Cum se schimbă comportamentul firewalld implicit pentru a elimina toate conexiunile stabilite la reîncărcare

Maksat Baigazy

19.09.2023, 09:58

Am un server web și servicii sshd care rulează și ascult conexiunile pe porturile lor. Ceea ce vreau să obțin este că atunci când îmi schimb zona de la public la ceva care interzice porturile 22 sau 443, conexiunile mele actuale vor expira. Chiar acum, după interzicerea acelor porturi și reîncărcarea firewall-ului, conexiunile sunt încă vii.

Cred că acest lucru se poate realiza prin adăugarea unei reguli directe, dar nu știu cum ar trebui să arate regula și cum să o pun deasupra.

0 + 0

linux

iptables

firewalld

Puncte:0

Server

A.B

21.09.2023, 09:35

Din firewalld pagina de manual:

--reincarca

Reîncărcați regulile firewall și păstrează informațiile de stat. [...]

--complet-reîncărcare

Reîncărcați complet paravanul de protecție, chiar și modulele nucleului netfilter. Asta va cel mai probabil să încheie conexiunile active, deoarece informația de stat este pierdut. [...]

Așa face firewall-cmd --complete-reload ar fi o metodă grea care face șmecheria. De fapt, nu ar trebui să încheie conexiunile TCP stabilite, care sunt încă permise în noul set de reguli, datorită net.netfilter.nf_conntrack_tcp_loose = 1 (ar trebui să se întoarcă prin NEW->STABLISHED fără pierderi de conectivitate).

Dar, mai degrabă decât asta, este mai ușor să ștergi pur și simplu starea conntrack a Netfilter cu instrumentul dedicat: contratrack (necesită instalarea unui pachet numit de obicei contratrack sau conntrack-instrumente).

conttrack -F

sau făcând-o selectiv (opțiuni suplimentare, cum ar fi intervalele de adrese, o pot face mai selectivă):

conntrack -D -p tcp --dport 443; conntrack -D -p tcp --dport 22

0 + 0

Maksat Baigazy

23.09.2023, 04:47

Mulțumesc foarte mult, asta am făcut de fapt și a funcționat ca un farmec!

Răspunde

SEF 777

întrebarea această in alte limbi:

EN: How to change default firewalld behaviour to drop all established connections on reload

TH: วิธีเปลี่ยนพฤติกรรมเริ่มต้นของไฟร์วอลล์เพื่อยกเลิกการเชื่อมต่อที่สร้างไว้ทั้งหมดเมื่อโหลดซ้ำ

RO: Cum se schimbă comportamentul firewalld implicit pentru a elimina toate conexiunile stabilite la reîncărcare

RU: Как изменить поведение firewalld по умолчанию, чтобы сбросить все установленные соединения при перезагрузке

VI: Cách thay đổi hành vi tường lửa mặc định để loại bỏ tất cả các kết nối đã thiết lập khi tải lại

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.