내가 아는 한, 에 규칙을 추가하는 두 가지 주요 방법이 있습니다 firewalld.일반적인 "구역" 규칙그리고풍부한 규칙. 또한 을 설정할 때 target="DROP선택된 수신 트래픽을 허용하는 규칙을 추가하지 않으면 새로 들어오는 모든 연결이 끊어진다는 것을 이해합니다.
firewalld일반 영역 규칙과 리치 규칙을 사용하여 새 규칙을 추가할 때 수신 패킷에 규칙이 적용되는 표준 패턴이 있는지 묻고 싶습니다 .
firewalld예를 들어 규칙이 항상 적용되는 순서는 다음과 같습니다 .
- 일반 규칙
- 풍부한 규칙
- 기본 삭제 정책 규칙
답변1
의 규칙에는 firewalld우선순위가 있으며, 우선순위가 낮은 규칙이 먼저 평가되도록 규칙이 적용됩니다. 두 개의 모순되는 규칙이 동일한 우선순위를 갖는 경우 결과는 정의되지 않습니다.
우선순위는 다음과 같습니다.
- 풍부한 규칙의 우선순위는 명시적으로 지정되지 않는 한 0이며, 이 경우 지정된 우선순위를 갖습니다. 우선순위는 -32768에서 32767 사이일 수 있습니다.
- 서비스의 우선순위는 0입니다.
- 기본 영역 규칙(예: 로 지정됨
--set-target)은 마지막으로 처리됩니다.
따라서 target=DROP영역에 대해 지정된 경우 모순되는 규칙은 이를 무효화합니다. 따라서 서비스나 풍부한 규칙을 추가하면 문제의 서비스나 규칙이 허용됩니다. 서비스가 있고 우선순위가 0보다 작은 모순된 풍부한 규칙이 있는 경우 풍부한 규칙이 우선 적용됩니다. 모순되는 풍부한 규칙의 우선순위가 0보다 큰 경우 이는 작동하지 않습니다.