根据CIS,我需要在RHEL7上设置firewalld。
在 3.6.3确保配置环回流量(已评分)我需要配置环回接口以接受流量并配置所有其他接口以拒绝到环回网络的流量(127.0.0.0/8) )。
任何人都可以帮助我。
我目前的配置是:
firewall-cmd --permanent --zone=trusted --add-interface=lo
但不符合CIS要求。
答案 0 :(得分:0)
CIS 3.6.3的目的是防止据称来自127.0.0.1的欺骗流量进入诸如eth0之类的外部接口。
在我的设置中,所有接口默认都位于“丢弃”区域,因此,为了允许回送所有不需外部接口的合法流量,我首先将lo绑定到“受信任”区域,如上面的命令所示:
firewall-cmd --permanent --zone=trusted --add-interface=lo
然后,我将防火墙丰富的规则添加到绑定eth0的“放置”区域中,以丢弃源地址为127.0.0.1但目标地址不是127.0.0.1的任何入站IPv4流量
firewall-cmd --zone=drop --add-rich-rule='rule family=ipv4 source address="127.0.0.1" destination not address="127.0.0.1" drop'
我认为这满足了CIS 3.6.3的意图,尽管请注意,至少在我的设置上,它不满足CIS RHEL7基准文档中给出的示例审核脚本。这是因为CIS示例审计脚本专门针对iptables的INPUT链中存在的删除规则进行测试,而firewalld将我的丰富规则放入名为IN_drop_deny的子链中。