Fedora的防火墙-cmd显示了比配置更多的可用服务

Question

所以是的，配置Fedora 20's防火墙-cmd。试图将入站流量限制为仅限于http、https和ssh。然而，机器仍然对pings做出响应，--获取服务命令显示了我不使用的东西的洗衣清单。

为什么断线？

获取服务命令是准确的，还是-列表服务命令准确？

如果是后者，为什么平要通过呢？

[root@build-node httpd]# firewall-cmd --get-service
amanda-client bacula bacula-client dhcp dhcpv6 dhcpv6-client dns ftp high-availability http https imaps ipp ipp-client ipsec kerberos kpasswd ldap ldaps libvirt libvirt-tls mdns mountd ms-wbt mysql nfs ntp openvpn pmcd pmproxy pmwebapi pmwebapis pop3s postgresql proxy-dhcp radius rpc-bind samba samba-client smtp ssh telnet tftp tftp-client transmission-client vnc-server wbem-https
[root@build-node httpd]# firewall-cmd --get-active-zone
public
  interfaces: eth0 eth1 eth2
[root@build-node httpd]# firewall-cmd --zone=public --list-services
http https ssh

此外，摘录自iptables -L -n。

Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
INPUT_direct  all  --  0.0.0.0/0            0.0.0.0/0
INPUT_ZONES_SOURCE  all  --  0.0.0.0/0            0.0.0.0/0
INPUT_ZONES  all  --  0.0.0.0/0            0.0.0.0/0
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain INPUT_ZONES (1 references)
target     prot opt source               destination
IN_public  all  --  0.0.0.0/0            0.0.0.0/0           [goto]
IN_public  all  --  0.0.0.0/0            0.0.0.0/0           [goto]
IN_public  all  --  0.0.0.0/0            0.0.0.0/0           [goto]
IN_public  all  --  0.0.0.0/0            0.0.0.0/0           [goto]

Chain IN_public_allow (1 references)
target     prot opt source               destination
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:80 ctstate NEW
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:443 ctstate NEW
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:22 ctstate NEW

Answer 1

--get-services显示了firewalld知道的所有服务，而不是打开端口的服务。

--list-services显示已打开端口的端口。

您可以在iptables列表中看到，只有端口22、80和443处于打开状态，这正是您所希望的。

最后，关于pings:默认情况下，所有ICMP都允许使用firewalld (因为阻止它通常是个坏主意，除非您真正知道自己在做什么)。如果您真的想要“阻止pings”，那么您必须显式地这样做。您可以使用--get-icmptypes查看firewalld知道的ICMP类型列表，并使用--add-icmp-block阻止其中一个类型。确保你在这台机器的控制台上，以防你把自己锁在外面。