CentOS8 시스템이 있고 방화벽의 기본 구성은 다음과 같습니다.
firewall-cmd --list-all
public (active)
target: default
icmp-block-inversion: no
interfaces: ens192
sources:
services: dhcpv6-client mdns ssh
ports:
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
화이트리스트에 추가하고 싶은 범위를 추가했습니다. 10.21.0.0/16은 허용하고 다른 모든 사람은 차단하고 싶습니다.
firewall-cmd --add-source=10.21.0.0/16
firewall-cmd --add-source=10.21.0.0/16 --permanent
firewall-cmd --list-all
public (active)
target: default
icmp-block-inversion: no
interfaces: ens192
sources: 10.21.0.0/16
services: dhcpv6-client mdns ssh
ports:
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
하지만 IP 158.121.110.66을 사용하여 상자에서 SSH를 시도하면 통과됩니다. 10.21.0.0/16을 제외한 모든 것을 차단하면 안되나요? 내가 뭐 잘못 했어요?
답변1
방화벽이 특정 소스를 제외한 모든 연결을 거부하도록 하려면 기본 영역을 예를 들어 drop또는 다음과 같이 설정해야 합니다 block.
firewall-cmd --set-default-zone=drop
물론 이런 것들을 적용할 때는 매우 조심해야 합니다 :-)