Firewall-cmd neue Zone erstellen mit drop all

Ask Fedora Ask in Other Languages
,
1

Guten Morgen zusammen,

ich versuche gerade eine neue FIrewall Zone mit drop all zu erstellen.
Es sollen alle eingehenden und ausgehenden sowie forward Ports geblockt werden.
Ich möchte gezielt Ports und Services erlauben.

Hierzu habe ich bereits eine neue Zone erstellt.

nano /etc/firewalld/zones/myZone.xml

Folgenden Inhalt habe ich eingetragen:

<?xml version="1.0" encoding="utf-8"?>
<zone target="DROP">
  <short>myZone</short>
  <description>Meine neue Zone</description>
  <service name="ssh"/>
  <port port="22" protocol="tcp"/>
</zone>

Anschließend habe ich meine Zone als Standard eingerichtet:

firewall-cmd --reload
firewall-cmd --get-zones
firewall-cmd --set-default-zone=myZone
firewall-cmd --list-all

Die Zone wurde angewendet und zeigt mir auch die entsprechende Konfiguration. Jedoch sind ausgehend noch immer alle Ports offen. Betrifft diese Einstellungen (Beispiel: services=“ssh” / port=“22”) nur eingehende Ports? Wie kann ich alles Sperren und nur eingetragene Ports/Services öffnen?

Vielen Dank

2

From Ask Fedora to Ask in Other Languages

3

Added german

4

Yes.

How to create block outgoing traffic rules? - #2 by vgaetera

5

Thanks for the brief information. Unfortunately, I don’t fully understand what’s happening here.

sudo firewall-cmd --permanent --new-policy=host-block
sudo firewall-cmd --permanent --policy=host-block --set-target=REJECT
sudo firewall-cmd --permanent --policy=host-block --add-ingress-zone=HOST
sudo firewall-cmd --permanent --policy=host-block --add-egress-zone=ANY
sudo firewall-cmd --reload

where is the “host block” policy entered?
I tried to enter REJECT in my new zone. I received an error message here. DROP worked.
What do these two lines do?

--add-ingress-zone=HOST
--add-egress-zone=ANY
6

This is a method of creating a prohibitive policy for egress traffic:

To be clear, you should keep the keywords HOST and ANY as is.