Red Hat Summit5.15.3. rich Rule 명령 옵션 이해
제품군- 규칙 제품군(
ipv4또는ipv6)이 제공되는 경우 규칙을 각각IPv4또는IPv6로 제한합니다. 규칙 제품군이 제공되지 않으면IPv4및IPv6모두에 대한 규칙이 추가됩니다. 규칙에서 소스 또는 대상 주소를 사용하는 경우 규칙 제품군을 제공해야 합니다. 이는 포트 전달의 경우에도 마찬가지입니다.
소스 및 대상 주소
소스- 소스 주소를 지정하면 연결 시도의 원본을 소스 주소로 제한할 수 있습니다.By specifying the source address, the origin of a connection attempt can be limited to the source address. 소스 주소 또는 주소 범위는
IPv4또는IPv6용 마스크가 있는 IP 주소 또는 네트워크 IP 주소입니다.IPv4의 경우 마스크는 네트워크 마스크 또는 일반 번호일 수 있습니다.IPv6의 경우 마스크는 일반 번호입니다. 호스트 이름 사용은 지원되지 않습니다.NOT키워드를 추가하여 소스 주소 명령의 감각을 반전할 수 있습니다. 제공된 주소는 모두 일치합니다.규칙에 대해 지정되지 않은 경우 MAC 주소 및 유형의 IP 세트도IPv4및IPv6에 대해 추가할 수 있습니다.다른 IP 세트는 규칙의제품군설정과 일치해야 합니다. 대상- 대상 주소를 지정하면 대상을 대상 주소로 제한할 수 있습니다. 대상 주소는 IP 주소 또는 주소 범위의 소스 주소와 동일한 구문을 사용합니다. 소스 및 대상 주소 사용은 선택 사항이며 모든 요소에서 대상 주소를 사용할 수 없습니다. 이는 대상 주소 사용에 따라 달라집니다(예: 서비스 항목에서).
대상과조치를결합할 수 있습니다.
elements
요소는
서비스, 포트 ,프로토콜,masquerade,icmp-block,forward-port , source-port 등 요소 유형 중 하나일 수 있습니다.
serviceservice요소는 firewalld 제공 서비스 중 하나입니다. 사전 정의된 서비스 목록을 가져오려면 다음 명령을 입력합니다.서비스에서 대상 주소를 제공하는 경우 규칙의 대상 주소와 충돌하여 오류가 발생합니다. 내부적으로 대상 주소를 사용하는 서비스는 대부분 멀티 캐스트를 사용하는 서비스입니다. 명령은 다음 형식을 사용합니다.firewall-cmd --get-services
~]$ firewall-cmd --get-servicesCopy to Clipboard Copied! Toggle word wrap Toggle overflow service name=service_name
service name=service_nameCopy to Clipboard Copied! Toggle word wrap Toggle overflow port포트요소는 단일 포트 번호 또는 포트 범위 (예:5060-5062) 중 하나이거나 프로토콜을tcp또는udp일 수 있습니다. 명령은 다음 형식을 사용합니다.port port=number_or_range protocol=protocol
port port=number_or_range protocol=protocolCopy to Clipboard Copied! Toggle word wrap Toggle overflow 프로토콜protocol값은 프로토콜 ID 번호 또는 프로토콜 이름일 수 있습니다. 허용된프로토콜항목에 대해서는/etc/protocols를 참조하십시오. 명령은 다음 형식을 사용합니다.protocol value=protocol_name_or_ID
protocol value=protocol_name_or_IDCopy to Clipboard Copied! Toggle word wrap Toggle overflow icmp-block- 하나 이상의
ICMP유형을 차단하려면 이 명령을 사용합니다.ICMP유형은 firewalld 가 지원하는ICMP유형 중 하나입니다. 지원되는ICMP유형 목록을 가져오려면 다음 명령을 입력합니다.여기서 작업을 지정하는 것은 허용되지 않습니다. icmp-block 은 내부적으로firewall-cmd --get-icmptypes
~]$ firewall-cmd --get-icmptypesCopy to Clipboard Copied! Toggle word wrap Toggle overflow 거부되는작업을 사용합니다. 명령은 다음 형식을 사용합니다.icmp-block name=icmptype_name
icmp-block name=icmptype_nameCopy to Clipboard Copied! Toggle word wrap Toggle overflow masquerade- 규칙에서 IP 마스커레이딩을 켭니다. 이 영역으로 마스커레이딩을 제한하기 위해 소스 주소를 제공할 수 있지만 대상 주소는 제공할 수 없습니다. 여기서 작업을 지정할 수 없습니다.
