Firewall

Rola zapory ogniowej

Domyślne zmienne

Konfiguracja

Możesz użyć zmiennych configure_firewalld lub configure_iptables, aby określić, która usługa zostanie skonfigurowana. Należy wybrać tylko jedną, nie obie.

Użycie IPTables

Ta zasada przekierowuje port 80 na port 8080

iptables_rules:

  - table: nat
    chain: PREROUTING
    in_interface: {{ ansible_default_ipv4.alias }}
    protocol: tcp
    match: tcp
    destination_port: 80
    jump: REDIRECT
    to_ports: 8080
    comment: "Przekierowanie portu 80 na 8080"

Ta reguła akceptuje wszystkie ustalone i pokrewne połączenia, co jest bardzo przydatne do skrócenia czasu filtrowania połączeń sieciowych. Zauważ, że zmienna ctstate oczekuje listy stanów.

  iptables_rules:

    - chain: INPUT
      ctstate:
        - ESTABLISHED
        - RELATED
      jump: ACCEPT

Te zasady akceptują połączenia SSH z zakresu 192.168/16 i 10.0/8

  iptables_rules:

    - chain: INPUT
      ctstate:
        - NEW
      protocol: tcp
      source: '10.0.0.0/8'
      table: filter
      destination_port: '22'
      jump: ACCEPT

    - chain: INPUT
      ctstate:
        - NEW
      protocol: tcp
      source: '192.168.0.0/16'
      table: filter
      destination_port: '22'
      jump: ACCEPT

Użycie Firewalld

Te zmienne skonfigurować usługę firewalld, aby akceptowała połączenia SSH z zakresu 192.168/16 i 10.0/8

firewalld_default_zone: public
firewalld_zone_interface: []
firewalld_zone_source:
  - zone: work
    source: 10.0.0.0/8
  - zone: work
    source: 192.168.0.0/16
firewalld_service_rules:
  - zone: work
    service: ssh
firewalld_port_rules: []
firewalld_rich_rules: []

Alternatywnie, możesz włączyć/wyłączyć dowolne strefy, interfejsy, usługi, porty lub zasady bogate.

Processory

Processory