FirewallD는 작동하지 않는 포트에 대한 IP 범위를 허용합니다.

tag-icon tag-icon centos firewalld
FirewallD는 작동하지 않는 포트에 대한 IP 범위를 허용합니다.

내 서버에 연결하기 위해 전체 IP 서브넷을 열려고 하는데 클라이언트가 매주 IP가 업데이트되고 더 이상 서버에 액세스할 수 없는 문제를 겪고 있습니다.

내 IP는 197.245.0.0/16(예: 197.245.0.1 - 197.245.255.255)으로 떨어졌으며 IP가 여전히 IP 범위 내에 있지만 포트 5060 및 5061에서 잠겨 있습니다. 이것은 내 공개 영역의 결과입니다. xml - 다른 범위에 대해 특정 포트를 열었고 제대로 작동하는데 위의 포트가 왜 이런 일을 하는지 잘 모르겠습니다.

고객의 현재 IP 주소가 197.245.90.x 인데 방화벽으로 차단하면 안되는 건가요?

<?xml version="1.0" encoding="utf-8"?>
<zone>
  <short>Public</short>
  <description>For use in public areas. You do not trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.</description>
  <service name="dhcpv6-client"/>
  <service name="ssh"/>
  <port protocol="tcp" port="443"/>
  <port protocol="tcp" port="1567"/>
  <port protocol="tcp" port="80"/>
  <rule family="ipv4">
    <source address="195.35.114.0/23"/>
    <port protocol="tcp" port="5061"/>
    <accept/>
  </rule>
  <rule family="ipv4">
    <source address="195.35.114.0/23"/>
    <port protocol="tcp" port="5060"/>
    <accept/>
  </rule>
  <rule family="ipv4">
    <source address="197.245.0.0/16"/>
    <port protocol="tcp" port="5060"/>
    <accept/>
  </rule>
  <rule family="ipv4">
    <source address="195.35.114.0/23"/>
    <port protocol="udp" port="10000-30000"/>
    <accept/>
  </rule>
  <rule family="ipv4">
    <source address="197.245.0.0/16"/>
    <port protocol="udp" port="10000-30000"/>
    <accept/>
  </rule>
  <rule family="ipv4">
    <source address="197.245.0.0/16"/>
    <port protocol="tcp" port="5061"/>
    <accept/>
  </rule>
  <rule family="ipv4">
    <source address="204.27.0.0/16"/>
    <reject/>
  </rule>
  <rule family="ipv4">
    <source address="89.163.0.0/16"/>
    <reject/>
  </rule>
</zone>

답변1

게시한 정보에 따르면 차단하면 안 됩니다.

iptables대상이 있는 규칙을 테이블 TRACE에 삽입하는 것을 디버깅하려면 다음을 수행하십시오 raw.

추적하다

이 목표는 패킷이 테이블, 체인 및 규칙을 통과할 때 패킷이 일치하는 각 규칙을 커널이 기록하도록 패킷을 표시합니다.

이를 표시하려면 로깅 백엔드(예: ip(6)t_LOG 또는 nfnetlink_log)를 로드해야 합니다. 패킷은 문자열 접두사 "TRACE: tablename:chainname:type:rulenum"을 사용하여 기록됩니다. 여기서 유형은 "rule"(일반 규칙의 경우), "return"(사용자 끝의 암시적 규칙의 경우)일 수 있습니다. 정의된 체인) 및 "policy"(일반 규칙의 경우)는 내장 체인의 정책입니다. 원본 테이블에서만 사용할 수 있습니다.

귀하의 경우에는 다음과 같습니다.

modprobe nfnetlink_log
iptables -t raw -I PREROUTING -s 197.245.0.0/16 -p tcp --dport 5061 -j TRACE

분석이 완료되면 삭제하세요.

iptables -t raw -D PREROUTING -s 197.245.0.0/16 -p tcp --dport 5061 -j TRACE

iptables이를 수행하려면 명령이 아닌 명령을 사용하십시오 firewall-*.

관련 정보