如何解决Firewalld - 我做错了什么允许来自单一来源的端口,为其他所有人阻止相同的端口
我需要打开端口 1270/tcp 以进行 SCOM 监控。 所以,我创建了一个新的区域 020_scom(因为我知道字母顺序会导致偏好问题......我用数字开头的名字制作我的)
然后将端口 1270/tcp 和我的单一源 ip x.y.z.a/32(和另一个测试主机)添加到同一区域(所有内容都带有 --permanent),然后在完成后添加 --reload。
我明白了:
020_scom (active)
target: default
icmp-block-inversion: no
interfaces:
sources: 1.2.3.4/32 2.3.1.2/32
services:
ports: 1270/tcp
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
然后将相同的端口添加到阻止区域:
block
target: %%REJECT%%
icmp-block-inversion: no
interfaces:
sources:
services:
ports: 80/tcp 443/tcp 1270/tcp 6082/tcp
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
但是,我从我的 SCOM 主机(或第二个 2.3.1.2 - 我的另一台测试主机)收到“FINAL_REJECT:”
我尝试从封锁区域删除端口,但仍然没有交易...被拒绝。
是不是我做错了什么简单的事情?
解决方法
阅读完您的所有步骤后,我可以告诉您以下内容。
正如您评论的那样,如果您想在新区域中添加 IP 和端口,正如您向我们展示的那样做得很好,但是在阻止区域中添加相同的端口会导致 firewalld 服务发生冲突。
>不建议在不同区域添加两次 IP 或端口,因为在这种情况下,规则可能会反其道而行并相互拒绝。
如果您没有在“sources:”上设置任何 IP,则您可以通过区域上“ports:”上的端口设置访问所有向机器发送请求的 IP。但是,如果您提到某个 IP,则您只是在为该单个 IP 或一个段划定输入。
因此,正如您向我们展示的那样,您尝试为特定端口允许 2 个 IP,但同时拒绝对同一端口的所有请愿请求。要解决这个问题,需要将端口从“block”区域中移除,可以使用nexts命令来完成。
firewall-cmd --zone=block --remove-port=1270/tcp --permanent
firewall-cmd --reload
BR。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。