Hallo liebe Gemeinde
kennt sich jemand mit firewalld aus?
Würde mich interessieren wie man mit firewall-cmd in der
default zone output ports blockiert. Also so nach dem
Motto z.B. httpd Port 80 nach aussen hin blockieren.
Das Interface steht bei mir in der default zone public.
Gruß
Manfred
Ich würde das Notwendige erlauben und alles Unbekannte blocken. Im Beispiel: bereits bestehende Verbindungen und DNS sind erlaubt, der Rest in der letzten Regel geblockt.
firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 0 -m state --state ESTABLISHED,RELATED -j ACCEPT
firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 1 -p tcp -m tcp --dport 53 -j ACCEPT firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 1 -p udp --dport 53 -j ACCEPT
firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 2 -j DROP
Gruss --- Markus Frei
On Die, Jun 2, 2015 at 4:00 , Manfred Koch m-koch@ish.de wrote:
Hallo liebe Gemeinde
kennt sich jemand mit firewalld aus?
Würde mich interessieren wie man mit firewall-cmd in der
default zone output ports blockiert. Also so nach dem
Motto z.B. httpd Port 80 nach aussen hin blockieren.
Das Interface steht bei mir in der default zone public.
Gruß
Manfred
-- _______________________________________________ CentOS-de mailing list CentOS-de@centos.org http://lists.centos.org/mailman/listinfo/centos-de
Hallo,
also ich habe es mal ausprobiert mit den direct Rules,
funktioniert soweit. So gemacht wie hier:
firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 0 -m state --state ESTABLISHED,RELATED -j ACCEPT
firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 1 -p tcp -m tcp --dport 53 -j ACCEPT
firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 1 -p udp --dport 53 -j ACCEPT
firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 2 -j DROP (Allerdings wenn diese Rule gesetzt ist, wird der ganze OUTPUT geblockt!!!)
Seit ich die Rules gesetzt habe, wird, wenn ich grafisch firewall-config (läuft im runtime) aufrufe, das Anmeldepasswort des login users verlangt. Ohne die Rules konnte ich vorher ohne Passwort zugreifen.
Ist dieses Verhalten in Ordnung???
Gruß
Manfred
Am Dienstag, den 02.06.2015 um 16:12 +0200 schrieb Markus Frei:
Ich würde das Notwendige erlauben und alles Unbekannte blocken. Im Beispiel: bereits bestehende Verbindungen und DNS sind erlaubt, der Rest in der letzten Regel geblockt.
firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 0 -m state --state ESTABLISHED,RELATED -j ACCEPT
firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 1 -p tcp -m tcp --dport 53 -j ACCEPT firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 1 -p udp --dport 53 -j ACCEPT
firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 2 -j DROP
Gruss
Markus Frei
On Die, Jun 2, 2015 at 4:00 , Manfred Koch m-koch@ish.de wrote:
Hallo liebe Gemeinde
kennt sich jemand mit firewalld aus?
Würde mich interessieren wie man mit firewall-cmd in der
default zone output ports blockiert. Also so nach dem
Motto z.B. httpd Port 80 nach aussen hin blockieren.
Das Interface steht bei mir in der default zone public.
Gruß
Manfred
-- _______________________________________________ CentOS-de mailing list CentOS-de@centos.org http://lists.centos.org/mailman/listinfo/centos-de
-
Manfred Koch -
Markus Frei