it-swarm.com.de

Ausgehende Verbindungen auf RHEL7 / CentOS7 mit Firewall blockieren?

RHEL7/CentOS7 verfügt über einen neuen firewalld Firewall-Dienst, der den iptables service (beide verwenden das Tool iptables, um mit dem darunter liegenden Netfilter des Kernels zu interagieren).

firewalld kann leicht angepasst werden, um eingehenden Datenverkehr zu blockieren, aber wie von Thomas Woerner festgestellt vor 1,5 Jahren "Die Begrenzung des ausgehenden Datenverkehrs ist mit firewalld derzeit auf einfache Weise nicht möglich." . Und soweit ich sehen kann, hat sich die Situation seitdem nicht geändert. Oder hat es? Gibt es eine Möglichkeit, ausgehenden Datenverkehr mit firewalld zu blockieren? Wenn nicht, gibt es andere "Standard" -Möglichkeiten (in der RHEL7-Distribution) zum Blockieren des ausgehenden Datenverkehrs als das manuelle Hinzufügen von Regeln über das Tool iptables?

12
golem

Ich habe in dieser schönen Benutzeroberfläche keine Option gefunden, aber es ist über eine direkte Schnittstelle möglich

So aktivieren Sie nur den ausgehenden Port 80:

firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 0 -p tcp -m tcp --dport=80 -j ACCEPT
firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 1 -j DROP

Dadurch wird es permanenten Regeln hinzugefügt, nicht den Laufzeitregeln.
Sie müssen permanente Regeln neu laden, damit sie zu Laufzeitregeln werden.

firewall-cmd --reload

um permanente Regeln anzuzeigen

firewall-cmd --permanent --direct --get-all-rules

laufzeitregeln anzeigen

firewall-cmd --direct --get-all-rules
13
Fedora-user

Nachdem ich selbst dieselbe Frage gestellt und ein bisschen gebastelt habe, habe ich einige nette Regeln für die Beschränkung des ausgehenden Datenverkehrs auf HTTP/HTTPS- und DNS-Abfragen zusammengestellt:

Bestehende Verbindungen zulassen:

# firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 0 -m state --state ESTABLISHED,RELATED -j ACCEPT

HTTP zulassen:

# firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 1 -p tcp -m tcp --dport 80 -j ACCEPT

HTTPS zulassen:

# firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 1 -p tcp -m tcp --dport 443 -j ACCEPT

DNS-Abfragen zulassen:

# firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 1 -p tcp -m tcp --dport 53 -j ACCEPT
# firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 1 -p udp --dport 53 -j ACCEPT

Alles andere leugnen:

# firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 2 -j DROP

Es könnte eine gute Idee sein, zuerst zu testen, indem Sie das Argument '--permanent' weglassen.

Ich bin kein Experte, aber das scheint bei mir gut zu funktionieren :)

6
user253068

In Bezug auf die GUI; Ich denke, Sie finden dies unter "Direct Configuration". Um darauf zuzugreifen, müssen Sie es unter "View" auswählen. Ich könnte falsch liegen.

Randnotiz

Regeln löschen; Sie müssen beenden und dann wieder eintreten.

1
user301864