[CentOS-de] firewalld

Manfred Koch m-koch at ish.de
Mi Jun 3 14:36:59 UTC 2015


Hallo,

also ich habe es mal ausprobiert mit den direct Rules,

funktioniert soweit. So gemacht wie hier:



firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 0 -m
state --state ESTABLISHED,RELATED -j ACCEPT

firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 1 -p 
tcp -m tcp --dport 53 -j ACCEPT

firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 1 -p 
udp --dport 53 -j ACCEPT

firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 2 -j 
DROP (Allerdings wenn diese Rule gesetzt ist, wird der ganze OUTPUT
geblockt!!!)

Seit ich die Rules gesetzt habe, wird, wenn ich grafisch firewall-config
(läuft im runtime) aufrufe, das Anmeldepasswort des login users
verlangt. Ohne die Rules konnte ich vorher ohne Passwort zugreifen.

Ist dieses Verhalten in Ordnung???

Gruß

Manfred

Am Dienstag, den 02.06.2015 um 16:12 +0200 schrieb Markus Frei:
> Ich würde das Notwendige erlauben und alles Unbekannte blocken. Im 
> Beispiel: bereits bestehende Verbindungen und DNS sind erlaubt, der 
> Rest in der letzten Regel geblockt.
> 
> firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 0 -m 
> state --state ESTABLISHED,RELATED -j ACCEPT
> 
> firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 1 -p 
> tcp -m tcp --dport 53 -j ACCEPT
> firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 1 -p 
> udp --dport 53 -j ACCEPT
> 
> firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 2 -j 
> DROP
> 
> 
> Gruss
> ---
> Markus Frei
> 
> 
> On Die, Jun 2, 2015 at 4:00 , Manfred Koch <m-koch at ish.de> wrote:
> > Hallo liebe Gemeinde
> > 
> > kennt sich jemand mit firewalld aus?
> > 
> > Würde mich interessieren wie man mit firewall-cmd in der
> > 
> > default zone output ports blockiert. Also so nach dem
> > 
> > Motto z.B. httpd Port 80 nach aussen hin blockieren.
> > 
> > Das Interface steht bei mir in der default zone public.
> > 
> > Gruß
> > 
> > Manfred
> > 
> > --
> > _______________________________________________
> > CentOS-de mailing list
> > CentOS-de at centos.org
> > http://lists.centos.org/mailman/listinfo/centos-de
> 




Mehr Informationen über die Mailingliste CentOS-de