zone是防火墙的分区,有如下几个:
drop:丢弃,任何进入的数据包将被丢弃,意味着不存在响应。
•阻塞区域(Block Zone):阻塞区域会拒绝进入的网络连接,返回 icmp-host-prohibited,只
有服务器已经建立的连接会被通过即只允许由该系统初始化的网络连接。
•公共区域(Public Zone):只接受那些被选中的连接,默认只允许 ssh 和 dhcpv6-client。这
个 zone 是缺省 zone
•外部区域(External Zone):这个区域相当于路由器的启用伪装(masquerading)选项。只
有指定的连接会被接受,即 ssh,而其它的连接将被丢弃或者不被接受。
•隔离区域(DMZ Zone):如果想要只允许给部分服务能被外部访问,可以在 DMZ 区域中定
义。它也拥有只通过被选中连接的特性,即 ssh。
•工作区域(Work Zone):在这个区域,我们只能定义内部网络。比如私有网络通信才被允
许,只允许 ssh,ipp-client 和 dhcpv6-client。
•家庭区域(Home Zone):这个区域专门用于家庭环境。它同样只允许被选中的连接,即 ssh,
ipp-client,mdns,samba-client 和 dhcpv6-client。
•内部区域(Internal Zone):这个区域和工作区域(Work Zone)类似,只有通过被选中的连
接,和 home 区域一样。
•信任区域(Trusted Zone):信任区域允许所有网络通信通过。记住:因为 trusted 是最被信
任的,即使没有设置任何的服务,那么也是被允许的,因为 trusted 是允许所有连接的
以上是系统定义的所有的 zone,但是这些 zone 并不是都在使用。只有活跃的 zone 才有
实际操作意义。
zone的信息
1.名称:drop、pubilc等。
2.target:可以理解为默认行为,有default、accept、%%reject%%、drop四个值可选(具体作用未查到)。
3.icmp-block-inversion:icmp报文阻塞,可以选择Internet控制报文协议的报文。这些报文可以是信息请求亦可以是对信息请求或错误条件创建的响应。
3.interfaces:接口,可以理解为网卡,接收请求的网卡。
4.sources:源地址,可以是ip地址也可以是ip地址段,支持的ip。
5.services:服务,支持的服务。
6.ports:端口,开放的端口。
7.protocols:协议。
8.masquerade:地址伪装,snat的一种特例,可以实现自动化snat。将一个网段的数据包Snat成一个地址或多的地址,然后发出去,这个不需要指定目标IP。
9.forward-ports:端口转发或映射。
10.source-ports:源端口
11.icmp-blocks:据查询是用于防止ICMP攻击的。
12.rich rules:富规则。