firewalld порт все еще открыт после удаления порта и служб.

Вопрос или проблема

firewall-cmd --zone=dmz --add-masquerade --permanent

firewall-cmd --zone=dmz --add-interface=eth0

firewall-cmd --zone=internal --add-port=${MONGO}/tcp --permanent

firewall-cmd --zone=internal --add-port=${CHAT}/tcp --permanent

firewall-cmd --zone=internal --add-port=${NFS_CLIENT}/tcp --permanent

firewall-cmd --zone=internal --add-port=${NODE_EX}/tcp --permanent

firewall-cmd --zone=dmz --add-forward-port=port=${22}:proto=tcp:toport=${22123} --permanent

firewall-cmd --zone=dmz --add-port=${RSSH}/tcp --permanent --permanent

Начало Nmap 7.40 ( https://nmap.org ) в 2017-10-04 17:33 BST
Отчет сканирования Nmap для 
Хост работает (задержка 0.45с).
Не показано: 997 отфильтрованных портов
PORT     STATE  SERVICE
22/tcp   open   ssh
8083/tcp open   us-srv
8086/tcp closed d-s-n

sudo firewall-cmd --list-all
dmz (активен)
target: default
icmp-block-inversion: no
interfaces: eth0 eth1
sources: 
services: 
ports: 22123/tcp 8086/tcp 8083/tcp
protocols: 
masquerade: yes
forward-ports: port=22:proto=tcp:toport=22123:toaddr=
source-ports: 
icmp-blocks: 
rich rules: 

sudo firewall-cmd --permanent --remove-port=22/tcp
firewall-cmd --reload

Ответ или решение

Обзор проблемы

Вы столкнулись с ситуацией, когда после настройки firewalld в CentOS 7 порт SSH (22/tcp) продолжает отображаться как открытый при сканировании с использованием nmap, хотя вы настраивали перенаправление этого порта на другой. Несмотря на то, что смена порта является лишь средством безопасности через неизвестность, вопрос важен для архитектуры безопасности вашей системы.

Теория

Firewalld представляет собой динамическую службу управления сетевой безопасностью, которая поддерживает зонирование и возможность настройки правил фильтрации трафика в реальном времени. Перенаправление порта в firewalld позволяет направлять входящие соединения на один порт к другому порту, что может создать иллюзию, что начальный порт всё ещё открыт. Это связано с тем, что хотя трафик и перенаправляется, сам порт логически остаётся доступным для сканирования.

Пример

Ваш скрипт настроил перенаправление с порта 22 на 22123 в зоне DMZ:

firewall-cmd --zone=dmz --add-forward-port=port=22:proto=tcp:toport=22123 --permanent

Таким образом, при сканировании nmap обнаруживает порт 22 как открытый, потому что коннекцию возможно инициализировать, несмотря на дальнейшее перенаправление.

Применение

Для решения проблемы рекомендуется сделать следующее:

1. Убедитесь, что порт 22 действительно удалён из листинга открытых портов:

   sudo firewall-cmd --permanent --remove-port=22/tcp
   firewall-cmd --reload

2. Проверьте актуальные настройки всех зон:

   sudo firewall-cmd --list-all-zones

3. Настройка перенаправления порта сама по себе не запрещает прямой доступ к исходному порту, необходимо добавить правило, блокирующее входящие соединения, но оставляющее перенаправление:

   firewall-cmd --zone=dmz --add-rich-rule='rule family=ipv4 port protocol=tcp port=22 reject' --permanent
   firewall-cmd --reload

4. После внесения изменений проведите повторное сканирование nmap для проверки состояния.

Таким образом, вы уменьшите возможность обнаружения и использования открытого порта 22, усиливая безопасность системы, одновременно сохраняя функциональность через перенаправление. Обратите внимание, что попытки обнаружить такие изменения могут быть применены злоумышленниками, поэтому комбинируйте с другими мерами безопасности, такими как использование VPN или фильтрация источников IP-адресов.