我需要根据CIS在RHEL7上设置firewalld。
在 3.6.3 确保已配置环回流量(计分) 我需要配置环回接口以接受流量并配置所有其他接口以拒绝流量到环回网络 (127.0.0.0/8 )。
谁能帮帮我。
我目前的配置是:
firewall-cmd --permanent --zone=trusted --add-interface=lo
但它不符合 CIS 要求。
【问题讨论】:
标签: centos7 loopback rhel7 firewalld
CIS 3.6.3 的目的是防止据称来自 127.0.0.1 的欺骗流量进入eth0 等外部接口。
在我的设置中,所有接口默认为“丢弃”区域,因此为了允许环回上的所有合法流量不流向外部接口,我首先将lo绑定到“受信任”区域,如上面的命令:
firewall-cmd --permanent --zone=trusted --add-interface=lo
然后,我向绑定 eth0 的“丢弃”区域添加了一条防火墙丰富的规则,以丢弃任何源地址为 127.0.0.1 但目标地址不是 127.0.0.1 的入站 IPv4 流量.
firewall-cmd --zone=drop --add-rich-rule='rule family=ipv4 source address="127.0.0.1" destination not address="127.0.0.1" drop'
我认为这满足了 CIS 3.6.3 的意图,但请注意,至少在我的设置中,它不满足 CIS RHEL7 基准文档中给出的示例审计脚本。这是因为 CIS 示例审计脚本专门针对 iptables 中 INPUT 链中存在的丢弃规则进行测试,而 firewalld 将我的丰富规则放入名为 IN_drop_deny 的子链中。
【讨论】: