firewalld: 背后的原理(nftables)

news/2024/12/22 14:07:17/文章来源:https://www.cnblogs.com/architectforest/p/18445651

一,firewalld对一个请求会适用哪个zone?

1, 当接收到一个请求时,firewalld具体使用哪个zone?

firewalld是通过三个步骤来判断的:

  1. source,即:源地址

  2. interface,即:接收请求的网卡

  3. firewalld.conf中配置的默认zone

    通常值为:DefaultZone=public

 

说明:三个步骤的优先级顺序降低

即:如果通过source匹配到了一个zone,

       则不会再使用interface,

       如果通过interface匹配到了zone,

       则不会再使用默认zone

2,  为什么会是这样?这是firewalld的设置,

查看active-zones

[root@192 ~]# firewall-cmd --get-active-zones
dropsources: 192.168.7.7
publicinterfaces: ens33
trustedsources: 192.168.8.8

查看default-zone

[root@192 ~]# firewall-cmd --get-default-zone
public

查看backend的nftables规则:

        chain filter_INPUT_ZONES {ip saddr 192.168.7.7 goto filter_IN_dropip saddr 192.168.8.8 goto filter_IN_trustediifname "ens33" goto filter_IN_publicgoto filter_IN_public}

二,firewalld的rich规则执行顺序: 

1,执行顺序

1,日志规则
2,drop/reject规则
3,accept规则

2,列出所有规则

[root@192 ~]# firewall-cmd --list-all
public (active)target: defaulticmp-block-inversion: nointerfaces: ens33sources:services: cockpit dhcpv6-client sshports:protocols:forward: yesmasquerade: noforward-ports:source-ports:icmp-blocks:rich rules:rule family="ipv4" source address="13.17.12.210" port port="22" protocol="tcp" acceptrule family="ipv4" source address="13.17.12.210" reject

查看nftables的规则:

      chain filter_IN_public {jump filter_INPUT_POLICIES_prejump filter_IN_public_prejump filter_IN_public_logjump filter_IN_public_denyjump filter_IN_public_allowjump filter_IN_public_postjump filter_INPUT_POLICIES_postmeta l4proto { icmp, ipv6-icmp } acceptreject with icmpx type admin-prohibited}

这个顺序中,就是按 log/deny/allow的顺序执行

 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.hqwc.cn/news/807417.html

如若内容造成侵权/违法违规/事实不符,请联系编程知识网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

动静态库

动静态库

静态库: 文件扩展名:.a 链接方式是在编译时候直接集成到可执行文件中。动态库 文件扩展名字:.so 链接方式是在运行时,根据符号表查找动态库的位置库文件:就是把多个“.o文件”打一个包,给对方提供一个库文件。 使用ar命令生成静态库 ar -rc libmymath.a add.o sub.o交付库…
阅读更多...
C++ 顺序容器大小操作 resize

C++ 顺序容器大小操作 resize

▲ 《C++ Primer》 P314▲ 《C++ Primer》 P318
阅读更多...
C++ forward_list 中插入和删除操作

C++ forward_list 中插入和删除操作

▲ 《C++ Primer》 P313
阅读更多...
C++ 向顺序容器添加容器

C++ 向顺序容器添加容器

▲ 《C++ Primer》 P305
阅读更多...
C++ 顺序容器中访问元素

C++ 顺序容器中访问元素

《C++ Primer》 P310
阅读更多...
WPS Office安卓版(WPS Office国际版) v18.13 解锁高级版

WPS Office安卓版(WPS Office国际版) v18.13 解锁高级版

WPS Office for Android是一款功能强大的安卓手机办公软件。 软件功能 1.支持多种办公文档,包括Word、Excel和PowerPoint等。2.多种视图模式,支持纯文本、Web视图、页面视图、阅读视图等不同视图。3.支持多种文档操作,如文档的新建、编辑、保存、打印、分享、拍照OCR等。4.…
阅读更多...
常用电脑软件

常用电脑软件

title: 常用电脑软件 date: 2024-06-15 18:14:53 tags: 我 categories: 一些项目 提前 (为什么写)居无定所与使用设备的变动 顺便介绍一下自己使用的软件工作环境软件(使用软件的配置) node.js(JavaScript环境)https://nodejs.org/git (分布式版本控制软件)https://git…
阅读更多...
ubuntu18安装ros

ubuntu18安装ros

一、环境配置 我的环境:Ubuntu18.04+melodic Ubuntu对应的ROS版本:二、安装步骤 1.添加ROS软件源 输入命令: $ sudo sh -c echo "deb http://packages.ros.org/ros/ubuntu $(lsb_release -sc) main" > /etc/apt/sources.list.d/ros-latest.list2.添加密钥 输入…
阅读更多...
基于DPAPI+RDP技术实现本地打开远程程序,并映射到本地机器桌面上

基于DPAPI+RDP技术实现本地打开远程程序,并映射到本地机器桌面上

本教程使用工具所使用的环境说明: 启动器开发工具:VS2022 启动器所用客户端技术:.NET 8 + WPF 启动器其他技术:DPAPI 启动器发布的可执行程序,系统要求:Windows 7以及以上,X64 如果需要本程序,可以在网盘获取。网盘地址:链接: https://pan.baidu.com/s/1QPstE5-1zPK-q…
阅读更多...
wx推送

wx推送

推送消息到wx基本代码 注意:import requests APPTOEKN = "AT_xxxxxxxxxxxxxxxxxxxxxxxxxx" UIDS = ["UID_xxxxxxxxxxxxxxxxxxxxx",]def send_message(msg,summary="test"):"""微信公众号推送发送消息:param msg: 要发送的内容:pa…
阅读更多...
修改el-menu 样式

修改el-menu 样式

el-menu-item 修改el-menu项的高度 el-sub-menu 修改el-menu的下拉高度
阅读更多...
矿山电子封条智能监管系统

矿山电子封条智能监管系统

矿山电子封条智能监管系统通过YOLOv7网络模型技术,矿山电子封条智能监管系统在通过在煤矿关键地点已经安装的摄像机,对矿井人数变化、生产作业状态、出入井人员等情况实时监测分析,发现煤矿人员作业及状态异常动态及时告警,自动将报警信息推送给后台系统,对矿山场景下人员…
阅读更多...
推荐文章
最新文章

Copyright @ 2022~2023