问题标签 [firewalld]

下面的 xml 内容显示了我创建的防火墙规则。有两个状态为“REJECT”的规则是为了避免与服务器的 ssh 连接。但它不起作用。它允许连接。我做了firewall-cmd重新加载。另一个 icmp 规则工作正常，但不确定 ssh 出了什么问题。

请帮忙。

我今天花了几个小时尝试为 SSH 访问设置防火墙规则。我有多个自定义区域，如下所示。出于安全原因，我更改了大部分 IP 地址。

根据这些规则，有人会认为我可以从 194.1.1.3 ssh 进入服务器，但我不能。更奇怪的是，如果我更改网络接口绑定的区域，我可以 ssh 进入服务器。

显然，对区域评估应用了某种顺序，但我不知道它是什么，我也没有找到任何关于它的好文章。谁能告诉我这是怎么回事？

〜鲍勃

几天前，我问了这个问题Confuse about fail2ban behavior with firewallD in Centos 7
这是一个带有几条评论的大文本。
在 fail2ban 重启几个小时后，似乎有些东西开始刷新 iptables 我不明白它是什么。
几个月前，我将一些虚拟主机从我使用了 10 多年的专用服务器移到了 Contabo VPS。一切顺利，但 fail2ban 监狱。囚犯逃跑。:)
我的举动是从 Centos 6 到 Centos 7 Webmin/Virtualmin LAMP fail2ban；离开 /etc/sysconfig/iptables，现在使用 firewalld。如前所述，经过几个小时的fail2ban重启，以及一些成功禁止IP后，正如@sebres所建议的那样，由于症状“后遗症”，某些东西正在刷新iptables，例如

2019-12-05 16:55:20,856 fail2ban.action [1514]：错误 iptables -w -n -L INPUT | grep -q 'f2b-proftpd[ \t]' -- 标准输出：''

和“已被禁止”的通知。
我在默认配置中尝试的所有更改都没有改变这一点。
最后我删除了管理fail2ban的Webmin模块并重新安装了该服务。
重命名 /etc/fail2ban 以保留备份配置。

然后

然后将旧的 jail.local 复制到新的 /etc/fail2ban 目录

[默认]
banaction = iptables-multiport
banaction_allports = iptables-allports

[sshd]
启用 = 真
端口 = ssh
maxretry = 4
bantime = 7200

[ssh-ddos]
启用 = true
端口 = ssh,sftp
过滤器 = sshd-ddos

[webmin-auth]
启用 = 真实
端口 = 10000

[proftpd]
启用 = 真正的
bantime = -1

[后缀]
启用 = 真正的
bantime = -1

[dovecot]
启用 = 真正的
bantime = -1

[postfix-sasl]
启用 = true
bantime = -1

我还检查了 cron 作业，看看是否有东西可以以任何方式刷新 iptables。
目前，我定期运行一个脚本来手动拒绝那些“已被禁止”的 IP 一次。

所以我的问题是如何知道什么是flusing iptables。

UPADATE 1
更新到稳定的 V 0.10 fail2ban 版本后，问题似乎消失了，但 5 天后问题又开始了。
以前，在 v0.9 重启后，几个小时后问题就开始了。

UPADATE 2
Runningfail2ban-client -d我得到“找不到'filter.d/sshd-ddos'的可访问配置文件”。那是因为我在 jail.conf 中保留了旧的 ssh-ddos 配置。
所以，一个子问题是如果我只是做这个改变是对的（至少没有错误fail2ban-client -d

这是输出fail2ban-client -d

“不，后遗症是因为某些东西是冲洗规则，反之亦然”

我明白，我的英语说得不太流利，我的意思是那是发生某些事情的症状，所以效果。

“那么你真的使用了哪种禁止行动？”

对不起，我对这件事知之甚少。这是 jail.local 的 [Default] 部分中包含的内容吗？

“（例如，你能排除一些由 Contabo 实现的服务，安装或集成在你的 VPS 中，这样做吗？”

我前段时间问过他们，但他们的回答是“......我们正在为我们的客户提供基本的安装......”没有什么技术含量。他们有几个 VPS 服务，我没有看到其他人对此抱怨。

更新 3

第一个 jail.local（来自新的 Webmin/Virtualmin 安装）操作是

我改变了

前一段时间。
现在我用 firewallcmd-ipset 作为 [DEFAULT] 返回，这是fail2ban-client -d 输出。
我会检查fail2ban.log。.... 几个小时后，问题又来了。

关于 firewallD Webmin 有一个部分定义了区域/规则和工具来管理它们，而不必在 shell 中编写命令。而已。

我正在尝试在 Bash 中编写一个脚本来添加一些防火墙规则。

我传递的变量不起作用，我想我做错了替换。

退货

这里有什么问题，我该如何解决？

我已经在我的 firewalld 公共区域中阻止了所有这些方法，但其中任何一个都不起作用。我想阻止 Cenots 7 上的 UDP 端口。这些是我尝试过的规则，公共区域也是我唯一的活动区域。

