Bloccare tutto il traffico in output Utilizzo di firewalld a sottoreti di networking dedicati?

Ho diversi server RHEL7 / CentOS7 su cui devo bloccare tutto il traffico OUTGOING a macchine dedicate o su sottoreti di networking dedicati, ad esempio CIDR 168.192.10.0/24.

Per il momento ho provato con firewall-cmd ma non sono stato fortunato. La maggior parte dei post che ho visto stavano utilizzando iptables ma preferirei una soluzione basata sul firewalld .

  • Modifica della configuration GRUB in "singolo" che non funziona in RHEL
  • Come posso creare nei backup incrementali di database mysql
  • netcat non trovato in Amazon AMI (Centos)
  • Firewall dedicato a macchina
  • OpenAFS su Fedora / CentOS
  • Ottenere i client NFS per tentare di eseguire il ripristino se il server NFS si distriggers quando il client viene avviato
  • Ho già cercato di basare la mia soluzione su questi due argomenti Bloccare le connessioni in output … e bloccare le connessioni in output su Centos 7 con firewalld ma in qualche modo le mie regole devono essere sbagliate poiché ancora posso aprire una connessione http al server.

    Le regole firewalld correnti (nessuna regola definita)

     public (active) target: default icmp-block-inversion: no interfaces: eth0 sources: services: dhcpv6-client http https ssh ports: protocols: masquerade: no forward-ports: sourceports: icmp-blocks: rich rules: 

    Supponiamo che l'IP di origine server del server sia 168.192.18.56. Poi, le regole che ho cercato di definire (anche con --permanent

     firewall-cmd --direct --add-rule ipv4 filter OUTPUT 0 -d 168.192.10.0/24 -j REJECT firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" source address="168.192.18.56" destination address=168.192.10.0/24 reject' 

    Ho anche provato con azione DROP . Le regole attuali sono

     public (active) target: default icmp-block-inversion: no interfaces: eth0 sources: services: dhcpv6-client http https ssh ports: protocols: masquerade: no forward-ports: sourceports: icmp-blocks: rich rules: rule family="ipv4" destination address="192.168.10.0/24" log prefix="dropped" level="debug" limit value="20/m" drop 

    Ora non so se devo ricaricare firewalld ? In questo caso, renderei le regole permanenti.

    Il mio inconveniente è ora che – assumere il 192.168.10.30 un server web è in esecuzione. – posso ping ad esempio 192.168.10.30
    – Posso anche aprire una connessione HTTP wget 192.168.10.30 e get indietro index.html – posso anche ping each macchina nelle sottoreti bloccate, ma forse questo ha bisogno di una regola speciale, ho pensato bloccando tutto il traffico ICMP sarebbe anche bloccato

    Mi piacerebbe sapere cosa faccio male.

  • CentOS networking BNX2
  • Gestione degli utenti CentOS tramite LDAP
  • Consenti a NTP di aggiornare automaticamente in quantità elevate?
  • Dovremmo montare con dati = writeback e barriera = 0 su ext3?
  • Inoltro port port iptables sul contenitore OpenVZ CEntOS
  • I manuali RHEL 7 si applicano a CentOS 7?
  • Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.