Cmd firewall что это

Firewalld, установка и настройка, зоны, NAT, проброс портов

Firewalld — решение для управления брандмауэром, доступное во многих дистрибутивах Linux, которое работает как интерфейс для системы фильтрации пакетов iptables, предоставляемой ядром Linux. В данном руководстве мы рассмотрим установку и настройку брандмауэра при помощи административного инструмента firewall-cmd.

Зоны и службы Firewalld

Прежде всего важно понять концепцию зон. Зоны используются для определения уровня доверия к сетевым соединениям за счет разделения входящего трафика по его уникальным характеристикам. Таким образом, к различным зонам можно применять различные правила. Для зоны указываются активные опции брандмауэра в виде предварительно определенных служб, портов и протоколов, маскарадинга/перенаправления портов и rich rules.

Firewalld фильтрует входящий трафик по различным зонам в зависимости от конкретных правил, применяемых к каждой зоне. При определении зоны для входящего соединения будет применяться следующая логика. Если IP-адрес отправителя соответствует определенным для зоны значениям, то пакет будет направляться через эту зону. Если этот адрес не соответствует ни одной зоне, то проверяется соответствие входящего интерфейса пакета фильтру зоны, и в случае такого соответствия используется эта зона. Во всех остальных случаях используется зона по умолчанию, изначально заданная как public. Для нее предполагается, что вы не доверяете другим компьютерам в сети и разрешаете работу только ограниченного числа служб.

В firewalld есть ряд зон с предварительно настроенными разрешениями для различных служб. Вы можете изменять эти настройки или создавать собственные зоны. В порядке от наименее доверенных к наиболее доверенным эти зоны следующие:

drop — минимальный уровень доверия. Все входящие соединения блокируются без ответа, допускаются только исходящие соединения.

block — аналогично предыдущему, но при отклонении входящих запросов отправляется сообщение icmp-host-prohibited или icmp6-adm-prohibited.

public — представляет общественные, недоверенные сети. Вы не доверяете другим компьютерам, но можете разрешать избранные входящие соединения в индивидуальном порядке.

external — внешние сети при использовании брандмауэра в качестве шлюза. Она настроена для маскирования NAT, поэтому ваша внутренняя сеть остается частной, но доступной.

internal — внутренняя сторона шлюза. Компьютеры обладают достаточным уровнем доверия, доступен ряд дополнительных служб.

dmz — используется для компьютеров, расположенных в DMZ («демилитаризованная зона», изолированные компьютеры без доступа к остальной сети). Разрешены только определенные входящие соединения.

work — используется для рабочих машин. Доверять большинству компьютеров в сети. Может быть разрешено еще несколько служб.

home — домашняя среда. Обычно означает, что вы доверяете большинству других компьютеров и разрешаете работу еще нескольких служб.

trusted — доверять всем машинам в сети. Наиболее открытая из всех доступных опций, должна использоваться с осторожностью.

В зонах могут быть установлены разрешения для пользовательских или предварительно заданных служб. Конфигурация предварительно заданных служб находится в директории /usr/lib/firewalld/services. Например, вот содержимое файла /usr/lib/firewalld/services/kerberos.

Управление Firewalld

В Centos 7 firewalld установлен по умолчанию, если же его нет, то можно установить следующей командой:

После установки нужно включить службу

Добавляем в автозагрузку

После запуска сервиса брандмауэр должен заработать, ваши сетевые интерфейсы распределятся по настроенным зонам (или попадут в зону по умолчанию), и к ним будут применяться соответствующие правила.

Проверить работу и доступность службы можно командой

Этот результат показывает, что брандмауэр работает с конфигурацией по умолчанию.

При настройке конфигурации firewalld командой firewall-cmd можно указать опцию —permanent для изменения постоянных файлов конфигурации, записанных на диске. Если запускать команду без этой опции, изменится только текущая конфигурация, и при перезапуске все изменения будут потеряны. Если вы внесли изменения в текущую конфигурацию, можно сохранить их в постоянную при помощи команды

При внесении изменений в постоянную конфигурацию они не будут применены, пока вы не выполните

Изменения можно сделать временными при помощи опции —timeout, в которой мы можем указать время действия правила в секундах, по истечении которого оно будет удалено.
Это очень полезно при удаленном управлении системой: вы не сможете постоянно заблокировать себе доступ из-за ошибки в правиле, так как по истечении указанного времени изменение будет отменено. Опции —timeout и —permanent нельзя использовать одновременно.

