Linux

使用 firewalld 阻止 RHEL7/CentOS7 上的傳出連接?

  • January 20, 2020

RHEL7/CentOS7 具有一個新的firewalld防火牆服務,它取代了iptables service(兩者都使用iptables工具與下面的核心的 Netfilter 互動)。

firewalld可以很容易地調整以阻止傳入流量,但正如 Thomas Woerner 1.5 年前所指出的那樣,“目前,使用 firewalld 以簡單的方式限制傳出流量是不可能的”。據我所知,從那時起情況就沒有改變。或者有嗎?有沒有辦法阻止傳出流量firewalldiptables如果沒有,除了通過工具手動添加規則之外,是否有任何其他“標準”方式(在 RHEL7 發行版上)阻止傳出流量?

我在那個漂亮的 GUI 中沒有找到任何選項,但可以通過直接界面

要僅啟用傳出埠 80:

firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 0 -p tcp -m tcp --dport=80 -j ACCEPT
firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 1 -j DROP

這會將其添加到永久規則,而不是執行時規則。

您將需要重新載入永久規則,以便它們成為執行時規則。

firewall-cmd --reload

顯示永久規則

firewall-cmd --permanent --direct --get-all-rules

顯示執行時規則

firewall-cmd --direct --get-all-rules

引用自:https://serverfault.com/questions/618164