Um die Sicherheit zu stärken, sollten Rechte immer möglichst eng vergeben werden. Das gilt auch für "Löcher" in der Firewall.
Um das unter Red Hat Enterprise Linux, CentOS, AlmaLinux, Rocky Linux, Oracle Linux und ähnlichen Distributionen umzusetzen, kann man recht einfach das firewall-cmd-Kommando verwenden.
Um es leicht verwalten zu können, erzeuge ich erst die neue Zone demo-access. Sie wird als permanente Zone erstellt und daher müssen die Firewall-Regeln neu geladen werden. Danach folgt noch eine kurze Kontrolle:
firewall-cmd --new-zone=demo-access --permanent
success
firewall-cmd --reload
success
firewall-cmd --get-zones
block dmz drop external home demo-access internal libvirt nm-shared public trusted workAls nächstes definiere ich die Quell-IP-Adresse oder den Quell-IP-Adressen-Bereich:
firewall-cmd --zone=demo-access --add-source=192.168.0.0/22 --permanent
successDann lege ich den Dienst (--add-service) oder Port (--add-port) fest, um den es geht:
firewall-cmd --zone=demo-access --add-port=9999/tcp --permanent
successSchließlich lade ich die Fireware-Regeln noch einmal neu und kontrolliere die neue Zone:
firewall-cmd --reload
success
firewall-cmd --zone=demo-access --list-all
demo-access (active)
target: default
icmp-block-inversion: no
interfaces:
sources: 192.168.0.0/22
services:
ports: 9999/tcp
protocols:
forward: no
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
