在 Fedora 36 中,我注意到一个新的防火墙命令警告,我之前没有注意到(以相同方式设置时):
# firewall-cmd --list-all
You're performing an operation over default zone ('public'),
but your connections/interfaces are in zone 'trusted' (see --get-active-zones)
You most likely need to use --zone=trusted option.
public
target: default
icmp-block-inversion: no
interfaces:
sources:
services: http https mosh ssh wireguard
ports:
protocols:
forward: yes
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
除了firewalld之外,该主机还运行networkd和wireguard,并有3个接口:enp0s3、wg0和lo
这些服务正是我想要在公共接口上公开的服务,并且是我使用firewalld 显式配置的。
该警告看起来像是我的所有接口都位于受信任区域中,但事实并非如此:
# firewall-cmd --get-active-zones
trusted
interfaces: wg0
这意味着 enp0s3 没有明确添加到某个区域,因此是默认区域的一部分,这应该完全没问题:
系统管理员在其配置文件中将区域分配给网络接口。如果接口未分配到特定区域,则会分配到默认区域。
(RHEL 7 安全指南,第 5.7.3 节。更改默认区域)
其中默认区域是公共区域:
# firewall-cmd --get-default-zone
public
因此,我的问题是:这个警告有道理吗?
另请参阅:网络问题:RFE:在防火墙的网络文件中设置区域参数