Далее мы рассмотрим ряд других распространенных и полезных опций команды firewall-cmd. Если не указывать зону при изменении конфигурации, будет использоваться зона по умолчанию. Зону можно указать при помощи опции —zone=ИМЯ_ЗОНЫ

—get-default-zone — вывод зоны, установленной в качестве зоны по умолчанию, изначально это зона public.

—new-zone=ИМЯ_ЗОНЫ — создание новой пользовательской зоны, требуется опция —permanent.

—set-default-zone — изменение зоны по умолчанию public на любую желаемую зону. Данная зона по умолчанию будет использоваться на всех интерфейсах, если не указано иное.

—get-zones — вывод списка всех доступных зон.

—list-all-zones выводит более подробную информацию о каждой зоне, для примера приведем результат для одной из них.

—get-active-zones выводит только те зоны, которые в данный момент используются и связаны с каким-либо интерфейсом.

—get-services позволяет получить список предварительно заданных служб, которые можно использовать в правилах брандмауэра. Эти службы привязаны к портам.

RH-Satellite-6 amanda-client bacula bacula-client dhcp dhcpv6 dhcpv6-client dns freeipa-ldap freeipa-ldaps freeipa-replication ftp high-availability http https imaps ipp ipp-client ipsec iscsi-target kerberos kpasswd ldap ldaps libvirt libvirt-tls mdns mountd ms-wbt mysql nfs ntp openvpn pmcd pmproxy pmwebapi pmwebapis pop3s postgresql proxy-dhcp radius rpc-bind rsyncd samba samba-client smtp ssh telnet tftp tftp-client transmission-client vdsm vnc-server wbem-https

—list-services используется для получения списка служб, разрешенных для зоны. Ниже приведен заданный по умолчанию список для зоны public.

—add-service применяется для добавления служб в указанной зоне, в данном примере мы добавим предварительно заданную службу kerberos в зону public.

—remove-service выполняет обратную процедуру и прекращает доступ службы в зону.

—add-source=IP-адрес — добавить в зону IP-адрес или диапазон адресов. Это означает, что если адрес источника входящего трафика будет соответствовать диапазону, то к этому трафику будет применяться установленная зона. В данном случае мы установим соответствие зоны testing и трафика с диапазона 10.10.10.0/24.

—remove-source=IP-адрес — удаление IP-адреса или диапазона адресов, ранее добавленных для зоны.

Для одной зоны можно указывать в качестве источника несколько IP-адресов или диапазонов.

—add-port=ПОРТ/ПРОТОКОЛ — добавить в зону TCP или UDP порт. Принцип действия аналогичен —add-source.

—list-ports — вывод списка портов, разрешенных для указанной зоны. Мы только что добавили TCP-порт 9000 в зоне по умолчанию и видим его в списке.

—remove-port удаляет порты, ранее добавленные —add-port.

Более подробную информацию об этих и других опциях можно получить на соответствующей странице руководства. В ее конце есть несколько примеров.

В следующем примере создается новая зона ‘test’, применяемая к трафику с диапазона 192.168.1.0/24. После чего мы разрешаем для зоны службу ssh и TCP-порт 9000.

Так как все изменения вносились с опцией —permanent, требуется перезапуск текущей конфигурации.

Судя по имени службы ssh, в данном случае разрешается входящее подключение к TCP-порту 22, но мы можем удостовериться в этом, проверив файл конфигурации службы.

Также можно просмотреть информацию о зоне test и увидеть, какие изменения мы внесли.

Диапазон адресов источника 192.168.1.0/24, разрешены входящие подключения для службы ssh и TCP-порта 9000.

Рассмотренные правила достаточно просты. Далее мы познакомимся с rich rules, которые обеспечивают гораздо большую гибкость.

Rich rules в firewalld

Rich rules предоставляют гораздо больший уровень контроля, благодаря более тонким настройкам. Также их можно использовать для настройки ведения лога, маскарадинга, проброс портов и ограничения трафика.

Синтаксис и примеры rich rules подробно описаны в соответствующей странице руководства.

При наличии нескольких rich rules они обрабатываются в определенном порядке. Сначала применяются правила перенаправления портов и маскарадинга. Далее идут правила ведения логов. Потом разрешающие правила, а в самом конце — запрещающие. Для пакета используется первое правило из указанного порядка, которое ему подойдет. если он не соответствует ни одному правилу, то к нему будет применено отклонение по умолчанию.

