Otevření portu ve firewalld pro daný IP rozsah (vyřešeno)

Ahoj, chtěl bych se zeptat, jak pomocí firewalld otevřu port pro nějakou službu (např. sshd), ale pouze pro spojení (tcp) přicházející z lokální sítě.

Jinými slovy, chci na Centosu 7 povolit ve firewallu přihlašovací přes ssh, ale jen z lokální sítě.

Odpovědi

Ručně třeba takto (pokud máme ve výchozí politice DROP)

# povolíme vše z localhostu :
iptables -A INPUT -i lo -j ACCEPT

# povolíme ping :
iptables -A INPUT -p icmp -m icmp --icmp-type 8 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

# povolíme navázaná spojení
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

# povolíme port 22 ze segmentu 192.168.1.0/24
iptables -A INPUT -p tcp -s 192.168.1.0/24 --dport 22 -j ACCEPT

Každopádně ještě lépe je to např. přes konfiguraci :

/etc/sysconfig/iptables
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp -s 192.168.1.0/24 --dport 22 -j ACCEPT
-A INPUT -j REJECT
COMMIT

Pak konfiguraci načteš přes :

iptables-restore /etc/sysconfig/iptables

Vše za předpokladu, že máš nainstalovaný balíček "iptables-services" a vypnutý firewalld.
Další možností je použít firewalld (nepoužívám, takže ti neřeknu).
Zdar Max

Měl jsem sen ... :(

12.8.2018 01:18 Nobody
Rozbalit Rozbalit vše Re: Otevření portu ve firewalld pro daný IP rozsah

Děkuji, ale nevím, zda jde kombinovat firewalld s přímou úpravou konfigurace iptables (hádám, že ne).

firewall-cmd --permanent --add-rich-rule='rule family="ipv4" service name="ssh" source address="192.168.1.0/24" accept'

12.8.2018 01:14 Nobody
Rozbalit Rozbalit vše Re: Otevření portu ve firewalld pro daný IP rozsah

Díky moc, to je to, co jsem potřeboval.

Dotaz: Otevření portu ve firewalld pro daný IP rozsah

Odpovědi