简介
Firewalld是一个用于CentOS、Fedora和Red Hat Enterprise Linux(RHEL)等系统的动态防火墙管理工具。它是iptables的前端工具,可以帮助用户配置和管理Linux系统上的防火墙规则。
Firewalld防火墙是一种简单的、有状态的、基于区域(zone)的防火墙。策略和zone用于组织防火墙规则。网络在逻辑上被划分为多个区域,它们之间的流量可以通过策略进行管理。Firewalld提供了九个预定义区域,public、drop、block、external、dmz、work、home、internal、trusted,默认区域为public,也可以自己创建新的区域。
firewalld架构
防火墙命令 firewall-cmd, firewall-config, firewall-applet 通过D-Bus接口与Firewalld进行通讯,允许用户实时地查看和修改防火墙规则
firewall-offline-cmd不通过接口直接与Firewalld的内核进行通讯。
zone规则
- 所有到达网络接口(网卡)的网络数据包只进入一个zone
- 系统发出的网络数据包也只经过一个zone
- 每个区域定义了一个信任级别
- 基于规则3默认信任来自同一个区域的流量
- 基于规则3默认拒绝跨区域流量
- 管理员可以添加新的策略修改规则4、5的默认行为