1)Default Dropという設定
Firewalldは、ルールに記載があってもDefault Acceptの状態(<ー記載記事は少ないですね)
これを変えないとPortFIlterな設定を入れてもスカスカとなる。
以下の通り、targetをDefaultからDropへ変更する。
(設定の確認)
#firewall-cmd --list-all
public (active)
target: Default
(以下略)
(変更のコマンド)
sudo firewall-cmd --permanent --zone=public --set-target DROP
#firewall-cmd --list-all
public (active)
target: DROP
(以下略)
ちなみにRejectの選択も可能。
2)次にポート番号とSourceIPでの組み合わせ設定について
以下の例では、管理対象に導入したZABBIXとの通信を行うための設定。
#firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source address="161.202.109.214/32" port protocol="tcp" port="10050" accept"
ちなみに、以下のコマンドで表示される「Service」「ports」で表示されている設定の場合、送信元制限はされずにアクセスを許可するという意味。上記、Rule Familyより優先されるため注意が必要(記載しているサイトは少ないですね)
#firewall-cmd --list-all
public (active)
target: DROP
icmp-block-inversion: no
interfaces: ens3 ens4
sources:
services: cockpit dhcpv6-client http https
以上。