Firewall-Cmd blockiert Snmp

Question

Firewall-Cmd blockiert Snmp

403

Rima 2018-07-11 в 15:03

Ich habe ein System geerbt, das Regeln mit Firewall-Cmd implementiert hat. Es hat die folgenden Regeln. Ein anderes System versucht, eine Verbindung zum SNMP-Port (UDP / 161) herzustellen, ist jedoch nicht in der Lage (mein Server antwortet mit dem ICMP-Host, der administrativ untersagt ist). Wenn ich die Regel "reject-with icmp-host -anned" mit dem Befehl iptables von INPUT- und FORWARD-Ketten entferne, funktioniert das einwandfrei.

Wie kann ich diese Regel mithilfe von Firewall-cmd entfernen? oder besser, wie kann ich den Datenverkehr für UDP / 161 zulassen?

[root@host]# firewall-cmd --direct --get-all-rules ipv4 filter INPUT_direct 2 -p tcp --dport 10000 -m limit --limit 50/second --limit-burst 1 -j ACCEPT ipv4 filter INPUT_direct 2 -p tcp --dport 10020 -m limit --limit 50/second --limit-burst 1 -j ACCEPT ipv4 filter INPUT_direct 2 -p tcp --dport 11000 -m limit --limit 50/second --limit-burst 1 -j ACCEPT ipv4 filter INPUT_direct 2 -p tcp --dport 11020 -m limit --limit 50/second --limit-burst 1 -j ACCEPT ipv4 filter INPUT_direct 2 -p udp --dport 161 -j ACCEPT ipv4 filter OUTPUT 3 -j DROP ipv4 filter OUTPUT 0 -p icmp -j ACCEPT ipv4 filter OUTPUT 0 -p tcp -m multiport --dport=53,22,80,443 -j ACCEPT ipv4 filter OUTPUT 1 -p tcp -m multiport --sport=53,22,80,443 -j ACCEPT ipv4 filter OUTPUT 0 -p tcp -m multiport --dport=1024:65535 -j ACCEPT ipv4 filter OUTPUT 1 -p tcp -m multiport --sport=1024:65535 -j ACCEPT ipv4 filter OUTPUT 0 -p udp -m multiport --dport=1024:65535 -j ACCEPT ipv4 filter OUTPUT 1 -p udp -m multiport --sport=1024:65535 -j ACCEPT ipv4 filter OUTPUT 0 -p udp --dport=161 -j ACCEPT ipv4 filter OUTPUT 1 -p udp --sport=161 -j ACCEPT ipv4 filter OUTPUT 0 -p udp --dport=162 -j ACCEPT ipv4 filter OUTPUT 1 -p udp --sport=162 -j ACCEPT ipv4 filter OUTPUT 0 -p udp --dport=705 -j ACCEPT ipv4 filter OUTPUT 1 -p udp --sport=705 -j ACCEPT ipv4 filter INPUT 0 -m pkttype --pkt-type multicast -i ens224 -j ACCEPT ipv4 filter INPUT 1 -p udp -m udp -i ens224 -j ACCEPT ipv4 nat PREROUTING 0 -p tcp --destination 172.16.187.39 --dport 10700 -j DNAT --to 172.16.187.7:10700 ipv4 filter FORWARD_direct 2 -p udp --dport 161 -j ACCEPT

es wird in die folgenden iptables-Regeln übersetzt:

