Fórum Root.cz

Hlavní témata => Sítě => Téma založeno: Elep331 28. 10. 2020, 15:44:23

Název: Zóna block ve firewalld: adresy a porty zároveň
Přispěvatel: Elep331 28. 10. 2020, 15:44:23

Ahoj, pokud do zóny block ve firewalld přidám zároveň porty a zároveň source IP adresy, tak jaká z následujících možností z toho vzejde?

a) zablokují se porty z libovolné source adresy + zablokuje se veškerá komunikace z daných source IP adres
b) zablokují se porty pouze z definovaných IP source adres

Díky

Název: Re:Zóna block ve firewalld: adresy a porty zároveň
Přispěvatel: Josef Komjati 28. 10. 2020, 17:30:14

Pokud v jednom pravidle uvedete src a  dport, blokne se comm z dané adresy na cílový port.

Dotaz není položen úplně přesně, takže úměrně “nepřesná” je i moje odpověď.

Název: Re:Zóna block ve firewalld: adresy a porty zároveň
Přispěvatel: Elep331 30. 10. 2020, 13:17:07

Citace: Josef Komjati  28. 10. 2020, 17:30:14

Pokud v jednom pravidle uvedete src a  dport, blokne se comm z dané adresy na cílový port.

Dotaz není položen úplně přesně, takže úměrně “nepřesná” je i moje odpověď.

Omlouvám se za nepřesný dotaz. Odpověď je to co jsem hledal. Beru to tak, že se ze všech podmínek dané zóny vytvoří jeden společný "filtr". Tzn. platí b). Obecně tedy čím víc přidám do zóny podmínek, tím víc bude omezení konkrétnější.

Název: Re:Zóna block ve firewalld: adresy a porty zároveň
Přispěvatel: Josef Komjati 30. 10. 2020, 21:42:58

Netřeba se omlouvat ;-)

Ano, dá se to tak říci. Já bych to definoval spíše tak, že čím  konkrétněji pravidlo specifikujete, tím je cílenější. Pravidla obecná (tedy širší) jsou ale někdy lepší; např. pokud se jedná o blok celých rozsahů.

Nechá se to vyladit i do více (vlastních) zón / chainů / tabulek, což může pomoct např. s přehledností, efektivitou a loadem.

P.S.: Já osobně se raději kamarádím přímo s ipt/nft, než s firewalld ;-)

Název: Re:Zóna block ve firewalld: adresy a porty zároveň
Přispěvatel: Elep331 06. 11. 2020, 09:50:28

Měl bych ještě jeden příklad: Když potřebuji zakázat přístup na nějaký otevřený port X pouze z daného subnetu A, tak subnet A zadám do zóny block (nebo drop) společně s portem X. Ok - funguje. Co když ale přijde druhé zadání alá zablokujte subnet B na jiném portu Y? Chápu to správně, že musím vytvořit další zónu?

Díky

Název: Re:Zóna block ve firewalld: adresy a porty zároveň
Přispěvatel: Josef Komjati 14. 11. 2020, 01:56:50

Doporučuju se na firewalld vybodnout a naučit se přímo vrstvu pod tím. Tedy nftables (https://nftables.org).

Řešení bude vypadat např. takto (v atomickém zápisu):

Kód: [Vybrat]

add rule ip filter input iif ethX ip saddr xxx.xxx.xxx.xxx/24 tcp dport A drop
add rule ip filter input iif ethX ip saddr yyy.yyy.yyy.yyy/24 tcp dport B drop
U té syntaxe mě prosím neberte za slovo, jednak už je pozdě a jednak to píšu z hlavy.