在firewalld中,我可以为网络接口分配一个区域。区域包含一些防火墙规则。
现在我有一个具有不同信任级别的网络接口(172.16.1.1/32应该在网络中具有特殊访问权限172.16.1.0/24)。例如,管理主机的 SSH 访问权限。
我发现实现这一点的唯一方法是使用丰富的规则。但我对这种方法不满意,因为它基本上是一个无法提供描述的 iptables 规则。有没有办法为管理主机创建单独的区域或子区域?
优点是配置更易读。我可以创建一个具有特殊权限的 ManagmentZone。当另一个 ManagmentZoneAdmin-PC启动时,我只需将其地址添加到此区域即可。
答案1
有没有办法创建一个单独的区域?
是的,您可以创建新的区域:
https://fedoraproject.org/wiki/FirewallD#How_to_configure_or_add_zones.3F
如何配置或添加区域?
要配置或添加区域,您可以使用其中一个firewalld 接口来处理和更改配置。这些是图形配置工具firewall-config、命令行工具firewall-cmd 或 D-BUS 接口。或者您可以在其中一个配置目录中创建或复制区域文件。@PREFIX@/lib/firewalld/zones 用于默认和后备配置,/etc/firewalld/zones 用于用户创建和自定义的配置文件。
从http://www.certdepot.net/rhel7-get-started-firewalld/
# firewall-cmd --permanent --new-zone=test
success
# firewall-cmd --reload
success