[root@host]# iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination  ACCEPT all -- anywhere anywhere ctstate RELATED,ESTABLISHED ACCEPT all -- anywhere anywhere  INPUT_direct all -- anywhere anywhere  INPUT_ZONES_SOURCE all -- anywhere anywhere  INPUT_ZONES all -- anywhere anywhere  DROP all -- anywhere anywhere ctstate INVALID REJECT all -- anywhere anywhere reject-with icmp-host-prohibited  Chain FORWARD (policy ACCEPT) target prot opt source destination  ACCEPT all -- anywhere anywhere ctstate RELATED,ESTABLISHED ACCEPT all -- anywhere anywhere  FORWARD_direct all -- anywhere anywhere  FORWARD_IN_ZONES_SOURCE all -- anywhere anywhere  FORWARD_IN_ZONES all -- anywhere anywhere  FORWARD_OUT_ZONES_SOURCE all -- anywhere anywhere  FORWARD_OUT_ZONES all -- anywhere anywhere  DROP all -- anywhere anywhere ctstate INVALID REJECT all -- anywhere anywhere reject-with icmp-host-prohibited  Chain OUTPUT (policy ACCEPT) target prot opt source destination  OUTPUT_direct all -- anywhere anywhere   Chain FORWARD_IN_ZONES (1 references) target prot opt source destination  FWDI_ledefaultzone all -- anywhere anywhere [goto]  FWDI_ledefaultzone all -- anywhere anywhere [goto]  FWDI_ledefaultzone all -- anywhere anywhere [goto]   Chain FORWARD_IN_ZONES_SOURCE (1 references) target prot opt source destination   Chain FORWARD_OUT_ZONES (1 references) target prot opt source destination  FWDO_ledefaultzone all -- anywhere anywhere [goto]  FWDO_ledefaultzone all -- anywhere anywhere [goto]  FWDO_ledefaultzone all -- anywhere anywhere [goto]   Chain FORWARD_OUT_ZONES_SOURCE (1 references) target prot opt source destination   Chain FORWARD_direct (1 references) target prot opt source destination  ACCEPT udp -- anywhere anywhere udp dpt:snmp  Chain FWDI_ledefaultzone (3 references) target prot opt source destination  FWDI_ledefaultzone_log all -- anywhere anywhere  FWDI_ledefaultzone_deny all -- anywhere anywhere  FWDI_ledefaultzone_allow all -- anywhere anywhere  ACCEPT icmp -- anywhere anywhere   Chain FWDI_ledefaultzone_allow (1 references) target prot opt source destination   Chain FWDI_ledefaultzone_deny (1 references) target prot opt source destination   Chain FWDI_ledefaultzone_log (1 references) target prot opt source destination   Chain FWDO_ledefaultzone (3 references) target prot opt source destination  FWDO_ledefaultzone_log all -- anywhere anywhere  FWDO_ledefaultzone_deny all -- anywhere anywhere  FWDO_ledefaultzone_allow all -- anywhere anywhere   Chain FWDO_ledefaultzone_allow (1 references) target prot opt source destination   Chain FWDO_ledefaultzone_deny (1 references) target prot opt source destination   Chain FWDO_ledefaultzone_log (1 references) target prot opt source destination   Chain INPUT_ZONES (1 references) target prot opt source destination  IN_ledefaultzone all -- anywhere anywhere [goto]  IN_ledefaultzone all -- anywhere anywhere [goto]  IN_ledefaultzone all -- anywhere anywhere [goto]   Chain INPUT_ZONES_SOURCE (1 references) target prot opt source destination   Chain INPUT_direct (1 references) target prot opt source destination  ACCEPT tcp -- anywhere anywhere tcp dpt:ndmp limit: avg 50/sec burst 1 ACCEPT tcp -- anywhere anywhere tcp dpt:10020 limit: avg 50/sec burst 1 ACCEPT tcp -- anywhere anywhere tcp dpt:irisa limit: avg 50/sec burst 1 ACCEPT tcp -- anywhere anywhere tcp dpt:11020 limit: avg 50/sec burst 1 ACCEPT udp -- anywhere anywhere udp dpt:snmp ACCEPT all -- anywhere anywhere PKTTYPE = multicast ACCEPT udp -- anywhere anywhere udp  Chain IN_ledefaultzone (3 references) target prot opt source destination  IN_ledefaultzone_log all -- anywhere anywhere  IN_ledefaultzone_deny all -- anywhere anywhere  IN_ledefaultzone_allow all -- anywhere anywhere  ACCEPT icmp -- anywhere anywhere   Chain IN_ledefaultzone_allow (1 references) target prot opt source destination  ACCEPT tcp -- anywhere anywhere tcp dpt:20701 ctstate NEW ACCEPT tcp -- anywhere anywhere tcp dpt:33000 ctstate NEW ACCEPT tcp -- anywhere anywhere tcp dpt:7199 ctstate NEW ACCEPT tcp -- anywhere anywhere tcp dpt:yo-main ctstate NEW ACCEPT tcp -- anywhere anywhere tcp dpt:33003 ctstate NEW ACCEPT tcp -- anywhere anywhere tcp dpt:10742 ctstate NEW ACCEPT tcp -- anywhere anywhere tcp dpt:33005 ctstate NEW ACCEPT tcp -- anywhere anywhere tcp dpt:rmiregistry ctstate NEW ACCEPT tcp -- anywhere anywhere tcp dpt:10701 ctstate NEW ACCEPT tcp -- anywhere anywhere tcp dpt:33002 ctstate NEW ACCEPT tcp -- anywhere anywhere tcp dpt:11443 ctstate NEW ACCEPT tcp -- anywhere anywhere tcp dpt:ssh ctstate NEW ACCEPT tcp -- anywhere anywhere tcp dpt:20601 ctstate NEW ACCEPT tcp -- anywhere anywhere tcp dpt:33004 ctstate NEW ACCEPT udp -- anywhere anywhere udp dpt:ntp ctstate NEW ACCEPT tcp -- anywhere anywhere tcp dpt:10700 ctstate NEW ACCEPT tcp -- anywhere anywhere tcp dpt:33006 ctstate NEW ACCEPT tcp -- anywhere anywhere tcp dpt:10760 ctstate NEW ACCEPT tcp -- anywhere anywhere tcp dpt:blocks ctstate NEW ACCEPT tcp -- anywhere anywhere tcp dpt:20700 ctstate NEW ACCEPT tcp -- anywhere anywhere tcp dpt:33001 ctstate NEW ACCEPT tcp -- anywhere anywhere tcp dpt:amanda ctstate NEW ACCEPT tcp -- anywhere anywhere tcp dpt:23232 ctstate NEW ACCEPT tcp -- anywhere anywhere tcp dpt:10388 ctstate NEW ACCEPT tcp -- anywhere anywhere tcp dpt:20600 ctstate NEW ACCEPT tcp -- anywhere anywhere tcp dpt:10181 ctstate NEW  Chain IN_ledefaultzone_deny (1 references) target prot opt source destination   Chain IN_ledefaultzone_log (1 references) target prot opt source destination   Chain OUTPUT_direct (1 references) target prot opt source destination  ACCEPT icmp -- anywhere anywhere  ACCEPT tcp -- anywhere anywhere multiport dports domain,ssh,http,https ACCEPT tcp -- anywhere anywhere multiport dports 1024:65535 ACCEPT udp -- anywhere anywhere multiport dports 1024:65535 ACCEPT udp -- anywhere anywhere udp dpt:snmp ACCEPT udp -- anywhere anywhere udp dpt:snmptrap ACCEPT udp -- anywhere anywhere udp dpt:agentx ACCEPT tcp -- anywhere anywhere multiport sports domain,ssh,http,https ACCEPT tcp -- anywhere anywhere multiport sports 1024:65535 ACCEPT udp -- anywhere anywhere multiport sports 1024:65535 ACCEPT udp -- anywhere anywhere udp spt:snmp ACCEPT udp -- anywhere anywhere udp spt:snmptrap ACCEPT udp -- anywhere anywhere udp spt:agentx DROP all -- anywhere anywhere

