zonas firewalld e pacotes ICMP

3

Como as zonas em firewalld estão configuradas em relação aos pacotes ICMP? Eles agem de forma diferente para interfaces e fontes?

1. Como o firewalld filtra pacotes ICMP?

Eu diria que as zonas principais agem como são nomeadas,

drop : DROP
block : REJECT
trust : ACCEPT

mas e as outras zonas? public , external , work , internal , home ? Por padrão, aceitam ou rejeitam pacotes ICMP?

2. Essa funcionalidade é diferente, dependendo se a zona é atribuída por uma interface por uma fonte?

Por exemplo, haveria uma diferença em termos do IP de origem: 172.28.0.2 nessas duas configurações?

some-zone 
  interfaces: eno1
  sources: 
  services: ssh
  ports: 
  masquerade: no
  forward-ports: 
  icmp-blocks: 
  rich rules:

vs

some-zone 
  interfaces: 
  sources: 172.28.0.0/16
  services: ssh
  ports: 
  masquerade: no
  forward-ports: 
  icmp-blocks: 
  rich rules:
    
por xcorat 03.08.2015 / 19:59

2 respostas

3

1. Como o firewalld manipula pacotes ICMP nas várias zonas?

Da documentação do firewall do RedHat, especificamente esta seção, intitulada: 5,15. Configurando regras complexas de firewall com a sintaxe "Rich Language" :

icmp-block uses the action reject internally

(minha ênfase, para salientar que "drop" e "accept" não são usados). As zonas padrão não parecem bloquear nenhum tipo de ICMP - veja os arquivos XML em / usr / lib / firewalld / zones e a falta de <icmp-block> entradas.

Para ver o estado atual de qualquer bloco icmp baseado em zona, execute: firewall-cmd --list-all-zones e procure a entrada icmp-blocks: .

2. Essa funcionalidade é diferente, dependendo se a zona é atribuída por uma interface por uma fonte?

Não diretamente. interfaces e sources dizem ao firewalld para selecionar a zona correspondente, que terá (alguns ou nenhum) icmp-blocks que serão aplicados. Veja: link que fala sobre isso:

Binding an interface to a zone means that this zone settings are used to restrict traffic via the interface.

e

Binding a source to a zone means that this zone settings will be used to restrict traffic from this source.

    
por 23.11.2016 / 18:50
0
$ grep -i icmp /lib/firewalld/zones/*.xml
$ rpm -q firewalld
firewalld-0.4.4.1-1.fc24.noarch

, portanto, ele será tratado pelo destino padrão da zona. Observe que man firewall.zone nos informa que as zonas sem um padrão explícito rejeitarão os pacotes.

Ele também deve estar limpo na GUI .

    
por 23.11.2016 / 18:31