Рассмотрим наиболее важные опции для работы с rich rules.

—add-rich-rule=’ПРАВИЛО’ — добавить правило, в данном примере мы разрешаем трафик с диапазона 10.0.0.0/24 только в диапазон 192.168.0.10/32 через TCP-порты c 8080 по 8090.

—list-rich-rules — вывод всех rich rules для указанной зоны. Мы видим только что созданное нами правило.

—remove-rich-rule — удалить rich rule, синтаксис такой же как у —add-rich-rule.

Создадим rich rule, отклоняющее любой трафик с диапазона 192.168.0.10/24.

Reject выдает ICMP-пакет об отклонении, тогда как drop просто отклоняет трафик без дополнительных действий. Поэтому drop может быть предпочтительнее в плане безопасности, так как ответ об отклонении раскрывает существование системы.

При использовании в rich rules адресов источника или получателя нужно указывать семейство rule family ipv4 или ipv6 в зависимости от используемой адресации.

Rich rules могут использоваться для ограничения трафика. Например, так можно ограничить количество входящих SSH-соединений десятью в минуту:

Также можно применять rich rules для записи сообщений в файл лога. Которое также может быть ограничено. Здесь мы ведем лог SSH-соединений с диапазона адресов 192.168.0.0/24, но количество записей ограничено 50 в минуту. Записываются только сообщения уровня ‘info’ или более важные.

Трансляция сетевых адресов (NAT)

Командой firewall-cmd можно настроить NAT с маскарадингом или пробросом портов. Маскарадинг можно настроить только для IPv4, но не для IPv6.

Настройка маскарадинга в firewalld

Маскарадинг для зоны можно включить опцией —add-masquerade

При помощи опции —query-masquerade мы можем убедиться, что маскарадинг успешно включен. В данном случае мы запросим постоянную конфигурацию, так как изменили только ее и еще не выполнили перезапуск.

В нашем примере маскарадингу будет подвергаться любой пакет, отправляемый на адреса, указанные в зоне ‘testing’. Для более тонкой настройки можно воспользоваться rich rules.

Здесь маскарадинг выполняется для всего трафика с диапазона адресов 192.168.1.0/24.

проброс портов в firewalld

Как следует из названия, при пробросе портов весь трафик, отправленный на конкретный порт, будет перенаправляться либо на другой порт локальной системы, либо на порт внешней системы. Если требуется проброс на внешнюю сеть, нужно также настроить маскарадинг.

В рассмотренном ниже примере локальная система будет перенаправлять весь трафик, отправленный на порт 22, на TCP-порт 2222 на адрес 10.0.0.10. Правило перенаправления портов будет применяться только для отправителей, указанных в зоне ‘testing’.

Убедиться в успешной работе проброса портов можно при помощи опции —query-forward-port.

Целиком вводить запись, которую вы делали при добавлении проброса портов, достаточно неудобно. Лучше воспользоваться опцией —list-all, она покажет все перенаправляемые порты.

Также эта команда показывает включен или отключен маскарадинг.

Для более тонкой настройки снова можно воспользоваться rich rules. В данном примере мы можем указать конкретный адрес отправителя в зоне testing, а не всю зону.

Также мы можем не использовать параметр to-addr, в этом случае перенаправление портов полностью будет выполняться на локальной системе. Действующие rich rules можно просмотреть, используя опцию —list-rich-rules.

Заключение

Команда firewall-cmd позволяет нам создавать базовые правила для firewalld, а также rich rules с очень подробными пользовательскими параметрами. Мы также рассмотрели маскарадинг и перенаправление портов для отправки трафика на другие узлы при помощи трансляции сетевых адресов (NAT).

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Источник

Введение в команду firewalld и firewall-cmd в Linux

Задача

Изучить основные концепции firewalld и способы взаимодействия с ним с помощью утилиты firewall-cmd

Требования

Введение

Начиная с версии 7 Rhel и CentOS и версии 18 Fedora, firewalld является системой брандмауэра по умолчанию.

Одной из его отличительных черт является его модульность: он работает над концепцией зон – zones

В этом уроке мы узнаем больше об этом и о том, как с ним работать, используя утилиту firewall-cmd.

Брандмауэр на основе зон

Firewalld – это брандмауэр на основе зоны: каждая зона может быть настроена так, чтобы принимать или отклонять некоторые службы или порты и, следовательно, с другим уровнем безопасности.

Зоны могут быть связаны с одним или несколькими сетевыми интерфейсами.

