Red Hat Training

A Red Hat training course is available for RHEL 8

44.2.2. Zonas

firewalld pode ser usado para separar as redes em diferentes zonas de acordo com o nível de confiança que o usuário decidiu colocar nas interfaces e no tráfego dentro daquela rede. Uma conexão só pode ser parte de uma zona, mas uma zona pode ser usada para muitas conexões de rede.

NetworkManager notifica firewalld sobre a zona de uma interface. Você pode atribuir zonas para interfaces com:

  • NetworkManager
  • ferramentafirewall-config
  • firewall-cmd ferramenta de linha de comando
  • O console web RHEL

Os três últimos só podem editar os arquivos de configuração NetworkManager apropriados. Se você mudar a zona da interface usando o console web, firewall-cmd ou firewall-config, a solicitação é encaminhada para NetworkManager e não é tratada porfirewalld.

As zonas pré-definidas são armazenadas no diretório /usr/lib/firewalld/zones/ e podem ser aplicadas instantaneamente a qualquer interface de rede disponível. Estes arquivos são copiados para o diretório /etc/firewalld/zones/ somente após serem modificados. As configurações padrão das zonas pré-definidas são as seguintes:

block
Qualquer conexão de rede que chegue é rejeitada com uma mensagem proibida para IPv4 e para IPv6. Somente conexões de rede iniciadas de dentro do sistema são possíveis.
dmz
Para computadores em sua zona desmilitarizada que são de acesso público com acesso limitado à sua rede interna. Somente conexões de entrada selecionadas são aceitas.
drop
Qualquer pacote de rede recebido é descartado sem nenhuma notificação. Somente as conexões de rede de saída são possíveis.
external
Para uso em redes externas com mascaramento habilitado, especialmente para roteadores. Você não confia nos outros computadores da rede para não danificar seu computador. Somente conexões de entrada selecionadas são aceitas.
home
Para uso em casa quando você confia principalmente nos outros computadores da rede. Somente as conexões de entrada selecionadas são aceitas.
internal
Para uso em redes internas quando você confia principalmente nos outros computadores da rede. Somente as conexões de entrada selecionadas são aceitas.
public
Para uso em áreas públicas onde você não confia em outros computadores na rede. Somente conexões de entrada selecionadas são aceitas.
trusted
Todas as conexões de rede são aceitas.
work
Para uso no trabalho, onde você confia principalmente nos outros computadores da rede. Somente as conexões de entrada selecionadas são aceitas.

Uma dessas zonas é definida como a zona default. Quando as conexões de interface são adicionadas a NetworkManager, elas são atribuídas à zona padrão. Na instalação, a zona padrão em firewalld é definida como a zona public. A zona padrão pode ser alterada.

Nota

Os nomes das zonas de rede devem ser auto-explicativos e permitir que os usuários tomem rapidamente uma decisão razoável. Para evitar quaisquer problemas de segurança, revisar a configuração padrão da zona e desativar quaisquer serviços desnecessários de acordo com suas necessidades e avaliações de risco.

Recursos adicionais

  • firewalld.zone(5) página do homem