13.4. Zone

firewalld può essere usato per separare le reti in zone diverse a seconda del livello di fiducia che l'utente ha deciso di porre sulle interfacce e sul traffico all'interno di quella rete. Una connessione può far parte di una sola zona, ma una zona può essere usata per molte connessioni di rete.

NetworkManager notifica a firewalld la zona di un'interfaccia. Può assegnare zone alle interfacce con:

  • NetworkManager
  • firewall-config strumento
  • firewall-cmd strumento a riga di comando
  • La console web di RHEL

Gli ultimi tre possono solo modificare i file di configurazione NetworkManager appropriati. Se cambia la zona dell'interfaccia usando la console web, firewall-cmd o firewall-config, la richiesta viene inoltrata a NetworkManager e non viene gestita dafirewalld.

Le zone predefinite sono memorizzate nella directory /usr/lib/firewalld/zones/ e possono essere applicate istantaneamente a qualsiasi interfaccia di rete disponibile. Questi file vengono copiati nella directory /etc/firewalld/zones/ solo dopo essere stati modificati. Le impostazioni predefinite delle zone predefinite sono le seguenti:

block
Qualsiasi connessione di rete in entrata viene rifiutata con un messaggio icmp-host-prohibited per IPv4 e icmp6-adm-prohibited per IPv6. Sono possibili solo connessioni di rete iniziate dall'interno del sistema.
dmz
Per i computer nella sua zona demilitarizzata che sono accessibili al pubblico con accesso limitato alla sua rete interna. Si accettano solo connessioni in entrata selezionate.
drop
Qualsiasi pacchetto di rete in entrata viene eliminato senza alcuna notifica. Sono possibili solo connessioni di rete in uscita.
external
Da usare su reti esterne con masquerading abilitato, specialmente per i router. Non si fida che gli altri computer della rete non danneggino il suo computer. Si accettano solo connessioni in entrata selezionate.
home
Da usare a casa quando si fida principalmente degli altri computer in rete. Si accettano solo connessioni in entrata selezionate.
internal
Da usare su reti interne quando si fida principalmente degli altri computer della rete. Si accettano solo le connessioni in entrata selezionate.
public
Da usare in aree pubbliche dove non si fida degli altri computer in rete. Si accettano solo connessioni in entrata selezionate.
trusted
Tutte le connessioni di rete sono accettate.
work
Per l'uso al lavoro dove si fida soprattutto degli altri computer in rete. Si accettano solo le connessioni in entrata selezionate.

Una di queste zone è impostata come zona default. Quando le connessioni di interfaccia vengono aggiunte a NetworkManager, vengono assegnate alla zona predefinita. All'installazione, la zona predefinita in firewalld è impostata come zona public. La zona predefinita può essere cambiata.

Nota

I nomi delle zone di rete dovrebbero essere autoesplicativi e permettere agli utenti di prendere rapidamente una decisione ragionevole. Per evitare problemi di sicurezza, riveda la configurazione della zona predefinita e disabiliti qualsiasi servizio non necessario in base alle sue necessità e alle valutazioni dei rischi.

Risorse aggiuntive

  • firewalld.zone(5) man page