Как средствами новомодного firewalld закрыть порт?

Question

[Дмитрий]

Друзья!

Firewalld - боль!

Бьюсь уже который день, никак не могу понять, как с помощью этой адовой поделки закрыть порт. Если в классическом iptables все просто, логично и понятно, то тут я уже потерял веру в жизнь! Например 29019/tcp принес в мою жизнь боль и страдания, хочется закрыть данный порт для внешнего мира.

Comments

[AntonMZ]

А почему Вы решили что он открыт? =)

[Дмитрий]

Потому что при обращении к http://сервер:порт получаю It looks like you are trying to access MongoDB over HTTP on the native driver port.

[AntonMZ]

что правили в стандартных правилах?

[Дмитрий]

Да ничего. Пытаюсь понять как реализовать iptables -A INPUT -p tcp --dport 29019 -j DROP в этом адовом firewalld

[Дмитрий]

P.S. замену на iptables не предлагать, сам бы давно так и поступил, но есть желание заказчика использовать firewalld

[ldv]

firewall-cmd --list-all-zones
что выводит?

[Дмитрий]

ldv: Листинг тут pastebin.com/NPmzbdpn

[ldv]

CloudTelehouse: порт закрыт, судя по листингу
firewall-cmd --state
?

[Дмитрий]

ldv: firewall-cmd --state running

[ldv]

CloudTelehouse: iptables -S

[Дмитрий]

ldv: pastebin.com/5SjXTESJ

[ldv]

CloudTelehouse: вы случайно не с того же хоста проверяете доступность?

[Дмитрий]

ldv: Нет, я проверяю из вне. Сервер виртуальная машина на хостинге, с внешним IP, на котором крутятся несколько контейнеров докера. Вот собственно к внешнему IP:PORT я и обращаюсь, в ответ получая сообщение о доступности веб драйвера Монго

[ldv]

CloudTelehouse: iptables -S -t nat
монго в контейнере?

[Дмитрий]

Да, монго в контейнере. Листинг по ссылке pastebin.com/iLN6bx1e

[ldv]

CloudTelehouse:

-A DOCKER ! -i docker0 -p tcp -m tcp --dport 29019 -j DNAT --to-destination 172.17.0.5:27017

докер добавляет правило редиректа. Может настроить его, чтобы он этого не делал (с докером не работал)?

[Дмитрий]

ldv: Да я вижу что он добавляет правило редиректа. Но согласитесь, правило DROP / REJECT должно его срубать.

[ldv]

CloudTelehouse: не должно, оно в цепочке input

[Дмитрий]

ldv: Тоже верно. Нет, я могу конечно срубить данный порт на core роутере, что обслуживает ноду виртуализации, зацепившись за IP виртулки, но это не верное решение в корне, нужно попробовать придумать как сделать все средствами системы.

[ldv]

CloudTelehouse: вы этот редирект опцией -p 29019:27017 настраивали?

[Дмитрий]

ldv: Это настраивал вообще не я, поэтому подробностей не знаю. Встала задача только закрыть порт :)

[ldv]

CloudTelehouse:
1. закрыть можно попробовать используя rich правила firewalld
2. firewalld - это все-равно интерфейс к iptables и в доках пишут , что в случае невозможности реализовать функциональность средствами firewalld нужно использовать iptables
3. Правильнее было бы настроить контейнер, чтобы он не мапил порт на хост машину

[ldv]

CloudTelehouse: или если с хост машины используется связь с монго, то биндить контейнер на 127.0.0.1