각 지역 상황은 어떤가요?firewalldICMP 패킷에 대해 구성되어 있습니까? 인터페이스와 소스에 대해 다르게 동작합니까?
1.firewalld는 ICMP 패킷을 어떻게 필터링합니까?
내 생각에 주요 영역은 이름이 말하는 것과 정확히 일치합니다.
drop : DROP
block : REJECT
trust : ACCEPT
하지만 다른 지역은 어떻습니까? public, external, work, internal, home?기본적으로 ICMP 패킷을 허용하거나 거부합니까?
2. 이 기능은 영역이 인터페이스에 의해 할당되었는지 아니면 소스에 의해 할당되었는지에 따라 다릅니까?
172.28.0.2예를 들어 두 설정 간의 소스 IP에 차이가 있습니까?
some-zone
interfaces: eno1
sources:
services: ssh
ports:
masquerade: no
forward-ports:
icmp-blocks:
rich rules:
그리고
some-zone
interfaces:
sources: 172.28.0.0/16
services: ssh
ports:
masquerade: no
forward-ports:
icmp-blocks:
rich rules:
답변1
1.firewalld는 각 영역에서 ICMP 패킷을 어떻게 처리합니까?
Red Hat의 방화벽 문서, 특히 이 섹션에서 제목은 다음과 같습니다.5.15. "다양한 언어" 구문을 사용하여 복잡한 방화벽 규칙 구성:
icmp-block은 이 작업을 사용합니다.거부하다내부
(제가 강조하는 점은 "drop"과 "accept"를 사용하지 않는 것입니다.) 기본 영역은 ICMP 유형을 차단하지 않는 것으로 보입니다. /usr/lib/firewalld/zones의 XML 파일과 누락된 항목을 참조하세요 <icmp-block>.
영역 기반 icmp 블록의 현재 상태를 보려면 다음을 실행 firewall-cmd --list-all-zones하고 icmp-blocks:항목을 찾으세요.
2. 이 기능은 영역이 인터페이스에 의해 할당되었는지 아니면 소스에 의해 할당되었는지에 따라 다릅니까?
간접적. interfaces그리고 sources방화벽에 해당 영역을 선택하라고 지시하면 ICMP 블록이 일부 또는 전혀 적용되지 않습니다. 바라보다:http://www.firewalld.org/documentation/man-pages/firewall-cmd.html그것에 대해 이야기하는 것은 다음과 같습니다.
인터페이스를 영역에 바인딩한다는 것은 해당 영역이 인터페이스를 통한 트래픽을 제한하는 데 사용된다는 의미입니다.
그리고
오리진을 영역에 바인딩한다는 것은 해당 로캘이 해당 오리진의 트래픽을 제한하는 데 사용된다는 의미입니다.
답변2
$ grep -i icmp /lib/firewalld/zones/*.xml
$ rpm -q firewalld
firewalld-0.4.4.1-1.fc24.noarch
따라서 해당 영역의 기본 대상에 의해 처리됩니다. 이는 man firewall.zone명시적인 기본값이 없는 영역이 패킷을 거부한다는 것을 알려줍니다.
그것은해야한다GUI에서 지우기.