Как работает система сетевой безопасности в CentOS 7?

Система сетевой безопасности в CentOS 7 работает с помощью межсетевого экрана Firewalld. docs.exthost.net Он является надстройкой над iptables и использует концепцию, основанную на зонах и сервисах. docs.exthost.net losst.pro

Зоны в Firewalld — это предопределённые наборы правил, с помощью которых осуществляется ограничение или разрешение трафика в сетях, к которым подключён компьютер. docs.exthost.net Каждой зоне можно назначать разные интерфейсы, адреса источников, службы, порты, протоколы. docs.exthost.net

Некоторые зоны и их особенности:

• drop. www.8host.com docs.exthost.net Самый низкий уровень доверия сети. www.8host.com Весь входящий трафик сбрасывается без ответа, поддерживаются только исходящие соединения. www.8host.com
• block. www.8host.com docs.exthost.net Входящие запросы сбрасываются с сообщением icmp-host-prohibited или icmp6-adm-prohibited. www.8host.com
• public. www.8host.com docs.exthost.net Эта зона используется в большинстве случаев, когда сервер подключён к интернету и предоставляет какие-либо сервисы для пользователей. docs.exthost.net По умолчанию все входящие соединения блокируются, но можно указать, какие соединения могут быть разрешены. docs.exthost.net
• external. www.8host.com docs.exthost.net Зона внешних сетей. www.8host.com Поддерживает маскировку NAT, благодаря чему внутренняя сеть остаётся закрытой, но с возможностью получения доступа. www.8host.com
• internal. www.8host.com docs.exthost.net Внутренние сети. www.8host.com Компьютерам в этой зоне можно доверять. www.8host.com Доступны дополнительные сервисы. www.8host.com
• dmz. www.8host.com docs.exthost.net Используется для компьютеров, расположенных в DMZ (изолированных компьютеров, которые не будут иметь доступа к остальной части сети). www.8host.com Поддерживает только некоторые входящие соединения. www.8host.com
• work. www.8host.com docs.exthost.net Зона рабочей сети. www.8host.com Большинству машин в сети можно доверять. www.8host.com Доступны дополнительные сервисы. www.8host.com
• home. www.8host.com docs.exthost.net Зона домашней сети. www.8host.com Окружению можно доверять, но поддерживаются только определённые пользователем входящие соединения. www.8host.com
• trusted. www.8host.com docs.exthost.net Всем машинам в сети можно доверять. www.8host.com

Firewalld фильтрует входящий трафик по зонам в зависимости от применённых к зоне правил. winitpro.ru Если IP-адрес отправителя запроса соответствует правилам какой-либо зоны, то пакет будет отправляться через эту зону. winitpro.ru Если же адрес не соответствует ни одной из настроенных на сервере зоне, пакет будет обрабатываться зоной, используемой по умолчанию. winitpro.ru