複数のfirewalldゾーンをいつでもアクティブにできますか?
私はいくつかの 奇妙な (私にとって)firewalldエラーに苦労してきましたが、今私が望むファイアウォールの振る舞いを見ています。しかし、私には困惑しますが、機能するのはdropゾーンとtrustedの両方の組み合わせのようです。
[root@douglasii ~]# firewall-cmd --get-active-zones
drop
interfaces: eth0 veth879317c vethaff7c39 vethb2fec6e
trusted
sources: 192.168.0.0/16
[root@douglasii ~]# firewall-cmd --zone=drop --list-all
drop (default, active)
interfaces: eth0 veth879317c vethaff7c39 vethb2fec6e
sources:
services: ssh
ports: 443/tcp 80/tcp
masquerade: no
forward-ports:
icmp-blocks:
rich rules:
[root@douglasii ~]# firewall-cmd --zone=trusted --list-all
trusted
interfaces:
sources: 192.168.0.0/16
services: ssh
ports: 443/tcp 80/tcp
masquerade: no
forward-ports:
icmp-blocks:
rich rules:
set-default-zoneを使ってゾーンを1つずつ設定しているような印象を受けました。どちらを実行しても、「アクティブ」ラベルが付けられます。そうではありませんか?複数のfirewalldゾーンをいつでもアクティブにできますか?それらはすべて同時に適用されますか?デフォルトゾーンとは何ですか? FirewallDのドキュメント を読んだことから私にはわかりません。
私の最近の経験から、あなたは持つことができます
- デフォルトゾーン
- (a)インターフェースにバインドされたゾーン
したがって、複数のインターフェースがある場合は、それぞれを独自のゾーンに割り当てるか、すべてのインターフェースを1つのゾーンに割り当て、個々のゾーン(これによりインターフェース)を個別に操作し、インターフェースに割り当てられているものとは異なるデフォルトのゾーンを使用できます。どのゾーンにも割り当てられていないインターフェイスをキャッチするには、デフォルトのゾーンが便利だと思います。