允许区域漂移 - Firewalld：它是什么，我应该禁用它吗？

Question

37

我在这里是新手，如果我问了一些愚蠢的问题，请原谅我。

我已经在CentOS 8上创建了一个DO droplet。安装firewalld后，我检查了它的状态并得到了一个警告。

Apr 24 05:56:31 centos-s-1vcpu-1gb-blr1-01 firewalld[2956]: 警告：AllowZoneDrifting已启用。这被认为是不安全的配置选项。它将在将来的版本中删除。

我有一些关于Linux的基础知识，但我对firewalld没有任何了解。如果有人能解释一下 AllowZoneDrifiting 是什么，那就太好了。

谢谢！

- Manohar Bhatia

3个回答

9

firewalld维护者发言。

在firewalld和其他基于区域的防火墙中，数据包应该只进入一个区域。区域漂移违反了这个原则。

AllowZoneDrifting应该被禁用，如果可能的话（如日志所示）。上游firewalld默认为no，但某些Linux发行版会将其覆盖为yes，以保留现有行为。一些用户即使正确性值得怀疑，仍然依赖于“透过”行为。

有关更多信息和激励修复区域漂移问题的错误列表，请参见上游博客。

- erig

0

今天我进行了一次RHEL 8.6的全新安装，我注意到在/etc/firewalld/firewalld.conf中，默认情况下AllowZoneDrifting=yes。

- Eric Bos

使用“systemctl -l status firewalld”检查状态，它可能会建议您考虑禁用它：“警告：AllowZoneDrifting已启用。这被认为是一种不安全的配置选项。它将在未来的版本中被删除。请考虑立即禁用它。” - user2315938

这是RHEL8的默认设置，作为主要版本中的默认设置不会更改。请查看https://access.redhat.com/articles/4855631获取更多信息。 - knumskull

网页内容由stack overflow 提供, 点击上面的

可以查看英文原文，
原文链接

- hein sat · Accepted Answer

不。这是一个好问题。您可以在/etc/firewalld/firewalld.conf中禁用它。在此配置文件中搜索AllowZoneDrifting，并将yes更改为no。

根据手册：

旧版本的firewalld存在一种未记录的行为，称为“zone drifting”。这允许数据包进入多个区域 - 这是区域基础防火墙的违反。但是，一些用户依赖于此行为来拥有“全捕获”区域，例如默认区域。如果您需要这样的行为，可以启用它。出于安全原因，默认情况下禁用它。

注意：如果设置为“yes”，则数据包仅会从基于源的区域漂移到基于接口的区域（包括默认区域）。数据包永远不会从基于接口的区域漂移到其他接口的区域（包括默认区域）。

可能的值：“yes”，“no”。默认值为“yes”。