13.4. Зоны
firewalld может использоваться для разделения сетей на разные зоны в зависимости от уровня доверия, который пользователь решил разместить на интерфейсах и трафика внутри этой сети. Соединение может быть только частью одной зоны, но зона может быть использована для многих сетевых соединений.
NetworkManager уведомляет firewalld о зоне интерфейса. Вы можете назначить зоны для интерфейсов:
-
NetworkManager -
инструмент
firewall-config -
инструмент командной строки
firewall-cmd - Веб-консоль RHEL
Последние три могут редактировать только соответствующие файлы конфигурации NetworkManager. Если Вы изменяете зону интерфейса с помощью веб-консоли firewall-cmd или firewall-config, то запрос переадресуется на NetworkManager и не обрабатываетсяfirewalld.
Предопределенные зоны хранятся в каталоге /usr/lib/firewalld/zones/ и могут быть мгновенно применены к любому доступному сетевому интерфейсу. Эти файлы копируются в каталог /etc/firewalld/zones/ только после того, как они изменены. Настройки предопределенных зон по умолчанию следующие:
block-
Любые входящие сетевые соединения отклоняются с помощью сообщения icmp-host-запрещенного для
IPv4и icmp6-adm-запрещенного дляIPv6. Возможны только сетевые подключения, инициированные внутри системы. dmz- Для компьютеров в Вашей демилитаризованной зоне, которые общедоступны с ограниченным доступом к Вашей внутренней сети. Принимаются только выбранные входящие соединения.
drop- Любые входящие сетевые пакеты отбрасываются без какого-либо уведомления. Возможны только исходящие сетевые соединения.
external- Для использования во внешних сетях с включенной маскировкой, особенно для маршрутизаторов. Вы не доверяете другим компьютерам в сети, чтобы не навредить Вашему компьютеру. Принимаются только выбранные входящие соединения.
home- Для использования дома, когда Вы в основном доверяете другим компьютерам в сети. Принимаются только выбранные входящие соединения.
internal- Для использования во внутренних сетях, когда Вы в основном доверяете другим компьютерам в сети. Принимаются только выбранные входящие соединения.
public- Для использования в общественных местах, где Вы не доверяете другим компьютерам в сети. Принимаются только выбранные входящие соединения.
trusted- Принимаются все сетевые подключения.
work- Для использования на работе, где Вы в основном доверяете другим компьютерам в сети. Принимаются только выбранные входящие соединения.
Одна из этих зон установлена в качестве зоны default. Когда интерфейсные соединения добавляются к NetworkManager, они присваиваются зоне по умолчанию. При установке, зоной по умолчанию в firewalld является зона public. Зона по умолчанию может быть изменена.
Имена сетевых зон должны быть понятными и позволять пользователям быстро принимать разумные решения. Чтобы избежать любых проблем с безопасностью, просмотрите конфигурацию зоны по умолчанию и отключите все ненужные услуги в соответствии с Вашими потребностями и оценкой рисков.
Дополнительные ресурсы
-
firewalld.zone(5)man-страница
