Linux за българи: Форуми

Нещо изпитвам затруднения да схвана концепцията и как точно трябва да се организират нещата с firewalld. Принципно звучи добре това със зоните, но не успявам да схвана някои неща. В случая става дума за Fedora 24. Имам желание да филтрирам портове по source мрежи. Например ssh да ми е достъпен само от 192.168.100.0/24. По подразбиране зоната на интерфейс enp1s0 е FedoraWorkstation. Как да постигна горе посоченото?

Гледам, че в Уебмин има от скоро такъв модул, но така и не съм се интересувал, но сега като пуснах един гугъл и, ако правилно съм разбрал, такова нещо има реализано в Ebox ситемата на Убунту 8.04 и после наследена и преименувана в Zentyal. Определени ИП-та се вкарват в обект и после се ограничава или регулира достъпа до целия обект. Тъй като го ползвам Зентиал в комбинация с Уебмин, гледам, че съдава различни chain-и във фаеруола, а не да филтрира директно ИП и порт. Това ми се струва нещо подобно, но така и не съм го разглеждал.

От това, което четох до сега, вкарва се допълнително ниво на абстракция. Firewalld служи като интерфейс към iptables, ip6tables, ebtables, ipset. Но за съжаление не успявам да си обясня какво ще е едно правилно структуриране на зоните и кое се смята за добра практика. За сега опитите ми са неуспешни в това, че някои портове ми остават отворени, въпреки че са изключени от всички зони. Пробвах да изкюча ssh от default зоната на интефейса, добавих source мрежите в друга зона (да речем zone: work) и само там активирах услугата ssh. Струва ми се, че се получи, поне nmap така твърди.

Компютърат ми седи зад NAT, като на рутера имам пренасочване към разни портове към тази машина. По подразбиране компютъра ми явно приема всички входящи връзки (вече без ssh). Имам и други портове, които дори ги няма дефинирани като услуги във firewalld и все пак се виждат като отворени.

Вече започнах да си мисля, че ако искам да блокирам всичко, трябва default зона на интерфейса ми да е block или drop. След това в някоя друга зона, например work, да си активирам само source-овете и услугите, които искам да позволя. Това ли е правилният начин да се случат нещата?

Вече започнах да си мисля, че ако искам да блокирам всичко, трябва default зона на интерфейса ми да е block или drop. След това в някоя друга зона, например work, да си активирам само source-овете и услугите, които искам да позволя. Това ли е правилният начин да се случат нещата?

Не съм се занимавал с него никога, но да. Инак трябва да опишеш всички 65535 порта :) То зависи от това какво се стремиш да направиш, но в най-общи линии е така. Така е и при iptables. Блокираш input, output, forward и после си правиш веригите какво да се разрешава.

Намерих четиво, което ми се струва полезно, така че споделям :)
https://www.hogarthuk.com/?q=node/9

Започва да ми изглежда като полезно и приятно нещо firewalld. Сега остава само разни експерименти да направя и да видя дали ще се затвърди мнението :)