多個防火牆區域可以在任何給定時間處於活動狀態嗎？

我一直在努力解決一些奇怪的（對我而言）防火牆錯誤，但現在我看到了我想要的防火牆行為。但是，令我困惑的是，有效的方法似乎是drop區域和區域的混合trusted

[root@douglasii ~]#  firewall-cmd --get-active-zones
drop
 interfaces: eth0 veth879317c vethaff7c39 vethb2fec6e
trusted
 sources: 192.168.0.0/16
[root@douglasii ~]# firewall-cmd --zone=drop --list-all
drop (default, active)
 interfaces: eth0 veth879317c vethaff7c39 vethb2fec6e
 sources: 
 services: ssh
 ports: 443/tcp 80/tcp
 masquerade: no
 forward-ports: 
 icmp-blocks: 
 rich rules: 

[root@douglasii ~]# firewall-cmd --zone=trusted --list-all
trusted
 interfaces: 
 sources: 192.168.0.0/16
 services: ssh
 ports: 443/tcp 80/tcp
 masquerade: no
 forward-ports: 
 icmp-blocks: 
 rich rules: 

我的印像是您一次設置一個區域，使用set-default-zone. 我看到我為之做的任何一個都得到了“活躍”的標籤。不是這樣嗎？可以在任何給定時間啟動多個防火牆區域嗎？他們都同時申請嗎？什麼是預設區域？閱讀FirewallD 上的文件對我來說並不清楚。

根據我最近的經驗，你可以

1. 預設區域
2. 綁定到 (a) 介面的區域

因此，如果您有多個介面，您可以將每個介面分配給自己的區域或將所有介面分配給一個區域，獨立操作各個區域（即介面），並且仍然有一個與分配介面不同的預設區域。我相信預設區域會派上用場，以擷取未分配給任何區域的介面。

引用自：https://serverfault.com/questions/654097