『 FirewallD 』预定义了9个「 zone 」,可以理解为定义了不同安全等级的「 zone 」。『 Linux 』系统的一个「 interface 」可以且仅可以属于一个「 zone 」,一个「 zone 」可以包含多个「 interface 」。

1、block

官网描述:
Any incoming network connections are rejected with an icmp-host-prohibited message for IPv4 and icmp6-adm-prohibited for IPv6. Only network connections initiated from within the system are possible.
任何被传入的链接都会被拒绝仅返回 ipv4icmp-host-prohibitedipv6icmp6-adm-prohibited 报文。只允许有系统初始化的网络连接。
block.gif

2、dmz

官网描述:
For computers in your demilitarized zone that are publicly-accessible with limited access to your internal network. Only selected incoming connections are accepted.
隔离区的电脑有限的被访问。只允许被选中的链接传入。
dmz.gif

3、drop

官网描述:
Any incoming network packets are dropped without any notification. Only outgoing network connections are possible.
任何传入的链接都将被直接丢弃不反悔任何结果,仅仅可以传出链接。
drop.gif
「 drop 」区域很容易理解,只允许出口连接不允许传入的链接。

4、external

官网描述:
For use on external networks with masquerading enabled, especially for routers. You do not trust the other computers on the network to not harm your computer. Only selected incoming connections are accepted.
用在路由器或其他伪装功能启用的外部网络。你认为网络上的其他计算机不可信并可能会侵入你的电脑。只允许被选中的链接传入。
external.gif

5、home

官网描述:
For use at home when you mostly trust the other computers on the network. Only selected incoming connections are accepted.
用在你信任大多数的计算机不会侵入你电脑的家庭网络中。只允许被选中的链接传入。
home.gif

6、internal

官网描述:
For use on internal networks when you mostly trust the other computers on the network. Only selected incoming connections are accepted.
用在你信任大部分其他计算机的内部网络中。只允许被选中的链接传入。
internal.gif

7、public

官网描述:
For use in public areas where you do not trust other computers on the network. Only selected incoming connections are accepted.
用在你不信任其他计算机的公共网络中。只允许被选中的链接传入。
public.gif
「 public 」是系统默认启用的区域。

8、trusted

官网描述:
All network connections are accepted.
接受所有的网络连接。
trusted.gif
「 trusted 」区域也很容易理解,信任所有网络连接。

9、work

官网描述:
For use at work where you mostly trust the other computers on the network. Only selected incoming connections are accepted.
用在你信任大多数的计算机不会侵入你电脑的工作网络中。只允许被选中的链接传入。
work.gif
可以设置其中一个为『 FirewallD 』的default zone。在系统安装好之后,在『 FirewallD 』中将默认区域设置为「 public 」区域。

通过查看各个「 zone 」的xml文件可以看到,文件中有「 target 」标签和「 service name 」标签。

target

「 target 」 有三个选项,不设置代表default,各个项的意思分别是:

  • [ ACCEPT ] 接受所有连接,一般用在信任的网络中
  • [ REJECT ] 只允许符合规则的链接通过
  • [ DROP ] 丢弃所有不符合规则的链接
  • [ default ] 比较有争议

在官网上没找到对 [ default ] 明确的解释,但是在 「 public 」 可以通过命令 firewall-cmd --permanent --zone=public --get-target 查看返回结果为 [ default ]( 对于其他没有明确指出target的区域都是 [ default ] ),此时 [ default ] 的作用和 [ REJECT ] 类似,在使用的时候建议明确给出使用哪个选项。
public_target.gif

service name

「service name」标签内的服务名称为该「 zone 」允许通过的服务。
public_service.gif


那么接下来,区域到底怎么使用?能同时存在多个区域吗?能实现单网卡多区域吗?

参考连接:
https://firewalld.org/documentation/
https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/security_guide/sec-working_with_zones#sec-Using_Zone_Targets_to_Set_Default_Behavior_for_Incoming_Traffic

文章目录