Я исследовал здесь и погуглил много вещей, но я не могу получить ответ на вопрос о блокировке UPnP. Одно из наших сканирований безопасности объявляет UPnP уязвимостью и ограничивает доступ. Я пытался придумать набор правил брандмауэра, которые предотвратят доступ к порту 5000 для всех, кроме нескольких IP-адресов.
Я следил за этой [статьей] [1], но я не думаю, что она завершена. Зона, которую я создал, выглядит так:
индексатор (активный)
цель: по умолчанию
icmp-инверсия блока: нет
интерфейсы:
источники: 10.x.x.1 10.x.x.2 10.x.x.3 10.x.x.4 10.x.x.5 10.x.x.6
Сервисы:
порты: 5000/tcp 5000/udp
протоколы:
маскарад: нет
форвард-порты:
исходные порты:
icmp-блоки:
богатые правила:
Однако это не кажется правильным. Во-первых, поскольку интерфейс не находится в этой зоне, он общедоступен:
публичный (активный)
цель: по умолчанию
icmp-инверсия блока: нет
интерфейсы: ens192
источники:
службы: dhcpv6-клиент ssh
порты:
протоколы:
маскарад: нет
форвард-порты:
исходные порты:
icmp-блоки: отметка времени-ответ отметка времени-запрос
богатые правила:
правило family="ipv4" порт port="1900" протокол="tcp" отклонить
Я знаю, что мне придется добавить ssh в зону индексатора, а затем переместить интерфейс в зону индексатора. Однако я до сих пор не знаю, сработает ли это, потому что я не знаю, что заблокирует доступ остальных IP-адресов к этим портам.
[1]: https://www.tecmint.com/open-port-for-specific-ip-address-in-firewalld/
