什么是区域?

网络区域定义网络连接的信任级别(the level of trust for network connections)。一个网络连接只能是一个区域的一部分,但一个区域可以包含许多网络连接。

预定义的服务

服务是端口和/或协议条目的组合。可以随意添加netfilter助手模块(netfilter helper modules ),以及IPv4和IPv6目标地址。

端口和协议

定义tcp或udp端口,其中端口可以是单个端口或端口范围。

ICMP块

选定的Internet控制消息协议(ICMP)消息。这些消息要么是信息请求,要么是作为对信息请求或错误条件的回复创建的。

地址伪装(Masquerading)

一个私有网络的地址被映射到一个公共IP地址后面。这是地址转换的一种形式。

转发端口(Forward ports)

端口要么映射到另一个端口,要么映射到另一个主机。

哪些区域可用 (Which zones are available)?

这些区域由firewalld提供,根据从不受信任到可信的区域的默认信任级别进行排序。

drop

Any incoming network packets are dropped, there is no reply. Only outgoing network connections are possible.

block

Any incoming network connections are rejected with an icmp-host-prohibited message for IPv4 and icmp6-adm-prohibited for IPv6. Only network connections initiated within this system are possible.

public

For use in public areas(公共网络). You do not trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.

external(对外的)

For use on external networks with masquerading enabled especially for routers(用于在外部网络上进行伪装,特别是路由器。). You do not trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.

dmz(非军事区)

For computers in your demilitarized zone(非军事区) that are publicly-accessible with limited access to your internal network. Only selected incoming connections are accepted.

work

For use in work areas. You mostly trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.

home

For use in home areas. You mostly trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.

internal(内网)

For use on internal networks. You mostly trust the other computers on the networks to not harm your computer. Only selected incoming connections are accepted.

trusted

All network connections are accepted.

应该使用哪个区域?

例如,公共WIFI网络连接总体上是不受信任的,有线家庭网络连接应当相当可信。选择与您使用的网络连接最匹配的zone。

如何配置或添加区域?

要配置或添加区域,您可以使用firewalld接口之一来处理和更改配置。这些接口包括图形化配置工具firewall-config,命令行配置工具firewall-cmd或者是D-BUS接口。或者你可以在两个配置文件夹中创建或者拷贝一个zone文件。/lib/firewalld/zones配置文件夹用于默认和回退配置/etc/firewalld/zones配置文件夹用于用户创建和自定义配置文件

[root@bogon zones]# ls
block.xml dmz.xml drop.xml external.xml home.xml internal.xml public.xml trusted.xml work.xml
[root@bogon zones]# pwd
/lib/firewalld/zones
[root@bogon zones]# cd /etc/firewalld/zones
[root@bogon zones]# ls
internal.xml public.xml public.xml.old seccon.xml work.xml
[root@bogon zones]# pwd
/etc/firewalld/zones

如何设置或更改连接的区域(How to set or change a zone for a connection)

该zone存储在ifcfg-*配置文件中的ZONE选项。如果选项缺失或为空,则使用firewalld中设置的默认区域。

[root@bogon network-scripts]# less ifcfg-enp0s3

TYPE="Ethernet"
PROXY_METHOD="none"
BROWSER_ONLY="no"
BOOTPROTO="dhcp"
DEFROUTE="yes"
IPV4_FAILURE_FATAL="no"
IPV6INIT="yes"
IPV6_AUTOCONF="yes"
IPV6_DEFROUTE="yes"
IPV6_FAILURE_FATAL="no"
IPV6_ADDR_GEN_MODE="stable-privacy"
NAME="enp0s3"
UUID="76f0285c-24c4-40f0-982e-4b9b6a1d3383"
DEVICE="enp0s3"
ONBOOT="yes"
ZONE=public

如果连接由NetworkManager控制,则还可以使用nm-connection-editor更改区域。

通过NetworkManager处理网络连接(Network connections)

防火墙无法使用NetworkManager显示的名称处理网络连接,它只能处理网络接口。因此,NetworkManager会告诉firewalld在连接建立之前将与连接相关的网络接口放置在由连接的配置文件(ifcfg)定义的区域中。如果该区域未在配置文件中设置,则接口将被放入由firewalld设置的默认区域。如果连接有多个接口,则都将提供给firewalld。接口名称的更改也将由NetworkManager处理并提供给firewalld。

为了简化这个连接,从现在开始将使用与区域相关的连接。

如果连接断开,NetworkManager还会通知firewalld再次从区域移除连接。

如果firewalld由systemd或init脚本启动或重新启动,则firewalld会通知NetworkManager,并将连接添加到zone。

网络连接由网络脚本处理....

第二篇:zone(区域)的更多相关文章

  1. 前端工程师技能之photoshop巧用系列第二篇——测量篇

    × 目录 [1]测量信息 [2]实战 [3]注意事项 前面的话 前端工程师使用photoshop进行的大量工作实际上是测量.本文是photoshop巧用系列第二篇——测量篇 测量信息 在网页制作中需要 ...