forward-porttcp또는udp로 지정된 프로토콜을 사용하여 로컬 포트에서 로컬 포트, 다른 시스템 또는 다른 시스템의 다른 포트로 패킷을 전달합니다.포트 및 포트는 단일 포트번호 또는 포트 범위일 수 있습니다. 대상 주소는 간단한 IP 주소입니다. 여기서 작업을 지정할 수 없습니다. forward-port 명령은 내부적으로수락하는작업을 사용합니다. 명령은 다음 형식을 사용합니다.forward-port port=number_or_range protocol=protocol / to-port=number_or_range to-addr=addressforward-port port=number_or_range protocol=protocol / to-port=number_or_range to-addr=addressCopy to Clipboard Copied! Toggle word wrap Toggle overflow source-port- 패킷의 소스 포트, 즉 연결 시도의 시작에 사용되는 포트와 일치합니다. 현재 머신의 포트를 일치시키려면
port요소를 사용합니다.소스 포트요소는 단일 포트 번호 또는 포트 범위 (예: 5060-5062) 및 프로토콜을tcp또는udp일 수 있습니다. 명령은 다음 형식을 사용합니다.source-port port=number_or_range protocol=protocol
source-port port=number_or_range protocol=protocolCopy to Clipboard Copied! Toggle word wrap Toggle overflow
로깅
log- syslog에서 커널 로깅을 사용하여 규칙을 새 연결 시도를 기록합니다. 로그 메시지에 접두사로 추가할 접두사 텍스트를 정의할 수 있습니다. 로그 수준은
emerg,alert,crit,error,warning,notice,info,debug중 하나일 수 있습니다. 로그 사용은 선택 사항입니다. 다음과 같이 로깅을 제한할 수 있습니다.이 비율은log [prefix=prefix text] [level=log level] limit value=rate/duration
log [prefix=prefix text] [level=log level] limit value=rate/durationCopy to Clipboard Copied! Toggle word wrap Toggle overflow s,m,h,d를 가진 자연 양의 양의 수 [1, ..]입니다.smeans seconds,mminutes,hmeans hours,ddays. 최대 제한 값은1/d이며, 이는 하루에 최대 1개의 로그 항목을 의미합니다. audit- audit은 service
auditd로 전송된 감사 레코드를 사용하여 로깅하는 다른 방법을 제공합니다. 감사 유형은ACCEPT,REJECT또는DROP중 하나일 수 있지만, 감사 유형이 규칙 작업에서 자동으로 수집되므로 명령 감사 후에는 지정하지 않습니다. 감사에는 자체 매개 변수가 없지만 필요에 따라 제한을 추가할 수 있습니다. audit을 사용하는 것은 선택 사항입니다.
동작
accept|reject|drop|mark- 작업은
수락,거부,삭제또는표시중 하나일 수 있습니다. 규칙에는 요소 또는 소스만 포함할 수 있습니다. 규칙에 요소가 포함된 경우 요소와 일치하는 새 연결이 작업과 함께 처리됩니다. 규칙에 소스가 포함된 경우 지정된 작업을 사용하여 소스 주소의 모든 내용이 처리됩니다.accept | reject [type=reject type] | drop | mark set="mark[/mask]"
accept | reject [type=reject typetype=reject type] | drop | mark set="mark[/mask/mask]"Copy to Clipboard Copied! Toggle word wrap Toggle overflow accept를 사용하면 모든 새 연결 시도가 부여됩니다.거부된 경우 해당 소스가 거부된 메시지를 받게 됩니다. 거부 유형은 다른 값을 사용하도록 설정할 수 있습니다.드롭 다운을 사용하면 모든 패킷이 즉시 삭제되고 정보가 소스로 전송되지 않습니다.마크를 모두 지정하면 모든 패킷이 지정된 마크 와 선택적 마스크 로 표시됩니다.
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}