Cách thay đổi hành vi tường lửa mặc định để loại bỏ tất cả các kết nối đã thiết lập khi tải lại

Maksat Baigazy

09:58, 19/09/2023

Tôi có một máy chủ web và các dịch vụ sshd đang chạy và lắng nghe các kết nối trên các cổng của chúng. Điều tôi muốn đạt được là khi tôi thay đổi vùng của mình từ công khai sang thứ gì đó cấm cổng 22 hoặc 443, các kết nối hiện tại của tôi sẽ hết hạn. Ngay bây giờ sau khi cấm các cổng đó và tải lại tường lửa, các kết nối vẫn còn hoạt động.

Tôi nghĩ rằng điều này có thể đạt được bằng cách thêm một quy tắc trực tiếp, nhưng tôi không biết quy tắc sẽ trông như thế nào và làm thế nào để đặt nó lên trên cùng.

0 + 0

linux

iptables

tường lửa

Điểm:0

Server

A.B

09:35, 21/09/2023

Từ tường lửa trang chủ:

--tải lại

Tải lại quy tắc tường lửa và giữ thông tin trạng thái. [...]

--đầy đủ-tải lại

Tải lại hoàn toàn tường lửa, thậm chí cả các mô-đun hạt nhân của bộ lọc mạng. Điều này sẽ rất có thể chấm dứt kết nối hoạt động, bởi vì thông tin trạng thái là mất. […]

Vì vậy, làm tường lửa-cmd --đầy đủ tải lại sẽ là một phương pháp nặng thực hiện thủ thuật. Trên thực tế, nó không nên chấm dứt các kết nối TCP đã thiết lập vẫn được phép trong bộ quy tắc mới, nhờ net.netfilter.nf_conntrack_tcp_loose = 1 (họ nên quay lại MỚI-> THÀNH LẬP mà không bị mất kết nối).

Nhưng thay vì điều này, việc xóa trạng thái theo dõi của Netfilter bằng công cụ chuyên dụng sẽ dễ dàng hơn: theo dõi (yêu cầu cài đặt gói thường có tên theo dõi hoặc công cụ conntrack).

conntrack -F

hoặc thực hiện có chọn lọc (các tùy chọn bổ sung như phạm vi địa chỉ có thể làm cho nó có chọn lọc hơn):

conntrack -D -p tcp --dport 443; conntrack -D -p tcp --dport 22

0 + 0

Maksat Baigazy

04:47, 23/09/2023

Cảm ơn bạn rất nhiều, đây là những gì tôi thực sự đã làm và nó hoạt động như một cơ duyên!

Hồi đáp

Phan Văn Trường

Câu hỏi này là trong các ngôn ngữ khác:

EN: How to change default firewalld behaviour to drop all established connections on reload

TH: วิธีเปลี่ยนพฤติกรรมเริ่มต้นของไฟร์วอลล์เพื่อยกเลิกการเชื่อมต่อที่สร้างไว้ทั้งหมดเมื่อโหลดซ้ำ

RO: Cum se schimbă comportamentul firewalld implicit pentru a elimina toate conexiunile stabilite la reîncărcare

RU: Как изменить поведение firewalld по умолчанию, чтобы сбросить все установленные соединения при перезагрузке

VI: Cách thay đổi hành vi tường lửa mặc định để loại bỏ tất cả các kết nối đã thiết lập khi tải lại

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.