Centos

多個防火牆區域可以在任何給定時間處於活動狀態嗎?

  • January 8, 2016

我一直在努力解決一些奇怪的(對我而言)防火牆錯誤,但現在我看到了我想要的防火牆行為。但是,令我困惑的是,有效的方法似乎是drop區域和區域的混合trusted

[root@douglasii ~]#  firewall-cmd --get-active-zones
drop
 interfaces: eth0 veth879317c vethaff7c39 vethb2fec6e
trusted
 sources: 192.168.0.0/16
[root@douglasii ~]# firewall-cmd --zone=drop --list-all
drop (default, active)
 interfaces: eth0 veth879317c vethaff7c39 vethb2fec6e
 sources: 
 services: ssh
 ports: 443/tcp 80/tcp
 masquerade: no
 forward-ports: 
 icmp-blocks: 
 rich rules: 

[root@douglasii ~]# firewall-cmd --zone=trusted --list-all
trusted
 interfaces: 
 sources: 192.168.0.0/16
 services: ssh
 ports: 443/tcp 80/tcp
 masquerade: no
 forward-ports: 
 icmp-blocks: 
 rich rules: 

我的印像是您一次設置一個區域,使用set-default-zone. 我看到我為之做的任何一個都得到了“活躍”的標籤。不是這樣嗎?可以在任何給定時間啟動多個防火牆區域嗎?他們都同時申請嗎?什麼是預設區域?閱讀FirewallD 上的文件對我來說並不清楚。

根據我最近的經驗,你可以

  1. 預設區域
  2. 綁定到 (a) 介面的區域

因此,如果您有多個介面,您可以將每個介面分配給自己的區域或將所有介面分配給一個區域,獨立操作各個區域(即介面),並且仍然有一個與分配介面不同的預設區域。我相信預設區域會派上用場,以擷取未分配給任何區域的介面。

引用自:https://serverfault.com/questions/654097