可以设置K8s为启动firewalld服务吗?zonetrusted
我的集群中存在 ICMP 安全漏洞,我需要打开防火墙来限制它。我可以启用firewalld服务并将zone其设置为trusted吗?
我没办法尝试,这是预上线环境
trusted有什么方法可以在启动时指定区域firewall,public默认情况下,它会影响K8s,或者还有其他解决方案吗?
答案1
对于防火墙区域预设,我在这里找到了方法:防火墙离线cmd
您firewall-offline-cmd可以在firewalld启动之前设置防火墙规则。
firewalld关于启动的效果k8s,我观察启动后集群节点工作正常,我认为是有效的。不知道以后会不会有问题
注意:如果你曾经在集群上iptables制定过一些规则,或者其他规则,那么打开防火墙会让它们消失nat
我的漏洞:ICMP时间戳请求响应漏洞
我测试发现这个漏洞不用启动就可以解决firewalld.service,只需添加以下规则即可立即生效,如果是短规则也可以直接添加。你不需要开始firewalld
┌──[[email protected]]-[~]
└─$iptables -A INPUT -p icmp --icmp-type 13 -j DROP
┌──[[email protected]]-[~]
└─$iptables -A OUTPUT -p icmp --icmp-type 14 -j DROP
只是你需要记住你之前已经做过这些配置,否则当系统重新启动时它们就会消失