Centos7 문서 에 따르면 CIS CentOS Linux 7 Benchmark다음을 권장합니다.
3.5.3.2.1 Ensure default deny firewall policy
모든 정책을 DROP으로 설정했음을 나타냅니다.
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
그러나 " "을(를) 실행할 때마다 firewall-cmd --reload위의 정책이 다시 설정됩니다.ACCEPT
iptables그리고 변경 사항이 영구적이고 CIS 벤치마크가 더 이상 이에 대해 불평하지 않도록 firewalld위의 전략을 변경하는 것 사이에는 어떤 iptables상관 관계가 있습니까?DROP"firewall-cmd"
기본적으로 iptables 서비스는 없으며 Centos"기본" Firewalld가 전체 "Redhat" 운영 체제 제품군에 존재하므로 서비스를 갖고 싶은 욕구도 없습니다.
# systemctl status iptables
Unit iptables.service could not be found.
Firewalld 기본 영역을 "DROP"으로 설정해도 iptables 정책은 여전히 "ACCEPT"이고 CIS는 이에 대해 불만을 표시합니다.
답변1
첫 번째 iptables는 네트워크 패킷 필터링을 위한 도구인데 iptables-servicesiptables와 함께 사용할 수 있는 데몬이 있으나 Centos 7에서는 제공되지 않습니다(설치 필요).
Firewalldiptables커널 수준( )에서 패킷을 조작하기 위해 다른 방식(영역, 서비스, 풍부한 규칙 등)으로 구성을 처리하는 서비스입니다 netfilter.
규칙 설정에는 iptables이 내용이 반영되지 않으며 firewalld그 반대도 마찬가지입니다.
내 생각에는 당신에게 몇 가지 firewalld정책이 있는 것 같아요.모순되는iptables 규칙을 'DROP'하면 실행 시 규칙이 사라지게 됩니다. firewall-cmd --reload일반적으로 reload 명령은 Firewalld에서 관리하는 규칙에만 영향을 미치기 때문입니다.
이를 확인하고 어떤 규칙이 충돌하는지 알아보세요.
firewall-cmd --list-all
또한 다음을 통해 기본 iptables 체인을 변경할 수 있습니다 firewall-cmd.
firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 0 -j REJECT
firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 0 -j REJECT
firewall-cmd --permanent --direct --add-rule ipv4 filter FORWARD 0 -j REJECT
firewall-cmd --reload
그리고 다음을 통해 구성을 확인하세요.
iptables -L
firewall-cmd --direct --get-all-rules