Обычно firewalld поставляется с набором предварительно сконфигурированных зон: чтобы перечислять эти зоны и, в общем, взаимодействовать с брандмауэром, мы будем использовать утилиту firewall-cmd.

Я работаю в системе Fedora 27, давайте посмотрим, какие существуют доступные зоны:

Как вы можете увидеть, приведенная выше команда возвращает список всех доступных интерфейсов в моей системе.

Их имя вполне объясняет их назначение, но нам нужно знать, какие услуги и порты доступны через них: общее правило по умолчанию заключается в том, что все службы или порт запрещены.

Затем каждый интерфейс настраивается с некоторыми исключениями, в зависимости от служб, которые должны быть разрешены.

Если мы хотим получить список всех сервисов, связанных с зоной, мы можем запустить firewall-cmd с параметром –get-services.

Если зона не передана явно в команду, будет запрошена зона по умолчанию:

Команда вернула сводку состояния зоны (в данном случае по умолчанию «public»).

Среди прочего вы можете четко видеть, какие сетевые интерфейсы связаны с этой зоной (в данном случае – ens5f5) и какие услуги разрешены (ssh, mdns, dhcpv6-client).

Например, чтобы получить информацию о external мы будем запустим:

Настройки зон

Как говорилось ранее, при использовании инструмента firewall-cmd, если зона не указана, ссылаются на зону по умолчанию.

Возможно, мы захотим изменить зону по умолчанию.

Скажем, например, мы хотим установить внешнюю зону external как значение по умолчанию:

Легко ли говорить, не так ли? Теперь давайте посмотрим, как мы можем добавлять или удалять службы или порты в определенной зоне.

Прежде всего, сервисы представляют собой предварительно сконфигурированный набор портов, связанных с конкретным протоколом.

Например: служба ssh будет включать в себя TCP-порт 22, тогда как служба samba будет понимать набор портов 139 и 445 TCP и 137 и 138 UDP.

Используя сервисы, мы можем избежать необходимости запоминать определенные порты каждый раз.

Предположим, что мы хотим добавить службу samba во внешнюю зону, все, что нам надо сделать, это:

Демон Firewalld ответил успешно, это означает, что добавление службы выполнено.

Чтобы проверить это, давайте проверим сервисы зоны:

Результат команды явно означает, что служба samba была добавлена в зону. Тем не менее, модификации, сделанные таким образом, являются временными и не выдержат перезагрузки firewalld-демона. Давайте проверим это.

Сначала мы перезагружаем службу:

Затем мы снова проверяем сервисы, разрешенные во внешней зоне external:

Как вы можете увидеть, единственной службой, разрешенной во внешней зоне, является ssh.

Для внесения изменений в постоянные изменения потребуется перезагрузка брандмауэра.

Если мы хотим сделать обратную операцию дабы удалить сервис из зоны, мы выполним:

Синтаксис очень интуитивно понятен и не нуждается в дальнейших объяснениях.

Но что, если мы хотим добавить определенный порт вместо службы? Синтаксис слегка изменится:

Чтобы убедиться, что порт добавлен в зону:

Операция прошла успешно.

Точно так же, чтобы удалить порт:

Создание пользовательской зоны

До сих пор мы посмотрели, как изменять существующие зоны.

Также можно создать несколько новых, и это так же просто.

Предположим, мы хотим создать пользовательскую зону под названием linuxconfig:

Создана новая пустая зона: по умолчанию в ней не разрешены службы или порты.

Также можно создать зону, загрузив файл конфигурации:

Где file – это путь к файлу, содержащему определение зоны.

Свяжите зону с интерфейсом

Создание зоны – это только первый шаг: теперь мы должны связать ее с сетевым интерфейсом.

Предположим, мы хотим использовать нашу новую созданную зону, связывая ее с интерфейсом ethernet через ens5f5: вот команда, которая позволяет нам выполнить задачу:

если мы запрашиваем зону на назначенные ей интерфейсы, мы должны увидеть:

Удаление интерфейса из зоны так же просто:

Углубленные правила | Rich rules

В определенных ситуациях нам может потребоваться создать более сложное правило, а не просто разрешить некоторые порты или службы в зоне.

Например, мы можем создать правило для блокировки трафика определенного типа с определенного компьютера.

Для этого нужны – Rich rules.

Предположим, мы хотим заблокировать трафик с компьютера с ip 192.168.0.37 в локальной сети: вот как мы будем составлять наше правило:

Правило начинается с ключевого слова правила. В family мы указали, что правило применяется только к ipv4-пакетам: если это ключевое слово не указано, правило применяется как к ipv4, так и к ipv6.

