Firewalld: lista negra de uma determinada porta para um intervalo de IP

Question

Firewalld: lista negra de uma determinada porta para um intervalo de IP

#1 resposta do (2 votos)

0

O servidor em questão está rodando o CentOS 7 e fornece serviços nas seguintes portas, Port 22 (SSH) e Port Range 11224-12224 (Principalmente reverse ssh tunnel). O servidor é acessível a partir do IP público, o SSH é permitido somente através do login cert e o fail2ban está em vigor.

Porta 22: Para ser mantido aberto para acesso público. (Como os servidores remotos se conectam a esta e ligam a porta no intervalo abaixo para acesso)
Port Range 11224-12224 - Ser mantido aberto para acesso somente a partir de intervalos de IP privados (10.0.0.0 - 10.255.255.255, 172.16.0.0 - 172.31.255.255, 192.168.0.0 - 192.168.255.255)
ICMP: Ser mantido aberto para acesso somente a partir de intervalos de IP privados (10.0.0.0 - 10.255.255.255, 172.16.0.0 - 172.31.255.255, 192.168.0.0 - 192.168.255.255)

Eu me sinto confortável com iptables , mas firewalld é novidade para mim e estou conectado remotamente com ssh , portanto, procurando uma resposta autoritária do que tentativa e erro e me trancando. Firewalld está em condição de estoque sem modificação.

iptables firewall firewalld centos ssh-tunneling

por user1263746 20.12.2017 / 06:44

1 resposta

Tags iptables firewall firewalld centos ssh-tunneling

Usando o awk para quebrar um timestamp e formatá-lo O que faz o comando “rename * * .log *”?

score 2 · Answer 1

Porta 22:

firewall-cmd --permanent --zone=public --add-service=ssh # persistent setting
firewall-cmd --reload

Port Range 11224-12224:

firewall-cmd --add-rich-rule='rule family="ipv4" source address="10.0.0.0/8" port port="11224-12224" protocol="tcp" accept'
firewall-cmd --add-rich-rule='rule family="ipv4" source address="172.16.0.0/12" port port="11224-12224" protocol="tcp" accept'
firewall-cmd --add-rich-rule='rule family="ipv4" source address="192.168.0.0/16" port port="11224-12224" protocol="tcp" accept'
firewall-cmd --reload

Veja: link

ICMP:

Não bloqueie cegamente todos os ICMP. Você interromperá o Path MTU Discovery, causando qualquer conexão que transfira pacotes de tamanho máximo por meio de VPN, gateway IPv6, vários tipos de serviços de nuvem, etc., para não funcionar, a menos que você reduza o valor de MTU para todas as conexões. O sistema operacional já considera o envio de respostas ICMP uma tarefa de baixa prioridade que pode ser ignorada se causar uma carga de trabalho excessiva.

Quando alguém tenta executar ping em um host que não existe, o upstream do roteador do host ausente enviará uma mensagem ICMP "Host Unreachable" de volta ao pinger. Se você bloquear respostas de ping, o som ainda pode determinar a existência do seu host assim:

ping response received = o host existe
sem resposta de ping, mas o "host inacessível" do ICMP do roteador mais próximo do host de destino = host não existe
sem resposta de ping e nenhum ICMP = host provavelmente existe e está bloqueando pings.

Isso é bastante trivial de se fazer.