Red Hat Training
A Red Hat training course is available for RHEL 8
40.13. 使用 firewalld 设置和控制 IP 集
IP 集是一种 RHEL 功能,用于将 IP 地址和网络分组到集合中,以实现更灵活、有效的防火墙规则管理。
例如,当您需要时 IP 集合非常有价值,例如:
- 处理大量 IP 地址列表
- 对大量 IP 地址列表实施动态更新
- 创建基于 IP 的自定义策略,以增强网络安全性和控制
红帽建议使用 firewall-cmd 命令来创建和管理 IP 集合。
40.13.1. 配置动态更新,以允许 IP 集合
您可以进行接近实时更新,来灵活地允许 IP 集中特定的 IP 地址或范围,即使在无法预计的情况下也是如此。这些更新可由各种事件触发,如安全威胁检测或网络行为的更改。通常,此类解决方案利用自动化来减少手工工作,并通过快速响应情况来提高安全性。
前提条件
-
firewalld服务正在运行。
流程
创建一个有有意义名称的 IP 集:
# firewall-cmd --permanent --new-ipset=allowlist --type=hash:ip名为
allowlist的新 IP 集包含您希望防火墙允许的 IP 地址。向 IP 集添加一个动态更新:
# firewall-cmd --permanent --ipset=allowlist --add-entry=198.51.100.10此配置使用新添加的、防火墙允许传输网络流量的 IP 地址更新
allowlistIP 集。创建一个引用之前创建的 IP 集的防火墙规则:
# firewall-cmd --permanent --zone=public --add-source=ipset:allowlist没有此规则,IP 集不会对网络流量有任何影响。以默认防火墙策略为准。
重新载入防火墙配置,以应用更改:
# firewall-cmd --reload
验证
列出所有 IP 集:
# firewall-cmd --get-ipsets allowlist列出活跃的规则:
# firewall-cmd --list-all public (active) target: default icmp-block-inversion: no interfaces: enp0s1 sources: ipset:allowlist services: cockpit dhcpv6-client ssh ports: protocols: ...
命令行输出的
sources部分提供了哪些流量的来源(主机名、接口、IP 集、子网等)被允许或拒绝访问特定防火墙区域的信息。在这种情况下,允许allowlistIP 集中包含的 IP 地址通过public区域的防火墙传输流量。探索 IP 集的内容:
# cat /etc/firewalld/ipsets/allowlist.xml <?xml version="1.0" encoding="utf-8"?> <ipset type="hash:ip"> <entry>198.51.100.10</entry> </ipset>
后续步骤
-
使用脚本或安全工具来获取您的威胁情报源,并以自动化方式更新
allowlist。
其他资源
-
firewall-cmd (1)手册页
