據我所知,添加規則主要有兩種方式firewalld,正常的“區域”規則和豐富規則。另外,我知道當我們設定 時target="DROP,所有新的傳入連線都將被丟棄,除非我們新增規則以允許選定的傳入流量。
我想問firewalld當我們使用常規區域規則與豐富規則添加新規則時,是否有任何標準模式可以將規則應用於傳入資料包?
例如,這是否是
firewalld規則始終應用的順序:
- 正常規則
- 豐富的規則
- 預設丟棄策略規則
答案1
中的規則firewalld具有優先級,並且應用規則時優先級較低的規則首先得到評估。如果兩個相互矛盾的規則具有相同的優先級,則結果是不確定的。
優先事項是:
- 豐富規則的優先權為 0,除非明確指定,在這種情況下,它們具有指定的優先權。優先權可以介於 -32768 和 32767 之間。
- 服務的優先權為0。
- 預設區域規則(即由 指定
--set-target)最後處理。
因此,如果您指定了target=DROP一個區域,任何矛盾的規則都會否定這一點。因此,新增服務或豐富規則將允許相關服務或規則。如果您有一項服務,並且有一個優先順序小於零的矛盾豐富規則,則豐富規則將具有優先權。如果矛盾豐富規則的優先權大於零,則它是空運算。