各地域の状況はどうですか?firewalld
ICMPパケット用に設定されていますか?インターフェイスとソースに対して異なる動作をしますか?
1.firewalldはICMPパケットをどのようにフィルタリングしますか?
私の考えでは、主な領域は名前が言うものとまったく一致しています。
drop : DROP
block : REJECT
trust : ACCEPT
しかし、他の地域はどうですか?public
, external
, work
, internal
, home
? デフォルトで ICMP パケットを許可または拒否しますか。
2.この機能は、ゾーンがインターフェイスによって割り当てられているのかソースによって割り当てられているのかによって異なりますか?
172.28.0.2
たとえば、2つの設定間のソースIPに違いはありますか?
some-zone
interfaces: eno1
sources:
services: ssh
ports:
masquerade: no
forward-ports:
icmp-blocks:
rich rules:
そして
some-zone
interfaces:
sources: 172.28.0.0/16
services: ssh
ports:
masquerade: no
forward-ports:
icmp-blocks:
rich rules:
答え1
1.firewalldは各ゾーンでICMPパケットをどのように処理しますか?
Red Hatのファイアウォール文書、特にこのセクションでは、タイトルは次のとおりです。5.15。 「さまざまな言語」構文を使用した複雑なファイアウォールルールの構成:
icmp-blockはこれを使用します。拒否する内部
(私が強調するのは、「drop」と「accept」を使用しないことです。)デフォルトの領域はICMPタイプをブロックしないようです。 /usr/lib/firewalld/zonesのXMLファイルと欠落しているものを参照してください<icmp-block>
。
ゾーンベースのicmpブロックの現在の状態を表示するには、次を実行してfirewall-cmd --list-all-zones
エントリicmp-blocks:
を見つけます。
2.この機能は、ゾーンがインターフェイスによって割り当てられているのかソースによって割り当てられているのかによって異なりますか?
間接的。interfaces
そして、sources
ファイアウォールにその領域を選択するように指示すると、ICMPブロックは一部またはまったく適用されません。望むより:http://www.firewalld.org/documentation/man-pages/firewall-cmd.htmlそれについて話すのは次のとおりです。
インターフェイスをゾーンにバインドすることは、そのゾーンがインターフェイスを介したトラフィックを制限するために使用されることを意味します。
そして
オリジンをゾーンにバインドするとは、そのロケールがそのオリジンのトラフィックを制限するために使用されることを意味します。
答え2
$ grep -i icmp /lib/firewalld/zones/*.xml
$ rpm -q firewalld
firewalld-0.4.4.1-1.fc24.noarch
したがって、その領域の基本ターゲットによって処理されます。これはman firewall.zone
、明示的なデフォルト値のない領域がパケットを拒否することを示します。
しなければならないGUIから消去。