introduction

L'autre jour, j'ai écrit un article Autoriser ssh uniquement pour des adresses IP spécifiques avec firewalld, mais en utilisant l'option -add-rich-rule La correspondance par la règle spéciale de Gorigori a été capturée. Firewalld est une bibliothèque relativement nouvelle qui succède à iptables, et il devrait y avoir un moyen plus sophistiqué et meilleur de le faire.

À la suite de diverses enquêtes, il y en avait. Son nom est la fonction ** multi-zone **. En utilisant cette fonction, j'ai trouvé qu'elle pouvait être définie de manière assez flexible et efficace, je voudrais donc partager ce que j'ai étudié cette fois.

environnement

CentOS 8
firewalld 0.8.0-4

Avantages de Firewalld

Tout d'abord, passons en revue les avantages de Firewalld. Selon la référence [1], les avantages du pare-feu par rapport aux iptables sont:

Des règles telles que refuser et autoriser peuvent être définies pour chaque zone définie par l'IP source et l'interface réseau.
Syntaxe simplifiée car vous pouvez spécifier le nom du service au lieu du port ou du protocole
Vous n'avez pas à vous soucier de l'ordre des instructions comme iptables.
La fonction de rechargement vous permet de modifier les paramètres de manière interactive, par exemple en les modifiant temporairement.

En effet, il semble important de bien utiliser les ** zones **. Au fait, mon dernier article a forcé l'ajout d'une règle à la zone publique.

Qu'est-ce qu'une zone

Ensuite, regardons la zone. Encore une fois, la référence [1] montre que ** Intarface ** et ** Source ** sont des concepts importants pour comprendre les zones.

Interface --Intaface est le nom système des cartes matérielles et réseau virtuelles. --Tous les Intafaces actifs sont affectés à la zone par défaut ou à la zone spécifiée par l'utilisateur. --Intaface ne peut pas être affecté à plusieurs zones **.

Par défaut, firewalld associe toutes les interfaces aux zones publiques et ne définit la source dans aucune zone. Par conséquent, la zone publique est ** la seule ** zone active.

Source

--Source est la plage d'adresses IP source, qui peut également être attribuée à une zone. --La source ne peut pas être attribuée à plusieurs zones **. En effet, une fois que cela est fait, il n'est pas possible de savoir quelle règle doit être appliquée à cette source. --Il n'y a pas toujours une zone avec une source qui correspond à une source. Dans ce cas, il est traité selon une certaine priorité, mais les détails seront décrits ultérieurement.

Je n'ai pas expliqué la zone elle-même, mais l'avez-vous comprise d'une manière ou d'une autre?

Alors, qu'est-ce que le multi-zone?

Multi-Zone est un terme utilisé dans Reference [1], mais en bref, il est bon d'utiliser ** plusieurs zones actives ** au lieu d'une seule zone. ** Pensez-y comme un moyen de définir des règles.

Souvent prises en compte, selon la référence [1], les règles d'application de Firewalld dans le cas d'une multi-zone sont à peu près les suivantes. (Note) Il est écrit un peu, donc si vous voulez le comprendre strictement, consultez la référence [1] ou le manuel de Firewalld.

La zone active a des rôles différents selon qu'il s'agit d'une zone associée à Intaface ou d'une zone associée à Source. Cependant, il est possible de jouer les deux rôles. --Firewalld traite les paquets dans l'ordre suivant:

S'il y a une zone avec une source correspondant au paquet (peut ne pas l'être), elle sera traitée dans cette zone car le paquet répond à la règle riche, le service est sur la liste blanche, etc. Si ça se termine. Sinon, passez à la suivante.
Il se termine lorsqu'il est traité par la zone qui possède l'interface correspondant au paquet. Sinon, passez à la suivante.
Les actions par défaut de Firewalld s'appliquent. Autrement dit, les paquets icmp sont acceptés et tout le reste est rejeté.

L'important est que la zone Source prime sur la zone Interface. Par conséquent, un modèle de conception courant pour les configurations multizones consiste à autoriser une adresse IP spécifique à accéder à un service spécifique dans la zone source et à restreindre l'accès à tous les autres utilisateurs de la zone d'interface. devenir.

Essayons avec une pseudo configuration

Essayons-le en nous basant sur un exemple du suivant.

Configuration du réseau

Cette fois, je souhaite procéder à cette configuration.

Laissez-moi vous donner un aperçu.

Le serveur WEB coloré est le serveur qui définit Firwalld cette fois.
Le serveur WEB fournit des services sur Internet via http / https.
Le serveur de sauvegarde est un serveur qui sauvegarde le système du serveur WEB et accède au serveur MySQL et au serveur NFS sur le serveur WEB.
Le terminal de maintenance est un terminal qui effectue la maintenance sur le serveur WEB, et se connecte au serveur WEB avec ssh. ―― Je pense qu'il y a des rumeurs selon lesquelles vous ne devriez pas vous connecter à DMZ ou que l'adresse IP globale est erronée, mais cette fois, j'aimerais rester simple.

