나는 ufw default denyFirewalld와 동등한 것을 찾고 있습니다. 요점은 SSH를 통해 새 서버에 로그인한 후 들어오는 모든 새 연결을 차단하여 시스템을 업데이트하고 보호할 시간을 확보하려는 것입니다. 방화벽과 함께 CentOS7을 사용합니다.
답변1
이것부터인 듯서버 오류 게시물더 높은 수준에서 트래픽을 제한하는 것은"풍부한" 규칙이 필요합니다.
모든 IPv4 트래픽을 삭제하는 기본 영역에 적용되는 풍부한 규칙을 구현하려면 다음을 수행하십시오.
firewall-cmd --zone=$(firewall-cmd --get-default-zone) \
--add-rich-rule='rule family=ipv4 source address=0.0.0.0/0 drop'
이는 ufw default deny동작을 에뮬레이트합니다. 대신 ICMP 거부 메시지를 보내려면 을 drop로 변경하세요 reject. 위의 규칙은 IPv4에만 적용됩니다. IPv6의 경우 다음을 사용합니다.
firewall-cmd --zone=$(firewall-cmd --get-default-zone) \
--add-rich-rule='rule family=ipv6 source address=::/0 drop'
조사하면 다음과 같은 iptables에 항목이 추가됩니다.~ 후에"RELATED 및 ESTABLISHED" 연결을 허용하므로 기존 SSH 세션이 중단되지 않습니다. 내 테스트에서 iptables의 결과 "체인"은 다음과 같습니다(기본 영역 'public'의 경우).
INPUT -> INPUT_ZONES -> IN_public -> IN_public_deny
업데이트의 일부로 재부팅할 것으로 예상되는 경우 플래그를 추가하세요 --permanent.
업데이트의 일부로 재부팅하지 않을 것으로 예상되는 경우 각각 "5초", "10분" 또는 "15시간" 동안 , 또는 등 --timeout의 값을 허용하는 플래그를 사용할 수 있습니다. 해당 규칙은 해당 시간 초과 기간이 지나면 삭제됩니다.5s10m15h
추가한 규칙을 제거하려면 이전과 동일하게 실행 firewall-cmd하되 ; IPv4 예의 경우:--add-rich-rule--remove-rich-rule
firewall-cmd --zone=$(firewall-cmd --get-default-zone) \
--remove-rich-rule='rule family=ipv4 source address=0.0.0.0/0 accept'
참조:http://www.firewalld.org/documentation/man-pages/firewalld.rich언어.html