ファイアウォールエリアとICMPパケット

ファイアウォールエリアとICMPパケット

各地域の状況はどうですか?firewalldICMPパケット用に設定されていますか?インターフェイスとソースに対して異なる動作をしますか?

1.firewalldはICMPパケットをどのようにフィルタリングしますか?

私の考えでは、主な領域は名前が言うものとまったく一致しています。

drop : DROP
block : REJECT
trust : ACCEPT

しかし、他の地域はどうですか?public, external, work, internal, home? デフォルトで ICMP パケットを許可または拒否しますか。

2.この機能は、ゾーンがインターフェイスによって割り当てられているのかソースによって割り当てられているのかによって異なりますか?

172.28.0.2たとえば、2つの設定間のソースIPに違いはありますか?

some-zone 
  interfaces: eno1
  sources: 
  services: ssh
  ports: 
  masquerade: no
  forward-ports: 
  icmp-blocks: 
  rich rules:

そして

some-zone 
  interfaces: 
  sources: 172.28.0.0/16
  services: ssh
  ports: 
  masquerade: no
  forward-ports: 
  icmp-blocks: 
  rich rules:

答え1

1.firewalldは各ゾーンでICMPパケットをどのように処理しますか?

Red Hatのファイアウォール文書、特にこのセクションでは、タイトルは次のとおりです。5.15。 「さまざまな言語」構文を使用した複雑なファイアウォールルールの構成:

icmp-blockはこれを使用します。拒否する内部

(私が強調するのは、「drop」と「accept」を使用しないことです。)デフォルトの領域はICMPタイプをブロックしないようです。 /usr/lib/firewalld/zonesのXMLファイルと欠落しているものを参照してください<icmp-block>

ゾーンベースのicmpブロックの現在の状態を表示するには、次を実行してfirewall-cmd --list-all-zonesエントリicmp-blocks:を見つけます。

2.この機能は、ゾーンがインターフェイスによって割り当てられているのかソースによって割り当てられているのかによって異なりますか?

間接的。interfacesそして、sourcesファイアウォールにその領域を選択するように指示すると、ICMPブロックは一部またはまったく適用されません。望むより:http://www.firewalld.org/documentation/man-pages/firewall-cmd.htmlそれについて話すのは次のとおりです。

インターフェイスをゾーンにバインドすることは、そのゾーンがインターフェイスを介したトラフィックを制限するために使用されることを意味します。

そして

オリジンをゾーンにバインドするとは、そのロケールがそのオリジンのトラフィックを制限するために使用されることを意味します。

答え2

$ grep -i icmp /lib/firewalld/zones/*.xml
$ rpm -q firewalld
firewalld-0.4.4.1-1.fc24.noarch

したがって、その領域の基本ターゲットによって処理されます。これはman firewall.zone、明示的なデフォルト値のない領域がパケットを拒否することを示します。

しなければならないGUIから消去

関連情報