我知道dropFirewallD 中的区域(我的默认区域)会阻止所有传入流量,包括 icmp,因此 ping 也是如此。该FedoraWorkstation区域不会阻止 icmp。
但是我在哪里可以看到这个?如果将 a 应用于--list-all两个区域,则 icmp 方面没有任何区别。
drop (active)
target: DROP
icmp-block-inversion: no
interfaces: wlp2s0
sources:
services:
ports:
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
FedoraWorkstation
target: default
icmp-block-inversion: no
interfaces:
sources:
services: dhcpv6-client mdns samba-client ssh
ports: 1025-65535/udp 1025-65535/tcp
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
答案1
两者的区别在于分配的目标。
根据firewalld手册页:
target="ACCEPT|%%REJECT%%|DROP" 可用于接受、拒绝或丢弃每个数据包。ACCEPT 目标用于信任区域,每个数据包都将被接受。%%REJECT%% 目标用于阻止区域,每个数据包都将以默认的防火墙拒绝类型被拒绝。DROP 目标用于丢弃区域,每个数据包都将被丢弃。默认目标是 {chain}区{zone},如果未指定目标,则将使用它。如果使用默认目标以外的目标,则除接口和源之外的所有设置都将被忽略,因为防火墙中为该区域创建的第一条规则是“跳转到目标”。
现在,如果您将 FedoraWorkstation 目标设置为 DROP 或 %%REJECT%%,您将能够丢弃/拒绝数据包。