  2. 【OpenGL】第二篇 Hello OpenGL

    ---------------------------------------------------------------------------------------------------- ...

  3. chromium浏览器开发系列第二篇:如何编译最新chromium源码

    说一下为什么这么晚才发第二篇,上周和这周department的工作太多了,晚上都是十点半从公司出发,回家以后实在没有多余的精力去摸键盘了.所以请大家包涵! 上期回顾: chromium源码下载: 1. ...

  4. 第二篇 界面开发 (Android学习笔记)

    第二篇 界面开发 第5章 探索界面UI元素 ●The Android View Class     ●△Widget设计步骤 需要修改三个XML,以及一个class: 1)第一个xml是布局XML文件 ...

  5. SaltStack 入门到精通第二篇:Salt-master配置文件详解

    SaltStack 入门到精通第二篇:Salt-master配置文件详解     转自(coocla):http://blog.coocla.org/301.html 原本想要重新翻译salt-mas ...

  6. chromium浏览器开发系列第二篇:如何编译最新chromium

    说一下为什么这么晚才发第二篇,上周和这周department的工作太多了,晚上都是十点半从公司出发,回家以后实在没有多余的精力去摸键盘了.所以请大家包涵! 上期回顾: chromium源码下载: 1. ...

  7. EnjoyingSoft之Mule ESB开发教程第二篇:Mule ESB基本概念

    目录 1. 使用Anypoint Studio开发 2. Mule ESB Application Structure - Mule ESB应用程序结构 3. Mule ESB Application ...

  8. [转帖]虚拟内存探究 -- 第二篇:Python 字节

    虚拟内存探究 -- 第二篇:Python 字节 http://blog.coderhuo.tech/2017/10/15/Virtual_Memory_python_bytes/ 是真看不懂哦     ...

  9. LWJGL3的内存管理,第二篇,栈上分配

    LWJGL3的内存管理,第二篇,栈上分配 简介 为了讨论LWJGL在内存分配方面的设计,本文将作为该系列随笔中的第二篇,用来讨论在栈上进行内存分配的策略,该策略在 LWJGL3 中体现为以 Memor ...

  10. [ 高并发]Java高并发编程系列第二篇--线程同步

    高并发,听起来高大上的一个词汇,在身处于互联网潮的社会大趋势下,高并发赋予了更多的传奇色彩.首先,我们可以看到很多招聘中,会提到有高并发项目者优先.高并发,意味着,你的前雇主,有很大的业务层面的需求, ...

随机推荐

  1. C#故事

    C# 在腾讯的发展 <先定个小目标, 使用C# 开发的千万级应用> Xamarin 携程使用.Net技术 分布式高并发redis MQ dubbo kafka zookeeper

  2. JSP中的Cookie

    如何创建Cookie 先引包: import="javax.servlet.http.Cookie" JSP是使用如下的语法格式来创建cookie的: Cookie cookie_ ...

  3. 使用ExecutorService实现线程池

    ExecutorService是java提供的用于管理线程池的类. 线程池的作用: - 控制线程数量 - 重用线程 当一个程序中创建了许多线程,并在任务结束后销毁,会给系统带来过度消耗资源,以及过度切 ...

  4. [Leetcode] Remove duplicate from sorted list ii 从已排序的链表中删除重复结点

    Given a sorted linked list, delete all nodes that have duplicate numbers, leaving only distinct numb ...

  5. 统计无符号整数二进制中1的个数(Hamming weight)

    1.问题来源 之所以来记录这个问题的解法,是因为在在线编程中经常遇到,比如编程之美和京东的校招笔试以及很多其他公司都累此不疲的出这个考题.看似简单的问题,背后却隐藏着很多精妙的解法.查找网上资料,才知 ...

  6. BZOJ day2

    十六题...(好难啊) 1051105910881191119214321876195119682242243824562463276128184720

  7. bzoj3343: 教主的魔法 分块 标记

    修改:两边暴力重构,中间打标记.复杂度:O(n0.5) 查询:中间二分两边暴力.O(n0.5logn0.5) 总时间复杂度O(n*n0.5logn0.5) 空间复杂度是n级别的 标记不用下传因为标记不 ...

  8. CentOS ninimal 安装后没有桌面-yellowcong

    昨天,安装Centos后,发现没有桌面,主要是没有安装桌面环境导致 的这个问题,我们需要做的第一步是,安装一个桌面(GNOME Desktop,命令:yum groupinstall -y " ...

  9. SICAU-OJ: 第k小

    第k小 题意: 给出一个长度不超过5000的字符串,然后让你找出第K小的字串(1<=K<=5).重复的串大小相等. 题解: 这里我们知道某些串的前缀是肯定小于等于其本身的. 那么长度为5的 ...

  10. gogole调试请求体的数据怎么知道

    在network---->header->request payload中看 详细情况见下图所示: