私の知る限り、ルールを追加するには主に2つの方法がありますfirewalld。通常の「ゾーン」ルールそしてリッチルールtarget="DROPまた、 を設定すると、選択した着信トラフィックを許可するルールを追加しない限り、すべての新しい着信接続がドロップされることも理解しています。
firewalld通常のゾーン ルールとリッチ ルールを使用して新しいルールを追加するときに、着信パケットにルールが適用される標準パターンはありますか?
firewalldたとえば、ルールが常に適用される順序は次のようになります。
- 通常のルール
- リッチルール
- デフォルトのドロップポリシールール
答え1
のルールにはfirewalld優先順位があり、優先順位の低いルールが最初に評価されるようにルールが適用されます。 矛盾する 2 つのルールの優先順位が同じ場合、結果は未定義になります。
優先事項は次のとおりです。
- リッチ ルールの優先度は、明示的に指定されない限り 0 です。明示的に指定されている場合は、指定された優先度になります。優先度は -32768 から 32767 までの範囲になります。
- サービスの優先度は 0 です。
- デフォルトのゾーン ルール (つまり、 によって指定される
--set-target) は最後に処理されます。
したがって、target=DROPゾーンに が指定されている場合、矛盾するルールはこれを否定します。したがって、サービスまたはリッチ ルールを追加すると、問題のサービスまたはルールが許可されます。サービスがあり、優先度が 0 未満の矛盾するリッチ ルールがある場合、リッチ ルールが優先されます。矛盾するリッチ ルールの優先度が 0 より大きい場合、何も実行されません。