13.4. Zone
firewalld
può essere usato per separare le reti in zone diverse a seconda del livello di fiducia che l'utente ha deciso di porre sulle interfacce e sul traffico all'interno di quella rete. Una connessione può far parte di una sola zona, ma una zona può essere usata per molte connessioni di rete.
NetworkManager
notifica a firewalld
la zona di un'interfaccia. Può assegnare zone alle interfacce con:
-
NetworkManager
-
firewall-config
strumento -
firewall-cmd
strumento a riga di comando - La console web di RHEL
Gli ultimi tre possono solo modificare i file di configurazione NetworkManager
appropriati. Se cambia la zona dell'interfaccia usando la console web, firewall-cmd
o firewall-config
, la richiesta viene inoltrata a NetworkManager
e non viene gestita dafirewalld
.
Le zone predefinite sono memorizzate nella directory /usr/lib/firewalld/zones/
e possono essere applicate istantaneamente a qualsiasi interfaccia di rete disponibile. Questi file vengono copiati nella directory /etc/firewalld/zones/
solo dopo essere stati modificati. Le impostazioni predefinite delle zone predefinite sono le seguenti:
block
-
Qualsiasi connessione di rete in entrata viene rifiutata con un messaggio icmp-host-prohibited per
IPv4
e icmp6-adm-prohibited perIPv6
. Sono possibili solo connessioni di rete iniziate dall'interno del sistema. dmz
- Per i computer nella sua zona demilitarizzata che sono accessibili al pubblico con accesso limitato alla sua rete interna. Si accettano solo connessioni in entrata selezionate.
drop
- Qualsiasi pacchetto di rete in entrata viene eliminato senza alcuna notifica. Sono possibili solo connessioni di rete in uscita.
external
- Da usare su reti esterne con masquerading abilitato, specialmente per i router. Non si fida che gli altri computer della rete non danneggino il suo computer. Si accettano solo connessioni in entrata selezionate.
home
- Da usare a casa quando si fida principalmente degli altri computer in rete. Si accettano solo connessioni in entrata selezionate.
internal
- Da usare su reti interne quando si fida principalmente degli altri computer della rete. Si accettano solo le connessioni in entrata selezionate.
public
- Da usare in aree pubbliche dove non si fida degli altri computer in rete. Si accettano solo connessioni in entrata selezionate.
trusted
- Tutte le connessioni di rete sono accettate.
work
- Per l'uso al lavoro dove si fida soprattutto degli altri computer in rete. Si accettano solo le connessioni in entrata selezionate.
Una di queste zone è impostata come zona default. Quando le connessioni di interfaccia vengono aggiunte a NetworkManager
, vengono assegnate alla zona predefinita. All'installazione, la zona predefinita in firewalld
è impostata come zona public
. La zona predefinita può essere cambiata.
I nomi delle zone di rete dovrebbero essere autoesplicativi e permettere agli utenti di prendere rapidamente una decisione ragionevole. Per evitare problemi di sicurezza, riveda la configurazione della zona predefinita e disabiliti qualsiasi servizio non necessario in base alle sue necessità e alle valutazioni dei rischi.
Risorse aggiuntive
-
firewalld.zone(5)
man page