自定义防火墙规则 - BlueCat Integrity - 9.5.0

管理指南

Locale
中文 (大陆)
Product name
BlueCat Integrity
Version
9.5.0

在 DNS/DHCP 服务器上启用服务点服务时,将向 PSM 链中添加若干个自定义防火墙规则。PREROUTING、DOCKER 和 OUTPUT 链中添加了其他规则。添加了 SERVICE-POINT 链,以确保服务点功能正常使用,并且服务点能够处理以服务点 IPv4 地址为目标的传入 DNS 查询。
注意:
  • 启用服务点后,将从 PSM 链中移除预先存在的自定义防火墙规则。您可以重新添加预先存在的自定义防火墙规则,但是必须确保它们不会与启用服务点时创建的自定义防火墙规则相冲突。
  • 如果禁用服务点,预先存在的自定义防火墙规则将恢复。
重要: 在 Address Manager v9.2.0 中,默认禁用连接跟踪,但是,一旦启用服务点服务,将自动启用连接跟踪。为使服务点服务正常运行,必须启用连接跟踪。配置服务点后,切勿手动禁用连接跟踪。
将添加以下自定义防火墙规则:
"iptables -A PSM_CUSTOM_INPUT -p tcp --sport 443 -j ACCEPT",
"iptables -A PSM_CUSTOM_OUTPUT -p tcp --dport 443 -j ACCEPT",
"iptables -A PSM_CUSTOM_OUTPUT --out-interface docker0 -j ACCEPT",
"iptables -A PSM_CUSTOM_INPUT --in-interface docker0 -j ACCEPT",
"iptables -A PSM_CUSTOM_OUTPUT -o lo -j ACCEPT",
"iptables -A PSM_CUSTOM_INPUT -p tcp --sport 80 -j ACCEPT",
"iptables -A PSM_CUSTOM_OUTPUT -p tcp --dport 80 -j ACCEPT"
重要: 端口 80 打开,以允许您探测服务点诊断。如果不想使用诊断,可以运行以下命令来禁用端口 80:
  1. 运行以下命令:
    custom_fw_rules--export-rules fw.txt
  2. 移除使用端口 80 的两个规则,以修改 fw.txt 文件。
  3. 运行以下命令:
    custom_fw_rules--import-rules fw.txt