web-dev-qa-db-fra.com

Le pare-feu de Fedora-CMD affiche plus de services disponibles que configurés

Alors oui, configurez le pare-feu de Fedora 20. Essayé de limiter le trafic entrant sur uniquement HTTP, HTTPS et SSH. Cependant, la machine répond toujours à Pings, et la commande --get-Service montre une liste de blanchisserie de choses que je n'utilise pas.

Pourquoi la déconnexion?

La commande-service-service est-elle précise, ou la commande -List-Services est-elle exacte?

Si ce dernier, pourquoi ping passe-t-il?

[root@build-node httpd]# firewall-cmd --get-service
amanda-client bacula bacula-client dhcp dhcpv6 dhcpv6-client dns ftp high-availability http https imaps ipp ipp-client ipsec kerberos kpasswd ldap ldaps libvirt libvirt-tls mdns mountd ms-wbt mysql nfs ntp openvpn pmcd pmproxy pmwebapi pmwebapis pop3s postgresql proxy-dhcp radius rpc-bind samba samba-client smtp ssh telnet tftp tftp-client transmission-client vnc-server wbem-https
[root@build-node httpd]# firewall-cmd --get-active-zone
public
  interfaces: eth0 eth1 eth2
[root@build-node httpd]# firewall-cmd --zone=public --list-services
http https ssh

De plus, des extraits d'iptables -l -n.

Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
INPUT_direct  all  --  0.0.0.0/0            0.0.0.0/0
INPUT_ZONES_SOURCE  all  --  0.0.0.0/0            0.0.0.0/0
INPUT_ZONES  all  --  0.0.0.0/0            0.0.0.0/0
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-Host-prohibited

Chain INPUT_ZONES (1 references)
target     prot opt source               destination
IN_public  all  --  0.0.0.0/0            0.0.0.0/0           [goto]
IN_public  all  --  0.0.0.0/0            0.0.0.0/0           [goto]
IN_public  all  --  0.0.0.0/0            0.0.0.0/0           [goto]
IN_public  all  --  0.0.0.0/0            0.0.0.0/0           [goto]

Chain IN_public_allow (1 references)
target     prot opt source               destination
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:80 ctstate NEW
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:443 ctstate NEW
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:22 ctstate NEW
fedorafedora-20firewalld
3
user2700751

--get-service Affiche tous les services que le pare-feu est au courant, et non ceux que vous avez ouvert des ports pour.

--list-services montre ceux que vous avez ouvert des ports pour.

Vous pouvez voir dans la liste iptables Liste que seuls les ports 22, 80 et 443 sont ouverts, ce que vous avez dit voulu.

Enfin, à propos de Pings: Tout ICMP est autorisé par défaut avec le pare-feu (car il s'agit généralement d'une mauvaise idée de le bloquer à moins que vous soyez vraiment savoir ce que vous faites). Si vous voulez vraiment "bloquer des pings", vous devez le faire explicitement. Vous pouvez utiliser --get-icmptypes Pour voir la liste des types ICMP que le pare-feu connaît et --add-icmp-block bloquer l'un d'entre eux. Assurez-vous que vous êtes sur la console de la machine au cas où vous vous fermez.

5
Michael Hampton