Затем мы предоставили исходный адрес, который получает пакеты для запуска правила с адресом источника.

С помощью service мы указали тип сервиса для правила, в данном случае ssh.

Наконец, мы предоставили действие, которое должно быть выполнено, если пакет соответствует правилу, в этом случае reject.

Если мы попытаемся установить соединение ssh с машиной с 192.168.0.37 ip, мы получим:

Вы можете посмотреть документацию по firewalld, чтобы увидеть весь диапазон доступных параметров и опций.

panic mode

Panice mode- это режим, который следует использовать только в ситуациях, когда есть серьезные проблемы с сетевой средой.

Когда этот режим активен, все существующие соединения отбрасываются, и все входящие и исходящие пакеты удаляются.

Источник

Firewalld.

Firewalld — брандмауэр, с поддержкой динамического управления правилами и концепцией работы с сетевыми зонами. Появился по умолчанию в CentOS 7, но на сегодняшний день особой популярности не обрёл. Многие администраторы предпочитают старый-добрый iptables и ставят на сервер именно его. Благо, сделать это совсем не сложно. Однако в рамках данной заметки, хотелось бы рассмотреть функционал и возможности firewalld, а так же обратить внимание на те возможные перспективы, к которым стремятся разработчики.

Что такое зоны?

Зона определяет уровень доверия к подключению. Каждая зона уже содержит в себе определённый набор правил, в соответствии с которыми и работает подключение. Администратор имеет возможность создавать собственные зоны с нужными ему правилами фильтрации, имеет возможность модифицировать уже существующие зоны. При необходимости, изменения всегда можно откатить до состояния по умолчанию.

Работа с помощью firewall-cmd.

Для того что бы сделать правила постоянными, не забываем добавлять ключ —permanent к firewall-cmd.

Работаем с зонами:

Работаем с сервисами:

Работа с портами.

Открываем порт, закрываем порт, открываем диапазон портов:

Маскарад (masquerade, nat), редирект:

Редирект с одного порта на другой ip:port (c 22 на 11.22.33.44:2222):

Как мы видим, основные функции (открыть\закрыть порт, дать доступ к сервису, сделать редирект) настраиваются очень просто, и это несомненный плюс firewalld, однако как только у нас появляется необходимость сделать что-то не стандартное, мы чаще всего встаём в тупик. В том числе и поэтому, решая какие-то не стандартные задачи, администраторы серверов предпочитают работать с привычным iptables. Разумным становится вопрос «нужности» самого firewalld, однако в этом месте я предлагаю не спешить, и познакомиться с планами разработчиков на будущее:

Однако относительно данного случая, у меня возникает уместное (на мой скромный взгляд) замечание о том, что синтаксис таких правил не проще синтаксиса стандартного iptables. Та простота, что привлекала чуть раньше здесь отсутствует.

На мой взгляд, у firewalld, конечно же есть будущее, более того, он уже сейчас готов для использования, в случаях, если администратору не нужно от фаервола чего-то большего чем простое управление доступом на уровне портов и сервисов. Однако если на сервере с помощью брандмауэра предстоит решать какие-то более сложные задачи, имеет смысл отказаться от firewalld в пользу iptables и работать со вторым в привычном режиме.

Источник

Настройка firewalld в CentOS

Firewalld — утилита для управления встроенным в ядро Linux брандмауэром Netfilter. Несмотря на собственный синтаксис, имеет такой же принцип работы, как Iptables. Дополнительно про управление Netfilter при помощи последнего.

Установка и запуск

В некоторых системах CentOS может не оказаться firewalld. Для его установки вводим:

yum install firewalld

Для автоматического зауска вводим:

systemctl enable firewalld

И для запуска службы:

systemctl start firewalld

Общие команды для управления firewalld

Мягко перечитать правила (применить настройки):

Перечитать правила и сбросить текущие подключения:

* в официальной документации сказано, что данную команду стоит применять только в случаях проблем с firewalld.

Посмотреть созданные правила:

systemctl stop firewalld

systemctl start firewalld

systemctl disable firewalld

systemctl enable firewalld

Сохранить текущие правила, сделав их постоянными (permanent):

Управление правилами

Синтаксис

Общий синтаксис для работы с правилами:

firewall-cmd [опции] [зона]

* порядок следования параметров не важен.

