Soweit ich weiß, gibt es zwei Möglichkeiten, Regeln hinzuzufügen firewalld,normale "Zonen"-RegelnUndRich-Regeln. Außerdem verstehe ich, dass, wenn wir festlegen target="DROP, alle neuen eingehenden Verbindungen getrennt werden, sofern wir nicht Regeln hinzufügen, um ausgewählten eingehenden Datenverkehr zuzulassen.
Ich möchte fragen, ob es ein Standardmuster gibt, nach dem die firewalldRegeln auf ein eingehendes Paket angewendet werden, wenn wir neue Regeln mithilfe von regulären Zonenregeln im Vergleich zu Rich-Rules hinzufügen?
Dies ist beispielsweise die Reihenfolge, in der
firewalldRegeln immer angewendet werden:
- Normale Regeln
- Reiche Regeln
- Standardregel für die Drop-Policy
Antwort1
Regeln firewalldhaben Prioritäten und werden so angewendet, dass die Regeln mit der niedrigeren Priorität zuerst ausgewertet werden. Wenn zwei sich widersprechende Regeln die gleiche Priorität haben, ist das Ergebnis undefiniert.
Die Prioritäten sind:
- Rich Rules haben eine Priorität von 0, sofern sie nicht explizit angegeben sind. In diesem Fall haben sie die angegebene Priorität. Die Prioritäten können zwischen -32768 und 32767 liegen.
- Dienste haben eine Priorität von 0.
- Standardzonenregeln (d. h. angegeben durch
--set-target) werden zuletzt verarbeitet.
Wenn Sie also eine target=DROPfür eine Zone festgelegte Regel haben, wird diese durch jede widersprüchliche Regel aufgehoben. Wenn Sie also einen Dienst oder eine Rich-Regel hinzufügen, wird der betreffende Dienst oder die betreffende Regel zugelassen. Wenn Sie einen Dienst und eine widersprüchliche Rich-Regel mit einer Priorität kleiner als Null haben, hat die Rich-Regel Vorrang. Wenn eine widersprüchliche Rich-Regel eine Priorität größer als Null hat, handelt es sich um einen No-Op.