CENTOS FIREWALLD防火牆學習筆記(六)- firewalld中區域(zone)介紹
在Firewalld中,引入了一個新的概念-區域(zone),我們也可以把區域當成已經存在的策略模板,直接可以引用。我們可以在目錄看到這些區域配置文件,這些區域配置文件存在於/usr/lib/firewalld/zones目錄中,firewalld中還有一個目錄/etc/firewalld/zones,firewalld使用規則時,會首先到/etc/firewalld目錄中查找,如果可以找到,那麼就直接使用,否則會繼續到/usr/lib/firewalld目錄中查找。
firewalld這種配置文件結構的主要租用是:/usr/lib/firewalld/存放firewalld給提供的通用配置文件,如果我們想修改配置, 那麼可以copy一份到/etc/firewalld目錄中,然後再進行修改。這樣有兩個好處:首先我們日後可以非常清晰地看到都有哪些文件是我們自己創建或者修改過的,其 次,如果想恢復firewalld給提供的默認配置,只需要將自己在/etc/firewalld目錄中的配置文件刪除即可,非常簡單,而不需要像其他很多軟體那樣在修改之前還 得先備份一下,而且時間長了還有可能忘掉之前備份的是什麼版本(看來我的手動備份有點多餘)。
默認的區域有9個:block、dmz、drop、external、home、internal、public、trusted、work,默認的規則策略如下:
block:阻止任何傳入的網絡數據包,除非與流出的流量相關
dmz:dmz也叫非軍事區,內外網絡中間的網絡,起到緩衝作用,拒絕流量進入,除非與流出有關
drop:任何傳入的網絡連接都阻止,除非與流出有關
external:拒絕流量進入,除非與流出有關,與ssh相關,則允許
home:拒絕流入的流量,除非與流出的流量相關;如果與ssh、mdns、ipp-client、amba-client與dhcpv6-client服務相關,則允許
internal:和home差不多
public:拒絕流入,除非與流出相關;如果與ssh、dhcpv6-client服務相關,則允許
trusted:所有網絡連接都接受
work:拒絕流入,除非與流出相關;如果與ssh、ipp-client與dhcpv6-client服務相關,則允許
區域命令相關參數:
--get-default-zone:查詢默認的區域名稱
--set-default-zone=<區域名稱>:設置默認的區域
--get-active-zones:顯示當前正在使用的區域與網卡名稱
--get-zones:顯示總共可用的區域
--new-zones:新增區域
--delete-zone=:刪除區域