RHEL7 / CentOS7 имеет новую firewalld
службу межсетевого экрана, которая заменяет iptables service
(обе они используют iptables
инструмент для взаимодействия с Netfilter ядра под ним).
firewalld
может быть легко настроен на блокировку входящего трафика, но, как отметил Томас Вёрнер 1,5 года назад, «ограничение исходящего трафика невозможно с помощью firewalld простым способом на данный момент». И, насколько я понимаю, с тех пор ситуация не изменилась. Или есть? Есть ли способ заблокировать исходящий трафик firewalld
? Если нет, то есть ли другие «стандартные» способы (в дистрибутиве RHEL7) блокировки исходящего трафика, кроме ручного добавления правил через iptables
инструмент?
ipv4
(iptables). Может быть желательно иметь аналогичные правила дляipv6
(для ip6tables) илиeb
(для ebtables).После того, как я сам задал тот же вопрос и немного поработал, я собрал несколько хороших правил для ограничения исходящего трафика запросами HTTP / HTTPS и DNS:
Разрешить установленные соединения:
Разрешить HTTP:
Разрешить HTTPS:
Разрешить для DNS-запросов:
Отрицать все остальное:
Хорошей идеей было бы сначала проверить, пропустив аргумент --permanent.
Я ни в коем случае не эксперт, но мне кажется, это нормально работает :)
источник
firewall-cmd [--permanent] --direct --remove-rules ipv4 filter OUTPUT
удастся выполнить массовое удаление.По поводу GUI; Я думаю, вы найдете это в разделе « Прямая настройка ». Чтобы получить к нему доступ, вы должны выбрать его в « View ». Я могу ошибаться.
Примечание
Удалить правила; Вы должны выйти, а затем снова войти.
источник