简介
前面文章我们已经介绍了firewalld的安装,配置文件介绍、简单的规则查询,本篇文章主要介绍zone的配置。前面我们介绍了firewalld默认的zone和不同zone的功能,下面我们就直接进入zone的具体配置使用。
配置zone的方式
图形配置工具 firewall-config:
这是一个图形用户界面(GUI)工具,它允许用户通过点击和拖动来配置防火墙。通过firewall-config,您可以添加、编辑或删除区域(zones),并为这些区域配置服务、端口和ICMP类型等。
命令行工具 firewall-cmd:firewall-cmd是一个命令行接口(CLI),用于动态地管理firewalld。您可以使用firewall-cmd来添加、删除、激活或禁用区域,以及为这些区域配置规则。这些更改可以立即生效,并且可以被永久保存,后面我们的配置都是基于firwall-cmd来配置。
D-BUS接口:firewalld使用D-BUS作为其内部通信机制,因此,您也可以使用D-BUS接口来与firewalld进行交互。这通常是通过编写脚本或使用其他支持D-BUS的应用程序来完成的。
配置文件:/usr/lib/firewalld/zones目录包含默认和回退配置。/etc/firewalld/zones目录用于存储用户创建和自定义的配置文件。可以直接编辑这些XML文件来添加或修改区域。但是,请注意,直接编辑配置文件通常需要更多的技术知识,并且任何错误都可能导致防火墙配置出现问题。
firewalld如何选择使用哪个zone
在第一篇文章介绍firewalld时我们就介绍了firewalld处理数据的一些原则,我们在这里在回顾一下。
每个 zone 就是一套规则集,但是有那么多 zone,对于一个具体的请求来说应该使用哪个 zone(哪套规则)来处理呢?
对于一个接受到的请求具体使用哪个 zone,firewalld 是通过三种方法来判断的:
1、source,也就是源地址 优先级最高
2、interface,接收请求的网卡 优先级第二
3、firewalld.conf 中配置的默认 zone 优先级最低
这三个的优先级按顺序依次降低,也就是说如果按照 source 可以找到就不会再按 interface 去查找,如果前两个都找不到才会使用第三个,即 firewalld.conf 中配置的默认zone。
配置zone
修改默认zone
firewall-cmd --get-default-zone #查看默认区域
firewall-cmd --list-all