Чтобы правила применялись, не забываем их перечитывать:

Добавление портов

* где ключ —permanent — добавить постоянное правило (будет действовать после перезагрузки).

Добавить правило для определенной зоны:

Добавить диапазон портов:

Добавить несколько правил одной командой:

Добавление сервиса

Использование служб, вместо портов, может повысить удобство управления правилами за счет объединения нескольких портов в одну службу.

Посмотреть список доступных служб:

Разрешить порт, например, для сервиса ntp:

Создать собственную службу:

* где name-service — произвольное имя создаваемой службы.

Добавить порт, например TCP 2200 к службе:

Задать описание для удобства:

Информацию о созданном сервисе можно получить командой:

Теперь созданную службу можно использовать для создания правил, например:

Rich-Rule

rich-rule позволяет создавать правила с условиями. Рассмотрим несколько примеров:

1. Разрешаем службу http с условием, что запросы будут с определенных IP-адресов (подсети 192.168.0):

2. Или для конкретного порта:

3. Чтобы заблокировать подсеть можно воспользоваться командой:

Список правил с условиями можно отобразить командой:

Удаление правил

Удалим правило для открытия 80-о порта:

Управление зонами

Все правила в firewalld могут быть разбиты по зонам. Для каждой свой набор правил и свои сетевые интерфейсы. Это нужно использовать, если мы захотим для разных сетевых адаптеров сделать разные по строгости правила.

Посмотреть список всех имеющихся зон:

Посмотреть список используемых зон:

Информация о конкретной зоне:

Создать правило для зоны public:

Добавить сетевой интерфейс в зону:

* сначала нужно удалить адаптер из текущей зоны.

Задать действие по умолчанию для зоны:

Создать новую зону:

* чтобы система увидела новую зону custom_zone, команда reload обязательная.

Пример настройки NAT (шлюза)

* без указания зон, будет включен для public и external.

Для примера берем два ethernet интерфейса — ens32 (внутренний) и ens33 (внешний). Для настройки nat последовательно вводим следующие 4 команды:

* добавляет в таблицу filter (цепочку FORWARD) правило, позволяющее хождение трафика с ens32 на ens33.

* добавляет правило в таблицу filter (цепочку FORWARD), позволяющее хождение трафика с ens33 на ens32 для пакетов, открывающих новый сеанс, который связан с уже открытым другим сеансом (RELATED) и пакетов, которые уже являются частью существующего сеанса (ESTABLISHED).

systemctl restart firewalld

* для того, чтобы сервер CentOS заработал в качестве шлюза, также необходимо настроить ядро. Подробнее в статье Настройка Интернет шлюза на CentOS 7.

Для просмотра созданных данным способом правил используем команду:

Проброс портов

Проброс настраивается со следующим синтаксисом:

* в данном примере мы будем слушать запросы на порту 25 и передодить их на узел 192.168.0.15 и порт 8025.

Запретить или разрешить трафик между интерфейсами

Предположим, у нас есть два внутренних сетевых интерфейса ens35 и ens36. Мы хотим контролировать трафик между ними.

Запретить

Применяется в случаях, когда на сервере включен FORWARD, но необходимо блокировать трафик между определенными сегменами сети.

Вводим следующие команды:

Разрешить

Применяется в случаях, когда интерфейсы находятся в зонах, где по умолчанию, трафик блокируется.

Для разрешения команды, практически, аналогичные:

Разрешить трафик в одном направлении

В предыдущих примерах мы разрешали трафик в обоих направлениях. Если необходимо сделать так, чтобы только сеть ens35 видела сеть ens36, вводим одну команду:

Возможные проблемы при работе с firewalld

1. Ошибка command not found (команда не найдена).

Возможные причины: не установлен пакет или не запущена служба.

Выполняем установку пакета firewalld:

yum install firewalld firewall-config

systemctl start firewalld

2. Не применяются правила.

Причина: не введена команда перезапуска правил.

Если это не помогло, делаем перезапуск со сбросом подключений:

В некоторых случаях, необходимо перезапустить сетевые службы:

systemctl restart network

В исключительных случаях, перезагружаем компьютер:

3. The interface is under control of NetworkManager and already bound to the default zone.

Ошибка появляется при попытке удалить интерфейс из зоны, настройками которого управляет NetworkManager.

Для решения открываем конфигурационный файл для настройки сетевого интерфейса, например:

И дописываем следующее:

* в данном примере сетевой интерфейс ens34 будет добавлен в зону external.

Источник