Как настроить whiteList в firewalld?

Question

[slden]

Господа, добрый день!
Не подскажите с firewalld?
Создал новую зону, сделал её дефолтной и активной.
Создал ipset-список из адресов (формирую Whitelist).
Указал этот ipset в качестве source.
Перезагрузил firewalld (при этом везде указывал permanent опцию), смотрю через netstat | grep EST* вижу адреса которые НЕ включены в ipset.
Может нужно разорвать соединение? Перезагрузка firewalld их не разрывает?

Вывод команды —list-all:

custom_zone(active)
target: default
icmp-block-inversion: no
interfaces: eth0
sources: ipset:my_ipset
services:
ports: 8090/tcp 9191/tcp 22/tcp 3388/tcp 3377/tcp 4848/tcp 7676/tcp 3700/tcp 8181/tcp 9080/tcp 9081/tcp 8020/tcp 8021/tcp 7001/tcp 7002/tcp 1433/tcp 1521/tcp
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:

Answer 1

[Владимир]

Потому что соединения уже есть а первым правилом в INPUT обычно идет
ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED

Соответственно трафик попал туда и соединение продолжает работать.
Да - вам нужно самому разорвать соединения.

Comments

[slden]

А не подскажите, если перезагрузка network.service не разрывает соединение, это нормально?

[Владимир]

slden, в принципе да, какойнибуть сервис то все также работает у него котрыты тсп сокеты и он может и не знать что сеть перезапускалась, чтобы сбросить такие входящие соединения - надо перезапускать сервис к которому эти соединения установлены.