Bloccare tutto il traffico in output Utilizzo di firewalld a sottoreti di networking dedicati?

Ho diversi server RHEL7 / CentOS7 su cui devo bloccare tutto il traffico OUTGOING a macchine dedicate o su sottoreti di networking dedicati, ad esempio CIDR 168.192.10.0/24.

Per il momento ho provato con firewall-cmd ma non sono stato fortunato. La maggior parte dei post che ho visto stavano utilizzando iptables ma preferirei una soluzione basata sul firewalld .

  • Effettuare modifiche al path IPv6 predefinito persistente in CentOS 7
  • Netcat non riesce ad avviarsi in modalità di ascolto
  • Posso impostare Repo Fedora o Centos in RHEL6?
  • problema con FTP passivo dietro il firewall di cisco asa
  • Come fare l'output kickstart
  • Il driver proprietario di Nvidia si blocca CentOS 6.6
  • Ho già cercato di basare la mia soluzione su questi due argomenti Bloccare le connessioni in output … e bloccare le connessioni in output su Centos 7 con firewalld ma in qualche modo le mie regole devono essere sbagliate poiché ancora posso aprire una connessione http al server.

    Le regole firewalld correnti (nessuna regola definita)

     public (active) target: default icmp-block-inversion: no interfaces: eth0 sources: services: dhcpv6-client http https ssh ports: protocols: masquerade: no forward-ports: sourceports: icmp-blocks: rich rules: 

    Supponiamo che l'IP di origine server del server sia 168.192.18.56. Poi, le regole che ho cercato di definire (anche con --permanent

     firewall-cmd --direct --add-rule ipv4 filter OUTPUT 0 -d 168.192.10.0/24 -j REJECT firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" source address="168.192.18.56" destination address=168.192.10.0/24 reject' 

    Ho anche provato con azione DROP . Le regole attuali sono

     public (active) target: default icmp-block-inversion: no interfaces: eth0 sources: services: dhcpv6-client http https ssh ports: protocols: masquerade: no forward-ports: sourceports: icmp-blocks: rich rules: rule family="ipv4" destination address="192.168.10.0/24" log prefix="dropped" level="debug" limit value="20/m" drop 

    Ora non so se devo ricaricare firewalld ? In questo caso, renderei le regole permanenti.

    Il mio inconveniente è ora che – assumere il 192.168.10.30 un server web è in esecuzione. – posso ping ad esempio 192.168.10.30
    – Posso anche aprire una connessione HTTP wget 192.168.10.30 e get indietro index.html – posso anche ping each macchina nelle sottoreti bloccate, ma forse questo ha bisogno di una regola speciale, ho pensato bloccando tutto il traffico ICMP sarebbe anche bloccato

    Mi piacerebbe sapere cosa faccio male.

  • Come faccio ad installare un cert di SSL jolly su un sito web in esecuzione in una configuration LAMP su CentOS?
  • Distriggers il controllo della chiave pubblica per l'installazione di rpm
  • L'OID per una personalizzazione estendere la chiamata SNMP sarà lo stesso su più caselle?
  • come eseguire un command nella prima, seconda, terza e quarta domenica del mese con crontab
  • Come disinstallare git installato dalla sorgente?
  • APC non abilitato in Apache
  • Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.