weixin_53389944的博客

【代码】selinux配置文件内容解析。

这条命令的含义是在firewalld防火墙中创建一个名为"custom_zone"的自定义区域，并且设置为永久生效。

在Redhat8.6中，firewalld默认开放了ssh、cockpit、dhcpv6-client三个服务的端口富规则。命令对防火墙配置进行永久性修改，这意味着所做的更改将会在防火墙重新启动后仍然有效。选项，所做的更改将在防火墙重新启动后失效。

每个接口（如eth0、eth1）都被分配到一个区域中，而区域定义了该接口上允许通过的流量规则。在区域中，你可以定义不同的规则，如允许或禁止特定端口的流量等。通过将接口分配到不同的区域，你可以对不同的网络流量应用不同的规则。通过IP集，你可以更轻松地管理和维护IP地址列表，并将这些IP地址应用到防火墙规则中。因此，IP集和区域在Firewalld中有不同的作用和用途：IP集用于定义IP地址列表，而区域用于定义接口上的流量规则。通过合理地使用IP集和区域，可以更灵活和有效地管理和控制防火墙规则。

优先级更低（priority默认优先级为0，数值越大优先级越小）。trusted为保底策略优先级最低一个具有注脚的文本。默认情况下firewalld富规则。白名单的优先级高，所以我使用了。

在firewalld中，规则优先级是系统内建的，无法直接手动调整优先级顺序。但你可以通过选择不同类型的规则来实现间接的优先级控制。在firewalld中，不同类型的规则有不同的优先级顺序，这决定了数据包匹配规则的顺序和处理方式。在这种情况下，尽管有允许80端口的规则，但由于富规则优先级更高，80端口实际上会被拒绝。

可参考：https://www.cnblogs.com/architectforest/p/18382336。来指定，默认不填的话priority都是0，优先级区间（-32767至32767）默认情况下firewalld会先匹配黑名单(reject)规则。

这些信息能够帮助您了解系统中当前已配置的防火墙规则，以及允许或禁止访问的服务和端口等相关信息。可以用于列出系统中所有防火墙规则的详细信息，包括已激活的防火墙区域、服务和端口等。

存储Firewalld的不同防火墙区域（zone）的配置文件，每个区域有一个单独的文件，用于定义规则以允许或拒绝网络流量。这些目录和文件中包含了Firewalld的配置信息和规则，用于控制和管理网络流量，保护系统安全。：存储Firewalld所使用的IPv4协议的ICMP类型文件，用于IPv4流量的控制和管理。：存储Firewalld所使用的IPv6协议的ICMP类型文件，用于IPv6流量的控制和管理。：Firewalld的锁定白名单文件，用于允许特定的IP地址绕过锁定策略。

的富规则，可以灵活地屏蔽指定 IP 地址或 IP 地址段。如果需要撤销规则，可以使用。参数确保规则持久化，并通过。

trusted(最信任)允许所有网络流量通过适合完全信任的网络环境home用于家庭网络允许选定的入站服务(如ssh、mdns、samba-client等)比internal更严格internal用于内部网络类似于home区域但信任度更高允许ssh、mdns、samba-client等work用于工作场所允许ssh、dhcpv6-client等比public更宽松但比internal更严格public(默认区域)用于公共区域只允许ssh和dhcpv6-client。

在“DROP”，表示拒绝所有流量；“ACCEPT”，表示允许所有流量；“REJECT”，表示拒绝流量并发送拒绝消息。“yes”，表示拒绝指定的 ICMP 类型；“no”，表示允许指定的 ICMP 类型。“interfaces”：列出了当前 Firewalld 防火墙的所有接口，用于指定哪些接口需要应用防火墙规则。“sources”：指定允许连接到系统的源 IP 地址。“ports”：列出了当前定义的端口，用于指定允许进入系统的端口。“protocols”：指定了哪些协议被允许通过防火墙。

特性--list-all显示内容仅富规则全部配置（包含富规则）输出详细程度简洁全面规则排序按优先级排序不特别排序包含基础规则否是包含接口/源信息否是包含服务/端口信息否是。

如果富规则太多，不想一条条删除，可以修改firewalld配置文件（

如果需要删除的是默认 zone 之一，建议改为修改其配置而不是删除，因为系统可能需要这些默认 zone。

（丢弃）：当数据包与规则匹配时，防火墙会默默地丢弃该数据包，不给予任何响应或错误消息。对外部攻击者而言，这种行为通常被认为是目标不存在或不可达的信号，使得攻击者无法确定目标是否存在。（拒绝）：当数据包与规则匹配时，防火墙会向发送者发送一个错误消息，告知数据包被拒绝。这种行为通常用于明确告诉发送者目标是存在的，但是由于某种原因被拒绝了，例如端口被关闭或协议不允许。（接受）：当数据包与规则匹配时，防火墙会允许该数据包通过并交给目标主机进行处理。根据具体的需求，您可以选择适合的操作动作来定义您的防火墙规则。

firewalld是一个动态防火墙管理器，可以简化防火墙配置。firewalld支持在运行时动态添加、删除和修改防火墙规则，而不需要重新加载整个防火墙配置。总的来说，firewalld相对于iptables更加现代化和易于使用，特别适合新手用户或者在复杂网络环境下需要动态调整防火墙规则的情况。iptables是Linux上最古老和最广泛使用的防火墙配置工具，它基于命令行，并且比较复杂。firewalld还引入了基于区域的概念，用户可以将网络接口分组到不同的区域中，并为每个区域定义不同的安全策略。

当你将网络接口分配到特定的区域时，系统会自动应用该区域的预定义规则集。你也可以根据自己的需求创建自定义的区域，并定义相应的流量规则。每个区域都有预定义的规则集，用于定义允许或禁止特定类型的流量。在这个区域中，通常允许较宽松的流量规则，因为是内部网络，信任度较高。在这个区域中，可能需要允许一些额外的服务和端口访问，以满足工作需求，但仍需要保持一定的安全性。通常限制了一些对外联网的服务和端口的访问，但也允许一些基本的流量通过。Block（阻止）：该区域是用于完全阻止流量的区域，即不允许任何流量通过。

开机自启firewalld：systemctl enable firewalld。启动firewalld: systemctl start firewalld。关闭 firewalld: systemctl stop firewalld。不执行 firewall-cmd --reload 命令配置不生效。重载firewalld：firewall-cmd -reload。查看防火墙策略：firewall-cmd --list-all。--permanent 永久生效，重启后规则不消失。针对某个IP开放端口。