我对 firewalld、podman 和 UDP/Multicast 越来越疯狂。当我看到 UDP 数据包到达 podman 时；使用tcpdump命令确认。似乎我无法使用自定义的 firewalld 区域进行配置，其名称knx_multicast应仅在 UDP 数据包来自多播组时才接受224.0.23.12:3671。

给定最小的例子，用Java编写：

我将firewalld配置为：

在 CentOS 8.1 上测试多播数据包

现在我首先在 CentOS 8.1 运行中进行了测试，它在我得到一些数据时工作（见：[B@61a52fbd下文）

在 CentOS 8.1 上使用 PODMAN 测试多播数据包

下一步是在 podman 容器中进行测试（图像：'adoptopenjdk/openjdk11:latest'，在“Ubuntu 18.04.3 LTS”上运行），使用：podman run --rm -it --net host docker.io/adoptopenjdk/openjdk11 /bin/bash

在 podman 中，我还看到了来自 PIT-KNX（KNX 路由器）的 UDP 数据包。

启动相同的 java 应用程序（在容器环境之外工作）我无法获取任何数据（“开始侦听”后没有字节数组到达）

解决方法（防火墙）

在调查了几个小时/咖啡之后，我发现在 zone=knx_multicast 中允许端口是不够的。我也必须添加端口zone=public，使用：firewall-cmd --add-port=3671/udp。firewalld 的配置现在是：

在 CentOS 8.1 上使用 PODMAN 重新测试多播数据包

通过重新运行 java 应用程序，我现在能够看到到达的 UDP 多播数据包（见：[B@61a52fbd下文）

我的问题......发生了什么？下一步？

谁能帮我理解问题到底是什么？为什么我也必须添加端口zone=public？这是我这边的错误还是配置问题？如何在不将端口添加到的情况下解决它zone=public？我有什么误解吗？

如果只添加一个新的 firewalld 区域（称为 ），我会更舒服knx_multicast；并保持firewalldpublic区域的配置不变。建议？

谢谢你，克里斯托夫

我在centos 7中用ansible向firewalld添加了一些规则。但我必须重新加载 firewalld 守护程序，以便服务正常工作。有什么想法吗？

这是我的ansible代码：

我按照本指南https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/security_guide/sec-setting_and_controlling_ip_sets_using_firewalld创建了一个带有 ip 的 ipset 来阻止。

这是我的ip列表。

（试图复制我的网站、访问受限区域等的人）

一切似乎都正常，但随后我的网站离线，我什至无法通过 ssh 访问我的服务器。

而且似乎没什么可做的，唯一的解决办法就是清除ip列表并重新启动服务器，一切又开始工作了。

什么不工作？好像没有什么难点或者奇怪的，而且指南在redhat.com上，应该是靠谱的……但是就悲剧了……

我只是想阻止那些 ip 访问我的服务器，我做错了什么吗？我做对了吗？有更好的方法吗？

- - - - - - - - - - -更新 - - - - - - - - - - -

今天我得到这个错误：

有了这个，我发现了这个：https ://bugs.centos.org/view.php?id=16518 我不确定它是否相同，但它看起来很像......

我几乎在考虑禁用firewalld并直接使用nftables，但是会一样吗？

我有一个在 GCP 内运行的 Linux (Debian 9) VM，我可以通过 PuTTY 连接到它。现在我想用VNC连接它，但失败了。

以下步骤是我到目前为止所做的。

1. 我尝试按照文章 ( https://linuxize.com/post/how-to-install-and-configure-vnc-on-debian-9/ ) 设置 vnc 服务器，它看起来不错。

   /li>

2. 我通过firewalld打开端口5901（5901-5910）

   /li>

3. 使用 netstat 检查

   /li>

4. 在GCP中创建防火墙规则，tcp:5901上的tags映射，VM有这个tag。

   /li>

5. 尝试使用 Chrome VNC 查看器通过端口 5901 连接到虚拟机公共 IP 并收到错误消息“无法建立连接。您确定输入了正确的网络地址和端口号（如果需要）？”

我错过了什么？

我是新来的，所以如果我问一些愚蠢的问题，请原谅我。

我在 CentOS 8 上创建了一个 DO droplet。安装 firewalld 后，我检查了它的状态并给出了警告。

4 月 24 日 05:56:31 centos-s-1vcpu-1gb-blr1-01 firewalld[2956]：警告：AllowZoneDrifting 已启用。这被认为是不安全的配置选项。它将在未来的版本中删除。

我有一些Linux的基本知识，但我对firewalld一无所知。如果有人可以向我解释是什么AllowZoneDrifiting，那就太好了。

谢谢！