来自 firewalld 手册:
–permanent [–zone=zone] --set-target=target 将永久区域的目标设置为target,其中target是以下之一:default、ACCEPT、DROP、REJECT。
默认目标是 REJECT。是否可以将默认目标更改为 DROP?如果不行,那么为什么存在默认选项,而它总是 REJECT?
我正在使用 CentOS 7.4。
我知道可以按自己的喜好配置 firewalld,但如果有可能,我想知道如何更改默认目标。
2个回答
5
关于 firewalld(1) 和其目标的相关内容 (截至2020年):
- 可能的策略目标(用于来自一个特定区域到另一个区域的流量)
- CONTINUE
- ACCEPT
- DROP
- REJECT
- 此类策略仅在firewalld>=0.9.0版本中可用
- 可能的区域目标(用于进入/离开区域的流量,其中预定义的名为“DEFAULT”的目标实际上可以使用)
- DEFAULT
- ACCEPT
- DROP
- REJECT
- 目标: "DEFAULT"
- REJECT
- 允许 ICMP
- 如果入口区域是默认值,则转发将遵循出口区域目标
- 全局设置可能应用区域漂移
区域中的目标是数据包无法匹配其他区域规则时发送的目标,可以是:
- 接受 (ACCEPT)
- 丢弃 (DROP)
- 拒绝 (REJECT)
- 或者... 默认值 (DEFAULT)
"DEFAULT" 基本上是一个简单的 REJECT,加上其他合理的设置以获得更合理的默认设置,其名称选择有些不太幸运。
接受的答案有些误导性,因为它谈论了重新定义目标“DEFAULT”的内容。
然而,问题应该更关注是否可能在区域中设置不同的默认目标,这是完全可能的:
firewall-cmd --permanent --zone=YOUR_ZONE_HERE --set-target=ACCEPT
firewall-cmd --reload
#some different oneliners to verify your config
#1.
(firewall-cmd --list-all;for i in $(firewall-cmd --get-active-zones|grep -v "^\s");do firewall-cmd --list-all --zone=$i;done)|grep -v ':\s*$'
#2.
fwstatus() { _fwstate=$(firewall-cmd --state 2>&1);printf "FIREWALLD=%s\n" "${_fwstate}";[[ "not running" == ${_fwstate} ]]&&return;_panicstate=$(firewall-cmd --query-panic);if [[ "on" == "${_panicstate}" ]];then printf "\e[41;1m";else printf "\e[32;1m";fi;printf "PANIC MODE=%s\e[m\n" "${_panicstate}";printf "LOCKDOWN=%s\n\n" "$(firewall-cmd --query-lockdown)";_defaultzone=$(firewall-cmd --get-default-zone);firewall-cmd --list-all-zones|sed 's/^'"$_defaultzone"'/& (default)/'|sed -n '/^'"$_defaultzone"'\|active/,/^$/p'|grep -v -e ':\s*$' -e icmp-block-inversion|awk 'NF>0'|grep --color -e$ -e^\\w.\\+;}&&fwstatus ## show full firewalling state,only works when firewalld is running
#3.
firewall-cmd --zone=YOUR_ZONE_HERE --list-all
- sjas
1
无法更改默认目标-它是硬编码的。可能包含“default”是为了在将来引入“--set-default-target”选项,但这只是推测。
- oO.o
网页内容由stack overflow 提供, 点击上面的可以查看英文原文,
原文链接
原文链接