目录
2、通过icmp-block-inversion实现禁ping
Firewalld禁ping配置,可以通过多种方式实现,这里介绍三种方法:
1、rich rule禁ping
通过rich rule实现禁ping,是我们最容易想到,且效果也符合要求的方案。但是,如果在此基础上还需要配置白名单,允许某些源地址可以Ping通该服务器,将无法实现!
rich rule会完全封堵icmp包,不再允许白名单设置:即便有下面的“允许192.168.188.30”也不会放行;这是跟rich rule的匹配优先级策略有关!
firewall-cmd --permanent --add-rich-rule='rule protocol value=icmp drop'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address="192.168.188.30" accept'
rich rule的匹配优先级策略
日志规则始终在拒绝规则之前发生。 拒绝规则总是发生在允许规则之前。因此firewalld的rich规则匹配顺序如下:
> 日志规则
> drop/reject规则
> accept规则更多rich rule相关用法,执行man firewalld.richlanguage查阅帮助文档。
2、通过'icmp-block-inversion'实现禁ping
该方式其实就是如下一条iptables策略(并不是-j drop):
-A IN_public -p icmp -j REJECT --reject-with icmp-host-prohibited
当ping目的服务器时,会收到“Destination host 192.168.xx.xx administratively prohibited”响应!
这和我们想要的(直接drop)有些出入,但是,我们可以设置白名单策略!
# 禁止所有源ping
firewall-cmd --permanent --add-icmp-block-inversion
# 允许192.168.188.30 ping
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address="192.168.188.30" icmp-type name="echo-request" accept'
3、通过icmp-block实现禁ping
icmp-block-inversion默认为no,即黑名单模式:默认放行,允许处理所有的icmp type。只有添加到黑名单的icmp type被禁止响应:通过下面的命令禁止echo-request:
该方式同样是禁止所有源地址ping,无法添加例外!
firewall-cmd --permanent --add-rich-rule='rule protocol value=icmp drop'