CentOS7 配置防火墙规则应对漏洞扫描

1、背景

我用六台虚拟机搭建了一套 Rancher 环境，用于团队开发、测试使用，但是由于版本较老，被安全人员扫出一些漏洞，升级 Rancher 又太麻烦，而且怕万一出问题影响使用，所以只能采用防火墙白名单模式曲线救国了。

2、环境

主机信息：
192.168.10.11 - 192.168.10.16 是 Rancher 集群所用六台主机 ip 地址
192.168.10.10 是我个人主机 ip 地址，需要访问 Rancher，所以需要单独添加规则
192.168.10.20 - 192.168.10.100 是团队开发人员的主机 ip 地址，需要访问 Rancher 上部署的服务
端口信息：
Rancher 默认使用 30000 - 32767 作为 NodePod 服务对外映射的端口范围

3、防火墙配置

开启防火墙服务

systemctl start firewalld
systemctl enable firewalld

设置拦截规则为全部拒绝

firewall-cmd --permanent --zone=public --set-target=DROP

放行 30000 - 32767 范围端口

firewall-cmd --permanent --zone=public --add-port=30000-32767/tcp

放行集群间所有端口

firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=192.168.10.11 accept'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=192.168.10.12 accept'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=192.168.10.13 accept'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=192.168.10.14 accept'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=192.168.10.15 accept'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=192.168.10.16 accept'

放行我本机 ip 可以访问 Rancher 的 8080 和 8443 服务

firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=192.168.10.10 port protocol=tcp port=8080 accept'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=192.168.10.10 port protocol=tcp port=8443 accept'

加载配置使生效（不执行则规则不生效）
```
firewall-cmd --reload
```

4、效果

在配置防火墙规则前，通过绿盟漏洞扫描工具扫出以下端口的漏洞信息：

端口	漏洞信息
80	nginx 安全漏洞(CVE-2021-23017)
443	nginx 安全漏洞(CVE-2021-23017)
2379	SSL/TLS协议信息泄露漏洞(CVE-2016-2183)【原理扫描】
2380	SSL/TLS协议信息泄露漏洞(CVE-2016-2183)【原理扫描】
8181	nginx 安全漏洞(CVE-2021-23017)
10257	SSL/TLS协议信息泄露漏洞(CVE-2016-2183)【原理扫描】
10259	SSL/TLS协议信息泄露漏洞(CVE-2016-2183)【原理扫描】
20048	目标主机showmount -e信息泄露(CVE-1999-0554)

防火墙规则开启后，30000 以上端口的容器服务不受影响，同事可以正常使用。
Rancher 集群之间不受影响，集群之间所有节点互相无限制。
我访问 Rancher UI 也不受影响，因为我单独把 8080 和 8443 端口对我 ip 放行。
至此，算是暂时可以避免被漏洞扫描出中高危。

CentOS7 配置防火墙规则应对漏洞扫描相关推荐

Deepin/Linux系统使用GUFW可视化管理、配置防火墙规则
对于没有接触过 Linux 的人,配置防火墙难于上青天,即便是缙哥哥这样玩过一丢丢的,也不喜欢用命令控制.所以,今天就给大家带来一款Deepin/Linux系统可视化管理.配置防火墙规则的软件--GU ...
阿里云配置防火墙规则
装了个mysql 实在是没时间折腾,黑客你要来黑便是. 又忘记了怎么配置防火墙规则了.记录一下. 1:登陆阿里云控制台. 2:选择安全组,和地域,很重要,不然刷不出来列表 3:配置规则 4: 转载于: ...
CentOS7:配置防火墙
简介:CentOS7中的防火墙通常用于端口放行,我们可以通过配置规则,让CentOS7为我们安装的程序放行,很常见的比如80,8080,3306等,同时可以通过设置防火墙对一些端口的访问阻拦,比如勒索 ...
BlackIce Server Protect用户防火墙规则修改漏洞
受影响系统: ISS BlackIce Server Protection 3.6 cno ISS BlackIce Server Protection 3.6 cch ISS BlackIce Se ...
CentOS7配置防火墙
使用命令的方式配置 ##Add firewall-cmd --permanent --zone=public --add-port=80/tcp ##Remove firewall-cmd --per ...
Centos7,配置防火墙，开启端口
此博客转载于:http://blog.csdn.net/u013410747/article/details/61696178 1.centos7版本对防火墙进行加强,不再使用原来的iptables ...
Centos7 Docker环境部署系统漏洞扫描工具Nessus
docker部署nessus pull nessus镜像 docker pull tenableofficial/nessus 启动docker镜像,同时配置用户名和口令.不启动自动更新 docker ...
详解Linux上iptables配置命令及常见的生产环境防火墙规则
本文出自:https://www.toutiao.com/a6743215775915442692/ http://www.safebase.cn/article-259542-1.html 摘要: ...
linux配置防火墙，开启端口
linux配置防火墙,开启端口 Centos7,配置防火墙,开启端口 1.查看已开放的端口(默认不开放任何端口) firewall-cmd --list-ports 2.开启80端口 firewall ...
20155216 Exp6 信息搜集与漏洞扫描
Exp6 信息搜集与漏洞扫描实践内容信息搜集 whois查询使用whois查询域名注册信息,查询百度服务器(进行whois查询时去掉www等前缀,因为注册域名时通常会注册一个上层域名,子域名由自 ...