Некоторые команды и пояснения
Содержание
Некоторые команды и пояснения#
Роль ansible для FirewallD#
Здесь: Роль для FirewallD
Проверка статуса#
Краткие пояснения#
Все элементы sf- — “наши”, кастомные для Фабрики Сайтов, их
смотрим в /etc/firewalld/{ipsets,services,zones}.
Есть консольные команды, но я их не помню, мне проще посмотреть файлы.
Элементы без sf- в названии — стандартные, их файлы в
/usr/lib/firewalld/, например:
cat /usr/lib/firewalld/services/mysql.xml
Список используемых зон#
sudo firewall-cmd --get-active-zones
sf-drop
interfaces: ens192
sf-ssh
sources: ipset:sf-allow-ssh-ips ipset:sf-allow-ssh-nets
sf-zabbix
sources: ipset:sf-zabbix-server-ips
Информация об одной из зон#
sudo firewall-cmd --list-all --zone sf-zabbix
sf-zabbix (active)
target: DROP
icmp-block-inversion: no
interfaces:
sources: ipset:sf-zabbix-server-ips
services: sf-zabbix-agent
ports:
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
Информация о списке IP адресов (ipset)#
Используя firewall-cmd:
sudo firewall-cmd --info-ipset sf-zabbix-server-ips
sf-zabbix-server-ips
type: hash:ip
options:
entries: 10.4.255.138
Используя ipset:
sudo ipset list sf-zabbix-server-ips
Name: sf-zabbix-server-ips
Type: hash:ip
Revision: 4
Header: family inet hashsize 1024 maxelem 65536
Size in memory: 168
References: 0
Number of entries: 1
Members:
10.4.255.138
nft list ruleset#
Ещё полезно:
sudo nft list ruleset
Тут все правила nftables, не только от FirewallD, но и, например, от докера.
Проверка наличия таблиц докера#
sudo nft list chain ip filter DOCKER
table ip filter {
chain DOCKER {
iifname != "docker_gwbridge" oifname "docker_gwbridge"
meta l4proto tcp ip daddr 172.18.0.3 tcp dport 9001
counter packets 0 bytes 0 accept
}
}
sudo nft list chains | grep DOCKER
chain DOCKER {
chain DOCKER-ISOLATION-STAGE-1 {
chain DOCKER-ISOLATION-STAGE-2 {
chain DOCKER-USER {
chain DOCKER-INGRESS {
chain DOCKER {
chain DOCKER-INGRESS {