что такое «цель: по умолчанию» в конфигурации зоны в firewalld?

Question

что такое «цель: по умолчанию» в конфигурации зоны в firewalld?

В настоящее время я использую компьютер с Ubuntu 20.04 и установил firewalld в качестве службы менеджера брандмауэра. Глядя на конфигурацию «публичной зоны» , я вижу, как показано ниже:

      public (active)
  target: default
  icmp-block-inversion: no
  interfaces: eth0
  sources: 
  services: dhcpv6-client dns http https mysql squid ssh
  ports: 
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules:

почему здесь цель по умолчанию ? Как это повлияет на обработку запросов на входящие соединения firewalld?

5

server firewall firewalld

Источник

Alakananda S 10 апр '23 в 16:47

1 ответ

Другие вопросы по тегам server firewall firewalld

Raffa 10 апр '23 в 20:06 2023-04-10 20:06 · Answer 1 · 2023-04-10 20:06

Отman firewalld.zone:

target="ПРИНЯТЬ|%%ОТКЛОНИТЬ%%|УДАЛИТЬ"
   Может использоваться для принятия, отклонения или удаления каждого пакета. Цель ACCEPT используется в
   доверенная зона, каждый пакет будет принят. Цель %%REJECT%% используется в
   в зоне блокировки каждый пакет будет отклонен с типом отклонения по умолчанию firewalld. 
   В зоне отбрасывания используется цель DROP, каждый пакет будет отброшен. Цель по умолчанию
   является {chain}_ZONE_{зона} и будет использоваться, если цель не указана. Если кроме
   используется цель по умолчанию, все настройки, кроме интерфейса и источника, игнорируются,
   потому что первое правило, созданное в брандмауэре для этой зоны, — «перейти к цели».

Что на самом деле не очень конкретно относительно того, какdefaultработает.

Однако это поясняется предлагаемым изменением/дополнением к странице руководства :

--permanent [--zone=зона] --set-target=цель
Установите цель постоянной зоны. целью является одно из: по умолчанию,
ПРИНИМАТЬ, ОТКАЗЫВАТЬ, ОТКЛОНЯТЬ

по умолчанию аналогично REJECT, но имеет особое значение в
следующие сценарии:

1. ICMP явно разрешен

В конце набора правил зоны пакеты ICMP явно
допустимый.

2. пересылаемые пакеты следуют за целью выходной зоны

В случае пересылаемых пакетов, если входная зона использует
по умолчанию, то будет ли разрешен пакет
определяется зоной выхода.

Для пересылаемого пакета, который входит в зону A и выходит из зоны B:

· если целью зоны А является ПРИНЯТЬ, ОТКАЗАТЬ или ОТКЛОНИТЬ, то
пакет принимается, отбрасывается или отклоняется соответственно.

· если целью зоны А является значение по умолчанию, то пакет принимается,
удалено или отклонено в зависимости от цели зоны B. Если зона B
цель также является значением по умолчанию, тогда пакет будет отклонен
Общий отказ firewalld.

3. Дрейф зоны от зоны источника к зоне интерфейса.

Это применимо только в том случае, если включен параметр AllowZoneDrifting. Видеть
firewalld.conf(5).

Если пакет попадает в зону источника с целью
по умолчанию, он все равно может войти в зону на основе интерфейса (включая
зона по умолчанию).