Zóna block ve firewalld: adresy a porty zároveň

Zóna block ve firewalld: adresy a porty zároveň
« kdy: 28. 10. 2020, 15:44:23 »
Ahoj, pokud do zóny block ve firewalld přidám zároveň porty a zároveň source IP adresy, tak jaká z následujících možností z toho vzejde?

a) zablokují se porty z libovolné source adresy + zablokuje se veškerá komunikace z daných source IP adres
b) zablokují se porty pouze z definovaných IP source adres

Díky
« Poslední změna: 28. 10. 2020, 15:53:42 od Petr Krčmář »


Re:Zóna block ve firewalld: adresy a porty zároveň
« Odpověď #1 kdy: 28. 10. 2020, 17:30:14 »
Pokud v jednom pravidle uvedete src a  dport, blokne se comm z dané adresy na cílový port.

Dotaz není položen úplně přesně, takže úměrně “nepřesná” je i moje odpověď.

Re:Zóna block ve firewalld: adresy a porty zároveň
« Odpověď #2 kdy: 30. 10. 2020, 13:17:07 »
Pokud v jednom pravidle uvedete src a  dport, blokne se comm z dané adresy na cílový port.

Dotaz není položen úplně přesně, takže úměrně “nepřesná” je i moje odpověď.
Omlouvám se za nepřesný dotaz. Odpověď je to co jsem hledal. Beru to tak, že se ze všech podmínek dané zóny vytvoří jeden společný "filtr". Tzn. platí b). Obecně tedy čím víc přidám do zóny podmínek, tím víc bude omezení konkrétnější.

Re:Zóna block ve firewalld: adresy a porty zároveň
« Odpověď #3 kdy: 30. 10. 2020, 21:42:58 »
Netřeba se omlouvat ;-)

Ano, dá se to tak říci. Já bych to definoval spíše tak, že čím  konkrétněji pravidlo specifikujete, tím je cílenější. Pravidla obecná (tedy širší) jsou ale někdy lepší; např. pokud se jedná o blok celých rozsahů.

Nechá se to vyladit i do více (vlastních) zón / chainů / tabulek, což může pomoct např. s přehledností, efektivitou a loadem.

P.S.: Já osobně se raději kamarádím přímo s ipt/nft, než s firewalld ;-)
« Poslední změna: 30. 10. 2020, 21:45:14 od Josef Komjati »

Re:Zóna block ve firewalld: adresy a porty zároveň
« Odpověď #4 kdy: 06. 11. 2020, 09:50:28 »
Měl bych ještě jeden příklad: Když potřebuji zakázat přístup na nějaký otevřený port X pouze z daného subnetu A, tak subnet A zadám do zóny block (nebo drop) společně s portem X. Ok - funguje. Co když ale přijde druhé zadání alá zablokujte subnet B na jiném portu Y? Chápu to správně, že musím vytvořit další zónu?

Díky


Re:Zóna block ve firewalld: adresy a porty zároveň
« Odpověď #5 kdy: 14. 11. 2020, 01:56:50 »
Doporučuju se na firewalld vybodnout a naučit se přímo vrstvu pod tím. Tedy nftables.

Řešení bude vypadat např. takto (v atomickém zápisu):

Kód: [Vybrat]
add rule ip filter input iif ethX ip saddr xxx.xxx.xxx.xxx/24 tcp dport A drop
add rule ip filter input iif ethX ip saddr yyy.yyy.yyy.yyy/24 tcp dport B drop

U té syntaxe mě prosím neberte za slovo, jednak už je pozdě a jednak to píšu z hlavy.