用户头像 点击登录
儿童
普通
限制
用户头像 点击登录

超详细的 Centos 8 防火墙(firewalld)解释 与配置 - (1) 防火墙(firewalld)基本概念

xdatum 2021-09-11

域(zone)


域(zone) 是规则的集合,可以将一组网络规则配置到域中。
firewall 根据不同的信任等级预定义了以下域(一般情况下这些域已经足够用了):
1. drop(删除域): 该域的默认规则是丢弃所有传入连接,且没有任何通知。但是允许对外请求。
一般情况下用于不直接接受外部请求,对外提供服务,但是有对外访问网络或互联网的需求的服务
器。
2. block(屏蔽域):拒绝所有传入网络连接,只允许系统内部发起的网络链接。与 drop 相似,只是
drop 不会做出任何提示, block 会返回拒绝信令。
3. public(公共域):用于针对不受新人的开放的公共网络、未授信的外部网路等提供相应的传入连
接规则。
4. external(外部域):用于在当前系统充当针对外部网络的网关、路由器等网络前置服务时启用
NAT 伪装的外部网络,仅允许被设定的传入连接。
5. internal(内部域): 用于在系统充当针对内部网罗的网关、路由器等时。此时,网络上的其他设备
和系统通常是受到信任的。仅允许被设定的传入连接。
6. DMZ(DMZ域): 提供对 LAN 的有限访问,只允许被设定的传入连接。
7. work(工作域):针对工作场所的设备和系统,通常在那里是可以被信任的同时或其他工作服务
器。
8. home(家庭域:针对家庭网络上的设备和系统,如:家庭网络内的笔记本电脑、台式机等。这些
设备和系统通常具有很高的可信度。
9. trusted(信任域):接受所有的网络连接,信任此网络中的所有计算机。


服务(Service)


防火墙通过在域内预定义各种规则来实现对网络的控制,这些规则中包含了是否允许特定服务的传入流
量。这些服务可以轻松的在一个步骤中执行多个任务。例如:可以打开特定端口,转发流量等。
目标(target)
每个域会被设置一个目标,系统默认目标时 REJECT 。
1. default: 默认
2. ACCEPT: 通过
3. DROP: 丢弃
4. REJECT: 拒绝这个包,并返回一个拒绝的回复。

 

超详细的 Centos 8 防火墙(firewalld)解释 与配置 - (2) 安装与配置