Eu tenho tentado descobrir como atualizar o tempo limite de uma entrada ipset, sem sorte até agora, ao usar o ipset nativo eu simplesmente usaria:
$ ipset add foo 192.168.0.5 timout N -exist
mas o firewalld parece não implementar esse recurso de acordo com o manual (man), o que é bastante útil e comum. O ip2ban parece ignorar a implementação do firewalld ipset e apenas usá-lo nativamente, então tentei, mas sem sucesso:
criação de ipset:
$ ipset create foo hash:ip timeout 300
regra direta:
$ firewall-cmd --direct --add-rule ipv4 filter INPUT 0 -p TCP -m multiport --dports 22,443 -m set --match-set foo src -j ACCEPT
$ ipset add foo 192.120.11.1
Solicitações https e tentativas de conexão ssh são descartadas sem rota para o host. assim que eu desabilitar o firewalld, posso enviar solicitação e conectar-me ao ssh.
- Estou usando a zona padrão:
public (active)
target: default
icmp-block-inversion: no
interfaces: enp0s3
sources:
services: cockpit dhcpv6-client ssh
ports:
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
firewall-cmd --direct --get-all-rules: filtro ipv4 INPUT 0 -p TCP -m multiport --dports 22,443 -m set --match-set foo src -j ACEITAR
o que estou fazendo de errado, isso é possível com o firewalld?
desde já, obrigado