Как изменить поведение firewalld по умолчанию, чтобы сбросить все установленные соединения при перезагрузке

Maksat Baigazy

19.09.2023, 09:58

У меня есть веб-сервер и службы sshd, работающие и прослушивающие соединения на своих портах. Чего я хочу добиться, так это того, что когда я изменю свою зону с общедоступной на что-то, что запрещает порты 22 или 443, срок действия моих текущих подключений истечет. Прямо сейчас, после запрета этих портов и перезагрузки firewalld, соединения все еще живы.

Я думаю, этого можно добиться, добавив прямое правило, но я не знаю, как должно выглядеть правило и как поставить его поверх.

0 + 0

линукс

iptables

брандмауэр

Рейтинг:0

Server

A.B

21.09.2023, 09:35

От брандмауэр справочная страница:

--перезагрузить

Перезагрузите правила брандмауэра и хранить информацию о состоянии. [...]

--complete-reload

Полностью перезагрузите брандмауэр, даже модули ядра netfilter. Это будет скорее всего обрывают активные соединения, потому что информация о состоянии потерянный. [...]

Так делаю брандмауэр-cmd --полная перезагрузка будет тяжелым методом, который делает свое дело. На самом деле он не должен прерывать установленные TCP-соединения, которые все еще разрешены в новом наборе правил, благодаря net.netfilter.nf_conntrack_tcp_loose = 1 (они должны вернуться через NEW-> ESTABLISHED без потери связи).

Но вместо этого проще просто удалить состояние подключения Netfilter с помощью специального инструмента: коннтрек (требуется установка пакета, обычно называемого коннтрек или же conntrack-инструменты).

коннтрек -F

или делать это выборочно (дополнительные параметры, такие как диапазоны адресов, могут сделать его более избирательным):

conntrack -D -p tcp --dport 443; conntrack -D -p tcp --dport 22

0 + 0

Maksat Baigazy

23.09.2023, 04:47

Большое спасибо, это то, что я действительно сделал, и это сработало как шарм!

Ответить

Admin

Этот вопрос на других языках:

EN: How to change default firewalld behaviour to drop all established connections on reload

TH: วิธีเปลี่ยนพฤติกรรมเริ่มต้นของไฟร์วอลล์เพื่อยกเลิกการเชื่อมต่อที่สร้างไว้ทั้งหมดเมื่อโหลดซ้ำ

RO: Cum se schimbă comportamentul firewalld implicit pentru a elimina toate conexiunile stabilite la reîncărcare

RU: Как изменить поведение firewalld по умолчанию, чтобы сбросить все установленные соединения при перезагрузке

VI: Cách thay đổi hành vi tường lửa mặc định để loại bỏ tất cả các kết nối đã thiết lập khi tải lại

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.