Статья добавлена: 2018-02-13 02:21:49
Автор: Сергей

Настройка Firewalld Redhat

#В каком состоянии firewalld
  • systemctl status firewalld
#Просмотр всех правила
  • iptables -nvL
Список всех активных зон:
  • # firewall-cmd --get-active-zones public interfaces: enp1s0
К какой зоне пренадлежит интерфейс
  • # firewall-cmd --get-zone-of-interface=enp1s0 public
А можно узнать, какие интерфейсы принадлежат конкретной зоне:
  • # firewall-cmd --zone=public --list-interfaces enp1s0
Что разрешено включая не сохраненные правила:
  • #firewall-cmd --list-all
что разрешено постоянно на нашем сервере: если указано правило с параметром --permanent то правило отработает только после
  • firewall-cmd --reload
  • # firewall-cmd --permanent --list-all public (default) interfaces: sources: services: ssh dhcpv6-client masquerade: no forward-ports: icmp-blocks: rich rules:
Доступные сервисы по умолчанию
  • #firewall-cmd --get-services
Просмотреть информацию по определенному сервису
  • #firewall-cmd --info-service=ftp
ftp ports: 21/tcp protocols: source-ports: modules: ftp destination: Перезагрузим правила:
  • # firewall-cmd --reload
Добавления сервиса в зону
  • #firewall-cmd --permanent --zone=public --add-service=zabbix-agent
Разрешить хосту подключаться к сервису на порт.
  • firewall-cmd --permanent --zone=public --add-rich-rule='rule family="ipv4" source address="10.44.1.31" service name="zabbix-agent" accept'
Для создания сервиса переходим и создаем пример zabbix-agent.xml
  • /usr/lib/firewalld/services/
Создаем файл zabbix-agent.xml Вот его конфиг:

#Добавление доступа со всех сетей на порт 622/tcp:
  • firewall-cmd --permanent --zone=public --add-port=622/tcp
#Добавление диапозона портов 4990-4999/udp
  • firewall-cmd --zone=public --add-port=4990-4999/udp
#Запрет всего входящего трафика с адреса 10.44.1.31 (--permanent сделает правило постоянным)
  • firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" source address="10.44.1.31" drop'
#Отмена(удаление) запрета всего входящего трафика с адреса 10.44.1.31
  • firewall-cmd --permanent --zone=public --remove-rich-rule='rule family="ipv4" source address="10.44.1.31" drop'
#Запретить входящий трафик на сервис ssh с 10.44.1.31
  • firewall-cmd --permanent --zone=public --add-rich-rule='rule family="ipv4" source address="10.44.1.31" service name="ssh" drop'
  • firewall-cmd --permanent --zone=public --add-rich-rule='rule family="ipv4" source address="10.44.1.31" service name="ssh" accept'
#Добавление разрешающего правила на указаный порт.
  • firewall-cmd --permanent --zone=public --add-rich-rule='rule family="ipv4" source address="10.44.1.31/32" port protocol="tcp" port="8093" accept'