Зоны firewalld и ICMP-пакеты
Во время работы ядра вы можете отвязать драйвер от устройства или удалить свое устройство из mt_devices id_table внутри drivers / hid / hid-multitouch.c в исходном коде ядра Linux.
1. Как firewalld обрабатывает ICMP-пакеты в различных зонах?
Из документации Red Hat firewalld, особенно в этом разделе, озаглавленном: 5.15. Настройка сложных правил брандмауэра с использованием синтаксиса «Rich Language» :
icmp-block использует действие reject внутри
(выделено мной, чтобы указать, что «drop» и «accept» не используются). По-видимому, зоны по умолчанию не блокируют какие-либо типы ICMP - см. Файлы XML в / usr / lib / firewalld / zone и отсутствие записей .
Чтобы увидеть текущее состояние любых блоков icmp на основе зон, введите: firewall-cmd --list-all-zone и найдите запись icmp-blocks: .
2. Отличается ли эта функциональность в зависимости от того, назначена ли зона интерфейсом или источником?
Не напрямую. интерфейсы и источники сообщают firewalld выбрать соответствующую зону, которая затем будет иметь (некоторые или никакие) блоки icmp, которые будут применяться. См .: http://www.firewalld.org/documentation/man-pages/firewall-cmd.html , где говорится об этом:
Привязка интерфейса к зоне означает, что используются настройки этой зоны для ограничения трафика через интерфейс.
и
Привязка источника к зоне означает, что настройки этой зоны будут использоваться для ограничения трафика от этого источника.
$ grep -i icmp /lib/firewalld/zones/*.xml
$ rpm -q firewalld
firewalld-0.4.4.1-1.fc24.noarch
, чтобы она обрабатывалась целью по умолчанию для зоны. Обратите внимание, что man firewall.zone сообщает нам, что зоны без явного значения по умолчанию будут отклонять пакеты.
Это также должно быть ясно в графическом интерфейсе .