据我所知,添加规则主要有两种方式firewalld,正常的“区域”规则和富人规则。另外,我了解,当我们设置时target="DROP,所有新的传入连接都将被丢弃,除非我们添加规则以允许选定的传入流量。
我想问一下,firewalld当我们使用常规区域规则与丰富规则添加新规则时,是否有任何标准模式将规则应用于传入数据包?
firewalld例如,这是始终应用规则的顺序:
- 正常规则
- 丰富的规则
- 默认丢弃策略规则
答案1
规则firewalld具有优先级,并且应用规则时,优先级较低的规则会首先得到评估。如果两个相互矛盾的规则具有相同的优先级,则结果不确定。
优先事项包括:
- Rich 规则的优先级为 0,除非明确指定,在这种情况下,它们具有指定的优先级。优先级可以在 -32768 到 32767 之间。
- 服务的优先级为 0。
--set-target最后处理默认区域规则(即由指定)。
因此,如果您target=DROP为某个区域指定了 ,则任何矛盾的规则都会否定这一点。因此,添加服务或富规则将允许相关服务或规则。如果您有一个服务,并且有优先级小于零的矛盾富规则,则富规则将优先。如果矛盾富规则的优先级大于零,则它为无操作。