多个防火墙区域是否可以在任何给定时间处于活动状态?

多个防火墙区域是否可以在任何给定时间处于活动状态?

我一直在努力诡异的(对我来说)防火墙错误,但现在我看到了我想要的防火墙行为。但令我困惑的是,似乎有效的是区域droptrusted

[root@douglasii ~]#  firewall-cmd --get-active-zones
drop
  interfaces: eth0 veth879317c vethaff7c39 vethb2fec6e
trusted
  sources: 192.168.0.0/16
[root@douglasii ~]# firewall-cmd --zone=drop --list-all
drop (default, active)
  interfaces: eth0 veth879317c vethaff7c39 vethb2fec6e
  sources: 
  services: ssh
  ports: 443/tcp 80/tcp
  masquerade: no
  forward-ports: 
  icmp-blocks: 
  rich rules: 

[root@douglasii ~]# firewall-cmd --zone=trusted --list-all
trusted
  interfaces: 
  sources: 192.168.0.0/16
  services: ssh
  ports: 443/tcp 80/tcp
  masquerade: no
  forward-ports: 
  icmp-blocks: 
  rich rules: 

我印象中,您使用 一次设置一个区域set-default-zone。我看到我为哪个区域执行此操作都会获得“活动”标签。不是这样吗?多个防火墙区域可以在任何给定时间处于活动状态吗?它们是否同时应用?什么是默认区域?从阅读中我不清楚FirewallD 上的文档

答案1

根据我最近的经验,你可以

  1. 默认区域
  2. 绑定到(一个)接口的区域

因此,如果您有多个接口,您可以将每个接口分配到其自己的区域或将所有接口分配到一个区域,独立操作各个区域(从而操作接口),并且仍然有一个与接口分配的区域不同的默认区域。我相信默认区域对于捕获未分配给任何区域的接口非常有用。

相关内容