我需要根据CIS在RHEL7上设置firewalld。
在3.6.3 确保已配置环回流量(计分)我需要配置环回接口以接受流量并配置所有其他接口以拒绝流量到环回网络 (127.0.0.0/8)。
谁能帮我这个。
我目前的配置是:
firewall-cmd --permanent --zone=trusted --add-interface=lo
但它不符合CIS的要求。
问问题
4264 次
1 回答
0
CIS 3.6.3 的目的是防止据称来自 127.0.0.1 的欺骗流量进入外部接口,例如eth0.
在我的设置中,所有接口默认为“丢弃”区域,因此为了允许环回上的所有合法流量不流向外部接口,我首先绑定lo到“受信任”区域,如上面的命令中所示:
firewall-cmd --permanent --zone=trusted --add-interface=lo
然后,我向绑定 eth0 的“丢弃”区域添加了一个防火墙丰富的规则,以丢弃任何源地址为 127.0.0.1 但目标地址不是 127.0.0.1 的入站 IPv4 流量。
firewall-cmd --zone=drop --add-rich-rule='rule family=ipv4 source address="127.0.0.1" destination not address="127.0.0.1" drop'
我认为这满足了 CIS 3.6.3 的意图,尽管请注意,至少在我的设置中,它不满足 CIS RHEL7 基准文档中给出的示例审计脚本。这是因为 CIS 示例审计脚本专门针对INPUTiptables 链中存在的丢弃规则进行测试,而 firewalld 将我的丰富规则放入名为IN_drop_deny.
于 2018-11-04T22:43:17.460 回答