LINUX.ORG.RU
решено ФорумAdmin

Firewalld не дропает адреса из IPset списка

 ,


0

1

Ситуация следующая Имеется CentOS Linux release 7.9.2009 (Core) с установленным firewalld 0.6.3, где был создан ipset список IP адресов и добавлен в зону «drop». Естественно после этого правила firewalld были перегружены и вроде все хорошо, и списки видятся ... Но доступ с адресов из списка не блокируется.

ЧЯДНТ?

# firewall-cmd --get-ipsets
blacklist

# firewall-cmd --ipset=blacklist --get-entries
101.89.91.196
104.196.16.112
104.248.230.168
104.248.235.0
104.248.240.235
105.235.116.254
...

# firewall-cmd --get-active-zones
drop
  sources: ipset:blacklist
public
  interfaces: ens160

# firewall-cmd --list-all --zone=drop
drop (active)
  target: DROP
  icmp-block-inversion: no
  interfaces:
  sources: ipset:blacklist
  services:
  ports:
  protocols:
  masquerade: no
  forward-ports:
  source-ports:
  icmp-blocks:
  rich rules:

Ответ на: комментарий от kto_tama

Да сделано уже так, в первом же посту есть выхлоп drop зоны, этот список в ней присутствует.

pavel_l ()

В конечном итоге пересоздал ipset файл и все за работало. Странно всё это, файлы ничем не отличаются (сравнивал diff), ошибок тоже не было. Ну да ладно

pavel_l ()
Ответ на: комментарий от pavel_l

А не в selinux ли было дело? У него есть такая вещь, как контекст. Если файл был создан в директории пользователя, и потом скопирован в /etc, то к нему остается «прилипшим» пользовательский контекст, и из-за этого selinux может блокировать обращения к этим файлам для системных демонов.

Khnazile ★★★★★ ()
Ответ на: комментарий от Khnazile

selinux тут вряд ли виноват, оба файла создавались средствами firewalld.

pavel_l ()
Для того чтобы оставить комментарий войдите или зарегистрируйтесь.