Как заблокировать сетевой доступ к systemd?

Вам не нужно отказываться от DHCP. Вы можете указать сценариям запуска отключить маршрут по умолчанию, даже если он получен в ответе от DHCP-сервера. Это позволяет сохранить действующую активную аренду на DHCP-сервере и получить другую полезную информацию, предоставляемую DHCP, а также позволяет установить шлюз по умолчанию в другом месте.

Просто измените параметр DEFROUTEна:

DEFROUTE=no

в /etc/sysconfig/network-scripts/ifcfg-em1и перезапустите сеть (или простоifdown em1; ifup em1).

Найдено путем изучения /etc/sysconfig/network-scripts/ifup-eth, а затем в Redhat (, хотя упоминается только его использование в NetworkManager, он работает с ним и без него):
4.6. Настройка шлюза по умолчанию

In dynamic network environments, where mobile hosts are managed by NetworkManager, gateway information is likely to be interface specific and is best left to be assigned by DHCP. In special cases where it is necessary to influence NetworkManager's selection of the exit interface to be used to reach a gateway, make use of the DEFROUTE=no command in the ifcfg files for those interfaces which do not lead to the default gateway.

Обратите внимание, что в CentOS, если параметр NM_CONTROLLED=noне задан, а установлен NetworkManager, что, вероятно, является вашим случаем с дополнительными параметрами, NetworkManager будет (обычно хорошо )взаимодействовать со сценариями sysconfig и создаст эквивалентная настройка из того же файла. Затем рекомендуется выполнить nmcli c reloadпосле прямого изменения файла.

Аналогичное изменение также может быть достигнуто со стороны NetworkManager, как только вы определите имя id или uuid, используемое для интерфейса (, выбрав здесь, чтобы он назывался System em1NetworkManager ).

nmcli c modify id 'System em1' ipv4.never-default yes

, который автоматически поместит DEFROUTE=noв /etc/sysconfig/network-scripts/ifcfg-em1. Циклический переход вниз/вверх по интерфейсу по-прежнему требуется.

Возможно, вам также придется рассмотреть возможность отключения DNS-серверов DHCP и замены его «статическими» параметрами DNS, хотя нет хорошего решения, предоставляемого сетевыми сценариями, если вам нужно одновременное внутреннее и внешнее разрешение DNS (тогда вам, вероятно, потребуется собственный локальный DNS-сервер или подобное решение ), так что подумайте, поможет это или нет:

PEERDNS=no

Этот параметр работает нормально только под контролем NetworkManager, в тестах, которые я провел, по-видимому, без него он не работал.потому что DNS был установлен непосредственно в /etc/resolv.confdhclient, а не был сначала «интегрирован» NM. Если это действительно ваш случай (нет NetworkManager и он не нужен ), то другой доступный ответ может подойти лучше.

Кроме того, есть эквивалентный NetworkManager ipv4.ignore-auto-dns(, а также ipv6.ignore-auto-dnsсоответствующее свойство IPV6_PEERDNS=).