13.4. Зоны
firewalld
может использоваться для разделения сетей на разные зоны в зависимости от уровня доверия, который пользователь решил разместить на интерфейсах и трафика внутри этой сети. Соединение может быть только частью одной зоны, но зона может быть использована для многих сетевых соединений.
NetworkManager
уведомляет firewalld
о зоне интерфейса. Вы можете назначить зоны для интерфейсов:
-
NetworkManager
-
инструмент
firewall-config
-
инструмент командной строки
firewall-cmd
- Веб-консоль RHEL
Последние три могут редактировать только соответствующие файлы конфигурации NetworkManager
. Если Вы изменяете зону интерфейса с помощью веб-консоли firewall-cmd
или firewall-config
, то запрос переадресуется на NetworkManager
и не обрабатываетсяfirewalld
.
Предопределенные зоны хранятся в каталоге /usr/lib/firewalld/zones/
и могут быть мгновенно применены к любому доступному сетевому интерфейсу. Эти файлы копируются в каталог /etc/firewalld/zones/
только после того, как они изменены. Настройки предопределенных зон по умолчанию следующие:
block
-
Любые входящие сетевые соединения отклоняются с помощью сообщения icmp-host-запрещенного для
IPv4
и icmp6-adm-запрещенного дляIPv6
. Возможны только сетевые подключения, инициированные внутри системы. dmz
- Для компьютеров в Вашей демилитаризованной зоне, которые общедоступны с ограниченным доступом к Вашей внутренней сети. Принимаются только выбранные входящие соединения.
drop
- Любые входящие сетевые пакеты отбрасываются без какого-либо уведомления. Возможны только исходящие сетевые соединения.
external
- Для использования во внешних сетях с включенной маскировкой, особенно для маршрутизаторов. Вы не доверяете другим компьютерам в сети, чтобы не навредить Вашему компьютеру. Принимаются только выбранные входящие соединения.
home
- Для использования дома, когда Вы в основном доверяете другим компьютерам в сети. Принимаются только выбранные входящие соединения.
internal
- Для использования во внутренних сетях, когда Вы в основном доверяете другим компьютерам в сети. Принимаются только выбранные входящие соединения.
public
- Для использования в общественных местах, где Вы не доверяете другим компьютерам в сети. Принимаются только выбранные входящие соединения.
trusted
- Принимаются все сетевые подключения.
work
- Для использования на работе, где Вы в основном доверяете другим компьютерам в сети. Принимаются только выбранные входящие соединения.
Одна из этих зон установлена в качестве зоны default. Когда интерфейсные соединения добавляются к NetworkManager
, они присваиваются зоне по умолчанию. При установке, зоной по умолчанию в firewalld
является зона public
. Зона по умолчанию может быть изменена.
Имена сетевых зон должны быть понятными и позволять пользователям быстро принимать разумные решения. Чтобы избежать любых проблем с безопасностью, просмотрите конфигурацию зоны по умолчанию и отключите все ненужные услуги в соответствии с Вашими потребностями и оценкой рисков.
Дополнительные ресурсы
-
firewalld.zone(5)
man-страница