0

我需要为 SCOM 监控打开端口 1270/tcp。所以,我创建了一个新区域 020_scom (因为我知道字母顺序会导致偏好问题......我用数字开头的名字制作我的)

然后将端口 1270/tcp 和我的单源 ip xyza/32(和另一个测试主机)添加到同一个区域(所有内容都带有 --permanent),然后在完成后执行 --reload。

我得到:

020_scom (active)
  target: default
  icmp-block-inversion: no
  interfaces:
  sources: 1.2.3.4/32 2.3.1.2/32
  services:
  ports: 1270/tcp
  protocols:
  masquerade: no
  forward-ports:
  source-ports:
  icmp-blocks:
  rich rules:

然后将相同的端口添加到块区域:

block
  target: %%REJECT%%
  icmp-block-inversion: no
  interfaces:
  sources:
  services:
  ports: 80/tcp 443/tcp 1270/tcp 6082/tcp
  protocols:
  masquerade: no
  forward-ports:
  source-ports:
  icmp-blocks:
  rich rules:

但是,我从我的 SCOM 主机(或那里的第二个 2.3.1.2 - 我的另一个测试主机)收到“FINAL_REJECT:”

我尝试从阻止区域中删除端口,但仍然没有交易......被拒绝。

有什么简单的我做错了吗?

4

1 回答 1

0

阅读完您的所有步骤后,我可以告诉您以下内容。

正如您评论的那样,如果您想在新区域中添加 IP 和端口,正如您向我们展示的那样做得很好,但是在块区域中添加相同的端口是 firewalld 服务的冲突。

不建议在不同区域中添加两次 IP 或端口,因为在这种情况下,规则可能会做相反的事情并相互拒绝。

如果您没有在“sources:”上设置任何 IP,则您可以通过区域上“ports:”上的端口设置访问所有发送机器请求的 IP。但是,如果您提到了一个 IP,那么您只是为该单个 IP 或一个段(如果是这种情况)划定输入。

因此,正如您向我们展示的那样,您尝试为特定端口允许 2 个 IP,但也拒绝所有对同一端口的请愿请求。要解决这个问题,需要将端口从“block”区域中删除,您可以使用 nexts 命令来完成。

firewall-cmd --zone=block --remove-port=1270/tcp --permanent

防火墙-cmd --reload

BR。

于 2021-06-30T22:47:10.940 回答