configurações de firewalld para OpenVPN com https, ssh e smtp

Navegue suas respostas
1

Estou configurando um servidor de solicitação da Web remoto do CentOS 7 para agrupar https e ssh dentro do OpenVPN, mantendo smtp em execução fora do OpenVPN. Percebo que, quando estabeleço uma conexão OpenVPN a partir de um cliente Windows 7 usando SecurePoint, só consigo me conectar com êxito a https : / / 10.8.0.1 e ssh [email protected] quando https e ssh estão habilitados AMBOS na zona pública e na zona privada do firewalld. Isso parece errado porque toda a atividade do OpenVPN deve estar sendo executada pela porta 1192. Então, como devo configurar firewalld para que https e ssh sejam permitidos somente dentro da VPN, mas que smtp ainda possa funciona fora da VPN?

A saída de sudo firewall-cmd --list-all-zones é a seguinte. O que devo remover da seguinte configuração e o que devo adicionar a ela para atingir as metas estabelecidas no parágrafo 1 acima? Existem zonas abaixo das quais tudo deve ser removido? 

block
  interfaces:
  sources:
  services:
  ports:
  masquerade: no
  forward-ports:
  icmp-blocks:
  rich rules:

dmz
  interfaces:
  sources:
  services: ssh
  ports:
  masquerade: no
  forward-ports:
  icmp-blocks:
  rich rules:

drop
  interfaces:
  sources:
  services:
  ports:
  masquerade: no
  forward-ports:
  icmp-blocks:
  rich rules:

external
  interfaces:
  sources:
  services: ssh
  ports:
  masquerade: yes
  forward-ports:
  icmp-blocks:
  rich rules:

home
  interfaces:
  sources:
  services: dhcpv6-client ipp-client mdns samba-client ssh
  ports:
  masquerade: no
  forward-ports:
  icmp-blocks:
  rich rules:

internal
  interfaces:
  sources:
  services: dhcpv6-client https ipp-client mdns samba-client ssh
  ports:
  masquerade: no
  forward-ports:
  icmp-blocks:
  rich rules:
        rule family="ipv4" source NOT address="10.8.1.1" service name="ssh" reject

public (default, active)
  interfaces: enp3s0
  sources:
  services: dhcpv6-client https openvpn ssh
  ports:
  masquerade: yes
  forward-ports:
  icmp-blocks:
  rich rules:

trusted
  interfaces:
  sources:
  services:
  ports:
  masquerade: no
  forward-ports:
  icmp-blocks:
  rich rules:

work
  interfaces:
  sources:
  services: dhcpv6-client ipp-client ssh
  ports:
  masquerade: no
  forward-ports:
  icmp-blocks:
  rich rules:
    
por CodeMed 23.02.2015 / 22:13

1 resposta

1

Você não adicionou seu dispositivo tun0 a nenhuma zona, por isso, o padrão é default zone, que no seu caso é a public zone.

Como root, execute: 

firewall-cmd --zone=internal --add-interface=tun0

Você pode deixar ssh e https ativado na zona internal e desativá-lo na zona public .

    
por 23.02.2015 / 22:26

Tags

Depois que o formato da unidade não consegue usar a unidade Faixa de cópia de pastas do Linux