CentOS.7防火墙firewalld属性

zone是防火墙的分区,有如下几个:

drop:丢弃,任何进入的数据包将被丢弃,意味着不存在响应。
•阻塞区域(Block Zone):阻塞区域会拒绝进入的网络连接,返回 icmp-host-prohibited,只
有服务器已经建立的连接会被通过即只允许由该系统初始化的网络连接。
•公共区域(Public Zone):只接受那些被选中的连接,默认只允许 ssh 和 dhcpv6-client。这
个 zone 是缺省 zone
•外部区域(External Zone):这个区域相当于路由器的启用伪装(masquerading)选项。只
有指定的连接会被接受,即 ssh,而其它的连接将被丢弃或者不被接受。
•隔离区域(DMZ Zone):如果想要只允许给部分服务能被外部访问,可以在 DMZ 区域中定
义。它也拥有只通过被选中连接的特性,即 ssh。
•工作区域(Work Zone):在这个区域,我们只能定义内部网络。比如私有网络通信才被允
许,只允许 ssh,ipp-client 和 dhcpv6-client。
•家庭区域(Home Zone):这个区域专门用于家庭环境。它同样只允许被选中的连接,即 ssh,
ipp-client,mdns,samba-client 和 dhcpv6-client。
•内部区域(Internal Zone):这个区域和工作区域(Work Zone)类似,只有通过被选中的连
接,和 home 区域一样。
•信任区域(Trusted Zone):信任区域允许所有网络通信通过。记住:因为 trusted 是最被信
任的,即使没有设置任何的服务,那么也是被允许的,因为 trusted 是允许所有连接的
以上是系统定义的所有的 zone,但是这些 zone 并不是都在使用。只有活跃的 zone 才有
实际操作意义。

zone的信息

1.名称:drop、pubilc等。
2.target:可以理解为默认行为,有default、accept、%%reject%%、drop四个值可选(具体作用未查到)。
3.icmp-block-inversion:icmp报文阻塞,可以选择Internet控制报文协议的报文。这些报文可以是信息请求亦可以是对信息请求或错误条件创建的响应。
3.interfaces:接口,可以理解为网卡,接收请求的网卡。
4.sources:源地址,可以是ip地址也可以是ip地址段,支持的ip。
5.services:服务,支持的服务。
6.ports:端口,开放的端口。
7.protocols:协议。
8.masquerade:地址伪装,snat的一种特例,可以实现自动化snat。将一个网段的数据包Snat成一个地址或多的地址,然后发出去,这个不需要指定目标IP。
9.forward-ports:端口转发或映射。
10.source-ports:源端口
11.icmp-blocks:据查询是用于防止ICMP攻击的。
12.rich rules:富规则。

原文

原文

posted @   jiftle  阅读(276)  评论(0编辑  收藏  举报
编辑推荐:
· 浏览器原生「磁吸」效果!Anchor Positioning 锚点定位神器解析
· 没有源码,如何修改代码逻辑?
· 一个奇形怪状的面试题:Bean中的CHM要不要加volatile?
· [.NET]调用本地 Deepseek 模型
· 一个费力不讨好的项目,让我损失了近一半的绩效!
阅读排行:
· 在鹅厂做java开发是什么体验
· 百万级群聊的设计实践
· WPF到Web的无缝过渡:英雄联盟客户端的OpenSilver迁移实战
· 永远不要相信用户的输入:从 SQL 注入攻防看输入验证的重要性
· 浏览器原生「磁吸」效果!Anchor Positioning 锚点定位神器解析
历史上的今天:
2019-10-10 centos7搭建maven私服
2018-10-10 shell脚本输出带颜色字体
点击右上角即可分享
微信分享提示