firewalld

0

2

что-то не пойму, каким образом подразумевается заполнение цепочек типа FWDI_internal_deny? Ну и вообще управление правилами цепочки FORWARD. Пока что только через direct.xml могу менять FORWARD_direct, но хотелось бы большего

Ссылка

←

левые ip

Не могу настроить доступ по SSH!!!

→

Внесение изменений через firewall-cmd не устраивает?

BOOBLIK ★★★★
(01.10.14 13:28:27 MSK)

Ссылка

Я про что-то типа:

firewall-cmd --direct --add-rule ipv4 filter FWDI_public_allow 0 -m tcp -p tcp --dport 5190 -j ACCEPT

правда это мало отличается от правки direct.xml

BOOBLIK ★★★★
(01.10.14 13:49:47 MSK)

Ответ на: комментарий от BOOBLIK 01.10.14 13:49:47 MSK

Дык не работает же если указывать вместо FORWARD_direct какую-то другую цепочку. Тупо не добавляется правило.

af5 ★★★★★
(01.10.14 14:12:55 MSK) автор топика

Ответ на: комментарий от af5 01.10.14 14:12:55 MSK

На всякий случай спрошу, а собственно цепочка FWDI_internal_deny у тебя создана, отображается в выводе iptables-save? Вообще firewall-cmd умеет довольно осмысленно ругаться в stdout. У меня при попытке воткнуть правило в несуществующий чейн вываливается что-то типа:

Error: COMMAND_FAILED: '/sbin/iptables -t filter -I FWDI_internal_deny 1 -m tcp -p tcp --dport 80 -j ACCEPT' failed: iptables: No chain/target/match by that name.

Ну и вообще firewall-cmd --direct это практически обертка к прямому вызову iptables, там ломаться-то особо нечему.

BOOBLIK ★★★★
(01.10.14 14:21:00 MSK)

Ответ на: комментарий от BOOBLIK 01.10.14 14:21:00 MSK

хм... похоже это багофича гуя (firewall-config), через cli всё ок

af5 ★★★★★
(01.10.14 14:34:38 MSK) автор топика

Ссылка

Ответ на: комментарий от BOOBLIK 01.10.14 14:21:00 MSK

а не, нифига не ок, после перезагрузки правила из direct.xml не подтягиваются если указывать вместо FORWARD_direct какую-то другую цепочку

af5 ★★★★★
(01.10.14 14:37:01 MSK) автор топика
Последнее исправление: af5 01.10.14 14:37:30 MSK (всего исправлений: 1)

Ответ на: комментарий от af5 01.10.14 14:37:01 MSK

Добавь --permanent.

firewall-cmd --permanent --direct --add-rule ipv4 filter FWDI_public_allow 0 -m tcp -p tcp --dport 5190 -j ACCEPT

BOOBLIK ★★★★
(01.10.14 14:42:52 MSK)

Ответ на: комментарий от BOOBLIK 01.10.14 14:42:52 MSK

--permanent это ключ, благодаря которому правила попадают в direct.xml. С этим всё ок. Но вот после перезагрузки или перезапуска firewalld эти правила не подтягиваются из direct.xml (если указывать вместо FORWARD_direct какую-то другую цепочку). А вот если без --permanent - то правила применяются, но не сохраняются в конфиг. Вот такая фигня.

af5 ★★★★★
(01.10.14 14:49:18 MSK) автор топика

Ответ на: комментарий от af5 01.10.14 14:49:18 MSK

Проверил сейчас на тестовой, чистой CentOS 7. Все так как ты пишешь. Правило добавляется с permanent, в direct.xml присутствует, но в iptables после перезагрузки не подгружается. Если вдруг нагуглишь решение — поделись тут.

BOOBLIK ★★★★
(01.10.14 15:02:12 MSK)