Hasta donde yo sé, hay 2 formas principales de agregar reglas firewalld,reglas normales de "zona"yreglas ricas. Además, entiendo que cuando configuramos target="DROP, todas las conexiones entrantes nuevas se descartarán a menos que agreguemos reglas para permitir el tráfico entrante seleccionado.
Quiero preguntar, ¿existe algún patrón estándar en el que las firewalldreglas se aplicarán a un paquete entrante cuando agreguemos nuevas reglas usando reglas de zona regulares versus reglas enriquecidas?
Por ejemplo, ¿este es el orden en el que
firewalldsiempre se aplicarán las reglas?
- reglas normales
- reglas ricas
- Regla de política de eliminación predeterminada
Respuesta1
Las reglas firewalldtienen prioridades y se aplican de modo que la que tiene menor prioridad sea evaluada primero. Si dos reglas contradictorias tienen la misma prioridad, el resultado no está definido.
Las prioridades son:
- Las reglas enriquecidas tienen una prioridad de 0, a menos que se especifique explícitamente, en cuyo caso tienen la prioridad especificada. Las prioridades pueden estar entre -32768 y 32767.
- Los servicios tienen una prioridad de 0.
- Las reglas de zona predeterminadas (es decir, especificadas por
--set-target) se procesan en último lugar.
Entonces, si tiene target=DROPuna zona especificada, cualquier regla contradictoria la niega. Entonces, agregar un servicio o una regla enriquecida permitirá el servicio o la regla en cuestión. Si tiene un servicio y una regla rica contradictoria con una prioridad menor que cero, la regla rica tendrá prioridad. Si una regla rica contradictoria tiene una prioridad mayor que cero, es una operación no operativa.