1

Versuchen Sie Folgendes .... `firewall-cmd --permanent --zone = public --add-port = 161 / udp`, dann` firewall-cmd --reload 'und dann `firewall-cmd --list-ports `.... Sie sollten auch in der Lage sein,` netstat -ano` zu verwenden, um zu bestätigen, dass der Port möglicherweise zuhört. Pimp Juice IT vor 5 Jahren 0

Danke der Befehl löste mein Problem, musste nur Zone 'public' durch die aktive Zone ersetzen. Bitte füge deinen Kommentar als Antwort hinzu und ich akzeptiere ihn Rima vor 5 Jahren 0

Wie gewünscht, habe ich, wie üblich, eine ausführlichere Antwort hinzugefügt. Ich bin froh, Ihnen helfen zu können, das Problem zu beheben. Pimp Juice IT vor 5 Jahren 0

1 Antwort auf die Frage

2

Accepted Answer · 2018-07-14 00:57:15

Sie können das CLI -Clienttool firewall-cmd verwenden, um eine permanente Regel hinzuzufügen und den bestimmten UDP-Port über den Firewalldämon für die entsprechende Zone zuzulassen .

1. Holen Sie sich die Active Interface Zone (s)
--get-active-zones 
2. Zulassen des UDP-Port-Datenverkehrs
firewall-cmd --permanent --zone=<zone> --add-port=161/udp firewall-cmd --reload 
Hinweis: Der <zone>Wert ist der Wert, der für den Befehl Nr. 1 benötigt wird.

3. Bestätigen
firewall-cmd --list-ports 

Weitere Ressourcen

firewall-cmd
```
--get-active-zones 
```
Drucken Sie derzeit aktive Zonen insgesamt mit Schnittstellen und Quellen, die in diesen Zonen verwendet werden. Aktive Zonen sind Zonen, die an eine Schnittstelle oder Quelle gebunden sind. Das Ausgabeformat ist:
```
--permanent 
```
Mit der permanenten Option --permanent können Optionen dauerhaft gesetzt werden. Diese Änderungen sind nicht sofort wirksam, nur nach Neustart / Neustart des Dienstes oder Neustart des Systems. Ohne die Option --permanent ist eine Änderung nur Teil der Laufzeitkonfiguration.

Wenn Sie die Laufzeit und die permanente Konfiguration ändern möchten, verwenden Sie denselben Aufruf mit und ohne die Option --permanent.

Die Option --permanent kann optional zu allen Optionen weiter unten hinzugefügt werden, wo sie unterstützt werden.
```
[--permanent] [--zone=zone] --add-port=portid[-portid]/protocol [--timeout=timeval] 
```
Fügen Sie den Port für Zone hinzu. Wenn die Zone weggelassen wird, wird die Standardzone verwendet. Diese Option kann mehrfach angegeben werden. Wenn ein Timeout angegeben wird, ist die Regel für die angegebene Zeit aktiv und wird danach automatisch entfernt. timeval ist entweder eine Anzahl (von Sekunden) oder eine Zahl, gefolgt von einem der Zeichen s (Sekunden), m (Minuten), h (Stunden), zum Beispiel 20m oder 1h.

Der Port kann entweder eine einzelne Portnummer oder ein Portbereich portid-portid sein. Das Protokoll kann entweder tcp, udp, sctp oder dccp sein.

Firewall-Cmd blockiert Snmp

1 Antwort auf die Frage

1. Holen Sie sich die Active Interface Zone (s)

2. Zulassen des UDP-Port-Datenverkehrs

3. Bestätigen

Weitere Ressourcen

Verwandte Probleme