其實 Zone 就是為了方便預先定義好的一組規則,讓用戶根據當前服務器所在網絡中的位置(內網,公網)的受信任程度來選取不同 Zone 默認規則。但需要注意的是,一個網絡連接只能被一個 zone 處理,但一個 zone 可以用於多個網絡連接。
預先定義的 zone 規則被放在 /usr/lib/firewalld/zones/ 目錄下。當修改 zone 的規則時,這些 zone 會被拷貝到 /etc/firewalld/zones/ 目錄下,實際生效的防火牆會在該目錄下的文件。
對於每一個 zone 都有一個默認的行為(target),來處理流入的流量。每個 target 會有四個選項:default, ACCEPT, REJECT 和 DROP.
ACCEPT 除了被明確寫好的規則,會接受所有流入的數據包。
REJECT 除了被明確寫好允許的規則,會拒絕所有流入的數據包, 會給發起連接的機器回復被拒絕的消息。
DROP 除了被明確寫好允許的規則,會拒絕所有流入的數據包, 不會給發起連接的機器回復任何消息。
下面是對常見 Zone 的