web-dev-qa-db-ja.com

複数のfirewalldゾーンをいつでもアクティブにできますか?

私はいくつかの 奇妙な (私にとって)firewalldエラーに苦労してきましたが、今私が望むファイアウォールの振る舞いを見ています。しかし、私には困惑しますが、機能するのはdropゾーンとtrustedの両方の組み合わせのようです。

[root@douglasii ~]#  firewall-cmd --get-active-zones
drop
  interfaces: eth0 veth879317c vethaff7c39 vethb2fec6e
trusted
  sources: 192.168.0.0/16
[root@douglasii ~]# firewall-cmd --zone=drop --list-all
drop (default, active)
  interfaces: eth0 veth879317c vethaff7c39 vethb2fec6e
  sources: 
  services: ssh
  ports: 443/tcp 80/tcp
  masquerade: no
  forward-ports: 
  icmp-blocks: 
  rich rules: 

[root@douglasii ~]# firewall-cmd --zone=trusted --list-all
trusted
  interfaces: 
  sources: 192.168.0.0/16
  services: ssh
  ports: 443/tcp 80/tcp
  masquerade: no
  forward-ports: 
  icmp-blocks: 
  rich rules: 

set-default-zoneを使ってゾーンを1つずつ設定しているような印象を受けました。どちらを実行しても、「アクティブ」ラベルが付けられます。そうではありませんか?複数のfirewalldゾーンをいつでもアクティブにできますか?それらはすべて同時に適用されますか?デフォルトゾーンとは何ですか? FirewallDのドキュメント を読んだことから私にはわかりません。

2
editor

私の最近の経験から、あなたは持つことができます

  1. デフォルトゾーン
  2. (a)インターフェースにバインドされたゾーン

したがって、複数のインターフェースがある場合は、それぞれを独自のゾーンに割り当てるか、すべてのインターフェースを1つのゾーンに割り当て、個々のゾーン(これによりインターフェース)を個別に操作し、インターフェースに割り当てられているものとは異なるデフォルトのゾーンを使用できます。どのゾーンにも割り当てられていないインターフェイスをキャッチするには、デフォルトのゾーンが便利だと思います。

3
mike