1 前言
有时候,我们需要允许某些源主机到服务器的所有通讯,于是我们就想到使用信任区域来解决此问题。
2 基础知识
2.1 区域的概念
– 网络区域用于定义网络连接的信任级别
– 一个区域可以定义多个网络,但一个网络只能属于一个区域(一对多的关系)
2.2 区域的防火墙功能
– 预定义的服务(服务是端口与协议条目的组合,可选netfilter帮助模块以及IPv4和IPv6的目标地址)
– 端口和协议(可定义tcp或udp的单个端口或端口范围)
– ICMP块(阻止特定的Internet控制消息协议,即ICMP协议,此消息可以是请求或回复或错误条件)
– 伪装(专用网络地址映射到公网IP地址并隐藏在公共IP后面,即地址转换)
– 端口转发(源向端口映射到另一个主机的同一个端口或不同端口)
– 丰富的语言规则
— 由服务、端口、icmp-block、伪装、源端口、目标端口、源地址、目标地址组成的防火墙规则
— 也可以加上日志、操作、限制、主机或网络的黑白名单组成的防火墙规则
2.3 防火墙的区域
– drop,任何传入的数据包都被丢弃,没有回复,只能进行传出网络连接
– block,任何传入的网络连接都被拒绝,由IPv4或IPv6的icmp-host-prohibited显示消息,此系统只能启用网络连接
– external,该区域定位于公共场所,该区域不信任其他计算机,仅接受选定的传入连接
– dmz,该区域接受计算机的公开访问,但对内部网络的访问权限有限,仅接受选定的传入连接
– work,该区域定位于工作,该区域信任网络上的其他计算机,安全起见,仅接受选定的传入连接
– home,该区域定位于家庭,该区域信任网络上的其他计算机,安全起见,仅接受选定的传入连接
– internal,该区域定位于内部,该区域信任网络上的其他计算机,安全起见,仅接受选定的传入连接
– trsted,该区域接受所有网络连接
3 最佳实践
3.1 将原地址添加到信任区域
firewall-cmd --permanent --zone=trusted --add-source=10.168.0.235/32
3.2 重载防火墙是配置生效
firewall-cmd --reload
3.3 查看信任区域的配置
firewall-cmd --reload
可见如下显示,
trusted (active)
target: ACCEPT
icmp-block-inversion: no
interfaces:
sources: 10.168.0.235/32
services:
ports:
protocols:
masquerade: no
forward-ports:
sourceports:
icmp-blocks:
rich rules:
另外,如果你需要查看所有区域的配置,请使用如下命令,
firewall-cmd --list-all-zones