1.13. 使用 firewalld 设置和控制 IP 集
IP 集是一种 RHEL 功能,将 IP 地址和网络分组成集合,以实现更灵活、有效的防火墙规则管理。
例如,当您需要时,IP 集合在以下场景中很有价值:
- 处理大量 IP 地址列表
- 对大量 IP 地址列表实施动态更新
- 创建基于 IP 的自定义策略,以增强网络安全性和控制
红帽建议使用 firewall-cmd
命令来创建和管理 IP 集合。
1.13.1. 配置动态更新,以允许 IP 集合列表
您可以进行几乎实时更新,来灵活地允许 IP 集合中的特定 IP 地址或范围,即使在无法预计的情况下也是如此。这些更新可由各种事件触发,如安全威胁的检测或网络行为的更改。通常,此类解决方案利用自动化来减少手动工作,并通过快速响应情况来提高安全性。
先决条件
-
firewalld
服务在运行。
流程
创建一个带有有意义名称的 IP 集合:
# firewall-cmd --permanent --new-ipset=allowlist --type=hash:ip
名为
allowlist
的新 IP 集合包含您希望防火墙允许的 IP 地址。向 IP 集合添加动态更新:
# firewall-cmd --permanent --ipset=allowlist --add-entry=198.51.100.10
此配置使用新添加的 IP 地址更新
allowlist
IP 集合,防火墙允许其传输网络流量。创建一个引用之前创建的 IP 集合的防火墙规则:
# firewall-cmd --permanent --zone=public --add-source=ipset:allowlist
如果没有此规则,IP 集合对网络流量没有任何影响。默认防火墙策略将优先。
重新载入防火墙配置以应用更改:
# firewall-cmd --reload
验证
列出所有 IP 集合:
# firewall-cmd --get-ipsets allowlist
列出活跃的规则:
# firewall-cmd --list-all public (active) target: default icmp-block-inversion: no interfaces: enp0s1 sources: ipset:allowlist services: cockpit dhcpv6-client ssh ports: protocols: ...
命令行输出的
sources
部分对允许或拒绝哪些流量源(主机名、接口、IP 集、子网等)访问特定的防火墙区域提供见解。在这种情况下,包含在allowlist
IP 集合中的 IP 地址被允许通过防火墙为public
区域传输流量。探索 IP 集合的内容:
# cat /etc/firewalld/ipsets/allowlist.xml <?xml version="1.0" encoding="utf-8"?> <ipset type="hash:ip"> <entry>198.51.100.10</entry> </ipset>
后续步骤
-
使用脚本或安全工具来获取您的威胁情报源,并以自动化方式相应地更新
allowlist
。
其他资源
-
firewall-cmd (1)
手册页