可以设置K8s
为启动firewalld服务吗?zone
trusted
我的集群中存在 ICMP 安全漏洞,我需要打开防火墙来限制它。我可以启用firewalld服务并将zone
其设置为trusted
吗?
我没办法尝试,这是预上线环境
trusted
有什么方法可以在启动时指定区域firewall
,public
默认情况下,它会影响K8s,或者还有其他解决方案吗?
答案1
对于防火墙区域预设,我在这里找到了方法:防火墙离线cmd
您firewall-offline-cmd
可以在firewalld启动之前设置防火墙规则。
firewalld
关于启动的效果k8s
,我观察启动后集群节点工作正常,我认为是有效的。不知道以后会不会有问题
注意:如果你曾经在集群上iptables
制定过一些规则,或者其他规则,那么打开防火墙会让它们消失nat
我的漏洞:ICMP时间戳请求响应漏洞
我测试发现这个漏洞不用启动就可以解决firewalld.service
,只需添加以下规则即可立即生效,如果是短规则也可以直接添加。你不需要开始firewalld
┌──[[email protected]]-[~]
└─$iptables -A INPUT -p icmp --icmp-type 13 -j DROP
┌──[[email protected]]-[~]
└─$iptables -A OUTPUT -p icmp --icmp-type 14 -j DROP
只是你需要记住你之前已经做过这些配置,否则当系统重新启动时它们就会消失