0.0.0.0/0           [goto]
IN_public  all  --  0.0.0.0/0            0.0.0.0/0           [goto]
IN_public  all  --  0.0.0.0/0            0.0.0.0/0           [goto]
IN_public  all  --  0.0.0.0/0            0.0.0.0/0           [goto]

Chain IN_public_allow (1 references)
target     prot opt source               destination
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:80 ctstate NEW
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:443 ctstate NEW
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:22 ctstate NEW

fedora firewalld fedora-20

por user2700751 01.06.2014 / 17:51

1 resposta

Tags fedora firewalld fedora-20

Nxlog Entrada Multiline para 1 Mensagem Syslog md raid1 lendo apenas um disco

score 4 · Accepted Answer

--get-service mostra todos os serviços que o firewalld conhece, não aqueles para os quais você abriu as portas.

--list-services mostra aqueles para os quais você abriu as portas.

Você pode ver na listagem iptables que apenas as portas 22, 80 e 443 estão abertas, o que você disse que queria.

Finalmente, sobre pings: Todo o ICMP é permitido por padrão com o firewalld (como geralmente é uma má ideia bloqueá-lo, a menos que você realmente saiba o que está fazendo). Se você realmente quer "bloquear pings", então você tem que fazê-lo explicitamente. Você pode usar --get-icmptypes para ver a lista de tipos de ICMP que o firewalld conhece e --add-icmp-block para bloquear um deles. Certifique-se de estar no console da máquina, para o caso de você se trancar.