Firewalld ajouté à Amazon Linux 2 (restrictions d'adresse IP)
URL associée
- CentOS 7 firewalld Commandes fréquemment utilisées --Qiita ← Génial!
- Trois façons de limiter les adresses IP sur AWS
Amazon Linux 2 nécessite-t-il un pare-feu?
La plupart des articles affichés en haut lorsque vous recherchez sur Google avec amazon linux + firewalld disent:" Amazon Linux 2 a un groupe de sécurité et un réseau ALC avec des fonctions équivalentes (et il se bloque devant le serveur), donc firewalld Ne pas utiliser. "
Cependant, il existe le problème suivant lorsque vous souhaitez refuser la connexion d'une adresse IP spécifique.
--Groupe de sécurité: méthode de la liste blanche (peut être défini sur "permit". Refuser ne peut pas être spécifié) --Network ACL: "Rejeter" peut être défini. (Aussi permission). Il existe une limite supérieure (20) au nombre qui peut être défini. --ALB ・ ・ ・ Méthode de la liste noire. HTTP / HTTPS uniquement
Par conséquent, si vous voulez limiter l'IP à plus de 20, firewalld entre en jeu.
Environnement / Local
--Au 20 octobre 2020 / EC2 dans la région de Tokyo
--OS est Amazon Linux et yum update est terminé
--Accès autorisé au port entrant du groupe de sécurité attribué à EC2
- Dans le cas de cet article,
ssh (22),http (80),https (443)
introduction
Installation
yum install firewalld
Persistance (démarré automatiquement au redémarrage du serveur)
systemctl enable firewalld.service
début
systemctl start firewalld.service
Vérification de l'état => OK si Actif
systemctl status firewalld.service
Services limités disponibles (ssh / http / https)
public {Ajouter à la zone. C'est une méthode de liste blanche. N'oubliez pas de recharger à la fin. (Pas besoin de systemctl reload firewall d`)
firewall-cmd --add-service=http --zone=public --permanent
firewall-cmd --add-service=https --zone=public --permanent
firewall-cmd --add-service=ssh --zone=public --permanent
firewall-cmd --reload
--Permanent: Valide même si le serveur est redémarré
Restrictions d'adresse IP
Spécifiez l'adresse dans la zone drop. C'est une méthode de liste noire.
firewall-cmd --zone=drop --permanent --add-source=<Plage d'adresses IP/CIDR>
firewall-cmd --reload
Contrôle de fonctionnement
--get-active-zone
Dans mon environnement, même si j'ai exécuté --get-active-zone, aucun résultat n'a été renvoyé. Idem avec --reload.
Je suis inquiet, mais en fait, firewalld fonctionne toujours dans cet état. (Il est maintenant affiché lorsque le serveur est redémarré (# reboot))
| Résultat attendu | Résultat actuel |
|---|---|
| # firewall-cmd --get-active-zone drop sources: <Plage d'adresses IP spécifiée> public interfaces: eth0 |
# firewall-cmd --get-active-zone |
--list-all
Encore une fois, les «interfaces» étaient vides et j'étais inquiète, mais cela fonctionnait. (Ceci est également affiché lorsque le serveur est redémarré)
(Uneasy) s'affiche avant de redémarrer le serveur
# firewall-cmd --list-all
public
target: default
icmp-block-inversion: no
interfaces:
sources:
services: ssh dhcpv6-client https http
ports:
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
Confirmation de service valide (firewall-cmd --list-services)
Cela a été affiché sans redémarrer le serveur.
# firewall-cmd --list-services
ssh dhcpv6-client https http
Dhcpv6-clientest un service qui a été activé depuis le début.
Contrôle de fonctionnement
Vérifiez si l'opération prévue est effectuée lors de l'ajout ou de la suppression dans la zone publique et la zone de dépôt.
Si vous vous déconnectez après avoir supprimé ssh de public, ce sera mauvais (n'est-ce pas?), Alors faites attention à ne pas le supprimer.
Recommended Posts