Брандмауэр

Роль брандмауэра

Переменные по умолчанию

Настройка

Вы можете использовать переменные configure_firewalld или configure_iptables, чтобы определить, какая служба будет настроена. Нужно выбрать только одну из них, а не обе.

Использование IPTables

Это правило перенаправляет порт 80 на порт 8080

iptables_rules:

  - table: nat
    chain: PREROUTING
    in_interface: {{ ansible_default_ipv4.alias }}
    protocol: tcp
    match: tcp
    destination_port: 80
    jump: REDIRECT
    to_ports: 8080
    comment: "Перенаправить порт 80 на 8080"

Это правило принимает все установленные и связанные подключения и очень полезно для уменьшения времени фильтрации сетевых подключений. Обратите внимание, что переменная ctstate ожидает список состояний.

  iptables_rules:

    - chain: INPUT
      ctstate:
        - ESTABLISHED
        - RELATED
      jump: ACCEPT

Эти правила принимают SSH подключения от 192.168/16 и 10.0/8

  iptables_rules:

    - chain: INPUT
      ctstate:
        - NEW
      protocol: tcp
      source: '10.0.0.0/8'
      table: filter
      destination_port: '22'
      jump: ACCEPT

    - chain: INPUT
      ctstate:
        - NEW
      protocol: tcp
      source: '192.168.0.0/16'
      table: filter
      destination_port: '22'
      jump: ACCEPT

Использование Firewalld

Эти переменные настроят службу firewalld для принятия SSH подключений от 192.168/16 и 10.0/8

firewalld_default_zone: public
firewalld_zone_interface: []
firewalld_zone_source:
  - zone: work
    source: 10.0.0.0/8
  - zone: work
    source: 192.168.0.0/16
firewalld_service_rules:
  - zone: work
    service: ssh
firewalld_port_rules: []
firewalld_rich_rules: []

В качестве альтернативы, вы можете включать или отключать любые зоны, интерфейсы, службы, порты или сложные правила.

Обработчики

Обработчики