IPTABLES -> Firewalld szabály átalakítás

Red Hat, Fedora, CentOS

Sziasztok!

Virtualizálásra kerül egy öreg Debian, gondoltam az iptables helyett akkor használnám a CentOS firewallcmd-t, ha már az az új irány.
Rém egyszerű szabályok vannak a gépen, gyakorlatilag egy gateway, ami csak pár gépnek engedi meg, hogy rajta keresztül a 80-as
porton haladjon a net felé, valahogy így:

iptables -A FORWARD -s 1.2.3.4/32 -p tcp -m tcp --dport 80 -j ACCEPT

Ezeket a szabályokat szeretném átalakítani firewalld-hez, de nem teljesen értem hogy tudnám a FORWARD láncba rakni a szabályt:

firewall-cmd --permanent --zone=work --remove-rich-rule 'rule family="ipv4" source address=1.2.3.4 port port=80 protocol=tcp accept'

Ezzel a szabály egy IN_work_allow láncba kerül. Mondjuk azt sem értem, hogyha felveszek még egy ilyen szabályt másik ip-vel, ugyanígy
permanent kapcsolóval, az mintha nem jönne már létre, legalábbis az iptables -L alatt nem látom...

Kisegítene valaki? :)

  • 910 megtekintés

( Swifty v | 2019. 03. 01., p – 12:48 )

Előre bocsátom, hogy a firewalld-hez nem értek, de:
1. Az új irány az nftables. De azt még inkább csak az egyszerűbb konfigokhoz ajánlanám. (Lehet az megfelelne Neked.)
2. A firewalld is az iptables-t használja a végén, szóval szerintem "feleslegesen" iktatsz be +1 toolt... Főleg, hogy simán használhatnád a jelenlegi szabályaid is.

--
Debian Linux rulez... :D
RIP Ian Murdock

( msandor v | 2019. 03. 01., p – 13:29 )

A --remove-rich-rule helyett nem az --add-rich-rule a helyes?

Ezt a héten kellett csinálnom:

firewall-cmd --zone=public --add-rich-rule 'rule family="ipv4" source address="10.0.0.0/8" port port=22 protocol=tcp accept' --permanent

firewall-cmd --zone=public --remove-service=ssh --permanent

Így csak a belső hálóból érhető el az ssh.

A zóna cserélhető, mi default a public-ot használjuk mindenhol.

( fsanyee | 2019. 03. 01., p – 17:14 )

jobb otletem nincs:
firewall-cmd --direct --add-rule ipv4 filter FORWARD 1 -s 1.2.3.4/32 -p tcp -m tcp --dport 80 -j ACCEPT