Pelo que eu sei, existem duas maneiras principais de adicionar regras firewalld,regras normais de "zona"eregras ricas. Além disso, entendo que quando definirmos target="DROP, todas as novas conexões de entrada serão descartadas, a menos que adicionemos regras para permitir o tráfego de entrada selecionado.
Quero perguntar se existe algum padrão no qual as firewalldregras serão aplicadas a um pacote recebido quando adicionarmos novas regras usando regras de zona regulares versus regras ricas?
Por exemplo, esta é a ordem em que
firewalldas regras sempre serão aplicadas:
- Regras normais
- Regras ricas
- Regra de política de descarte padrão
Responder1
As regras firewalldtêm prioridades e as regras são aplicadas para que aquela com prioridade mais baixa seja avaliada primeiro. Se duas regras contraditórias têm a mesma prioridade, o resultado é indefinido.
As prioridades são:
- As regras ricas têm prioridade 0, a menos que sejam explicitamente especificadas; nesse caso, elas têm a prioridade especificada. As prioridades podem estar entre -32768 e 32767.
- Os serviços têm prioridade 0.
- As regras de zona padrão (ou seja, especificadas por
--set-target) são processadas por último.
Portanto, se você tiver target=DROPuma zona especificada, qualquer regra contraditória negará isso. Portanto, adicionar um serviço ou regra rica permitirá o serviço ou regra em questão. Se você tiver um serviço e uma regra rica contraditória com prioridade menor que zero, a regra rica terá precedência. Se uma regra rica contraditória tiver uma prioridade maior que zero, ela é autônoma.