K8s방화벽 서비스를 시작하도록 설정할 수 있나요 ?zonetrusted
내 클러스터에 ICMP 보안 취약점이 있으며 이를 제한하려면 방화벽을 열어야 합니다. 방화벽 서비스를 활성화하고 zone로 설정할 수 있나요 trusted?
시도해 볼 수 없습니다. 이것은 출시 전 환경입니다.
trustedfirewall기본적으로 K8에 영향을 미치 도록 시작 시 지역을 지정하는 방법이 있습니까 public, 아니면 다른 해결 방법이 있습니까?
답변1
방화벽 영역 사전 설정의 경우 여기에서 방법을 찾았습니다.방화벽 오프라인 cmd
방화벽이 시작되기 전에 방화벽 규칙을 설정할 수 firewall-offline-cmd있습니다.
firewalld시동 효과에 대해서는 k8s시동 후 클러스터 노드가 정상적으로 작동하는 것을 관찰했는데, 효과가 있다고 생각합니다. 앞으로도 문제가 생길지는 모르겠습니다.
참고: 클러스터에 몇 가지 규칙 또는 다른 규칙이 있는 경우 iptables방화벽을 켜면 해당 규칙이 사라집니다.nat
내 취약점: ICMP 타임스탬프 요청 응답 취약점
테스트 결과 이 취약점은 시작하지 않고도 해결할 수 있는 것으로 나타났습니다 firewalld.service. 간단한 규칙인 경우 바로 적용하려면 다음 규칙을 추가하기만 하면 됩니다. 시작할 필요는 없어firewalld
┌──[[email protected]]-[~]
└─$iptables -A INPUT -p icmp --icmp-type 13 -j DROP
┌──[[email protected]]-[~]
└─$iptables -A OUTPUT -p icmp --icmp-type 14 -j DROP
이전에 이러한 구성을 수행했다는 점만 기억하면 됩니다. 그렇지 않으면 시스템이 다시 시작될 때 해당 구성이 사라집니다.