Règles de pare-feu que vous souhaitez atteindre

Donc, si vous l'écrivez en phrases, ce sera ambigu, alors faisons un tableau des règles qui autorisent les paquets sur le serveur WEB.

expéditeur	protocole	Nom de zone	Rôle de zone
ANY	https, http	public	Zone d'interface
192.168.11.24	mysql, nfs	share	Zone source
192.168.11.29	ssh	mainte	Zone source

C'est une règle de tout rejeter sauf ce qui précède. De plus, il y a déjà des colonnes "nom de zone" et "rôle de zone" dans le tableau, et il y a des descriptions de zones avec des noms tels que public, share, mainte, mais à partir de maintenant, ** ces multi-zones ** appliqueront effectivement les règles ci-dessus. Définissons-le.

Paramètres de la zone publique

La zone publique donne l'impression de modifier celle par défaut.

firewall-cmd --permanent --zone=public --remove-service=dhcpv6-client
firewall-cmd --permanent --zone=public --remove-service=cockpit
firewall-cmd --permanent --zone=public --remove-service=ssh
firewall-cmd --permanent --zone=public --add-service=http
firewall-cmd --permanent --zone=public --add-service=https
firewall-cmd --permanent --zone=public --set-target=DROP
firewall-cmd --reload

Tout d'abord, les trois lignes ci-dessus ont été supprimées en tant que services dans la zone publique depuis le début (si elles ne sont pas incluses, veuillez les ignorer).
Les 4ème et 5ème lignes sont les paramètres permettant d'autoriser https et http pour tous les utilisateurs. ―― La 6ème ligne correspond aux mesures ssh. Il semble qu'il est plus sûr de DROP au lieu de DENY lorsque vous essayez de SSH dans le serveur à partir d'une adresse IP en dehors de la zone interne. (Cela empêchera les pings, mais consultez la référence [1] pour une solution de contournement.)

paramètres de zone de maintenance

Étant donné que la zone de maintenance n'existe pas à l'origine, créez-la nouvellement et définissez-la.

firewall-cmd --permanent --new-zone=mainte
firewall-cmd --permanent --zone=mainte --add-service=ssh
firewall-cmd --permanent --zone=mainte --add-source=192.168.11.29
firewall-cmd --reload

La deuxième ligne spécifie ssh comme service autorisé, et la troisième ligne spécifie l'adresse IP du terminal de maintenance comme IP source autorisée.

partager les paramètres de zone

Étant donné que la zone de partage n'existe pas à l'origine, elle est définie après en avoir créé une nouvelle.

firewall-cmd --permanent --new-zone=share		
firewall-cmd --permanent --zone=share --add-port=2049/tcp		
firewall-cmd --permanent  --zone=share --add-port=3306/tcp		
firewall-cmd --permanent --zone=share  --add-source=192.168.11.24		
firewall-cmd --reload

Les ports nfs et mysql sont spécifiés comme ports autorisés dans les 2e et 3e lignes, et l'adresse IP du serveur de sauvegarde est spécifiée comme IP source autorisée sur la 4e ligne.

Vérification!

Tout d'abord, exécutons nmap depuis le terminal de maintenance.

[kimisyo@localhost ~]$ nmap 192.168.11.26
Starting Nmap 7.70 ( https://nmap.org ) at 2020-10-25 20:59 JST
Nmap scan report for 192.168.11.26
Host is up (0.00063s latency).
Not shown: 997 filtered ports
PORT    STATE SERVICE
22/tcp  open  ssh
80/tcp  open  http
443/tcp open  https

Vous pouvez certainement voir ssh en plus du port http / https. (Au contraire, nfs et mysql ne sont pas visibles)

Ensuite, exécutons nmap à partir du serveur de sauvegarde.

(base) kimisyo@ubuntu20:~$ nmap 192.168.11.26
Starting Nmap 7.80 ( https://nmap.org ) at 2020-10-25 11:59 UTC
Nmap scan report for 192.168.11.26
Host is up (0.0011s latency).
Not shown: 996 filtered ports
PORT     STATE SERVICE
80/tcp   open  http
443/tcp  open  https
2049/tcp open  nfs
3306/tcp open  mysql

En plus du port http / https, vous pouvez voir 2049 / tcp et 3306 / tcp. (Au contraire, ssh n'est pas visible)

en conclusion

Enfin, je vais résumer les mérites du multi-zone que j'ai réellement ressentis.

Dans une zone, s'il existe de nombreuses combinaisons de protocole (service) et d'adresse IP source, l'effet de la modification du service ou de l'IP source est important, mais en multi-zone, seul un add-service ou add-source est ajouté à la zone. C'est assez. Par exemple, si vous voulez ajouter un autre terminal au terminal de maintenance dans cet exemple, ajoutez simplement une règle comme firewall-cmd --permanent --zone = mainte --add-source = 192.168.11.19 '' C'est assez.
Comme mentionné dans la référence [1], il est facile d'exclure des adresses IP spécifiques auxquelles on accède illégalement. Plus précisément, tout ce que vous avez à faire est de créer une zone DROP qui supprime toutes les connexions et d'ajouter l'adresse IP que vous souhaitez exclure avec add-source à cette zone. --Il est possible d'ajouter ou de supprimer des services autorisés au groupe IP source inclus dans une certaine zone à la fois. ―― La flexibilité est infinie. Si vous souhaitez en savoir plus, consultez les références et la documentation de Firewalld.

Les références

[1]Understanding Firewalld in Multi-Zone Configurations

[LINUX] Configurez facilement Firewalld en multi-zone