Как заблокировать доступ порту dns (53) всего интернета за исключением своей сети на Centos 8?

Question

[Алексей]

Добрый день!
Подскажите пожалуйста как правила в firewalld необходимо прописать для блокировки входящих пакетов на 53 порт от всего интернета кроме своей сети с возможностью добавлять в разрешенные подсети другие сети.
Спасибо

Answer 1

[Алексей]

Нашел решение своего вопроса.
В centos 8 используется надстройка firewalld для управление iptables:
Для решение своего вопроса:
1.Узнал название дефолтной зоны с помощью команды
sudo firewall-cmd --get-default-zone.
2.sudo firewall-cmd --list-all --zone="указываем имя дефолтной зоны полученной в предедущем шаге" с помощью этой команды увидел основные настройки firewalld.
Посмотрел строчку services и увидел там dns.
Это указывает на то,что порты для этой службы открыты всем.
Чтобы убрать dns из общего доступа набираем команду sudo firewall-cmd --zone=public --remove-service=dns --permanent

3.С помощью rich rules прописываем access list для своей подсети
(знаю что маска широкая но мне лень вычислять какой в следующий раз мне выдаст ip мой провайдер)
Пример правила такой: firewall-cmd --add-rich-'rule rule family="ipv4" source address="93.0.0.0/8" service name="dns" accept' -- --permanent

Answer 2

[Владимир Коротенко]

Гугл первая ссылка, прокрутите до половины
https://netpoint-dc.com/blog/centos-7-firewalld/#:....