В firewalld я могу назначить зону сетевому интерфейсу. Зона содержит некоторые правила брандмауэра.
Теперь у меня есть сетевой интерфейс с разным уровнем доверия (172.16.1.1/32 должен иметь специальный доступ в 172.16.1.0/24 сеть). Например, доступ по SSH для хоста администратора.
Единственный способ понять это - использовать расширенное правило. Но меня не устраивает такой подход, потому что это, по сути, правило iptables без возможности дать описание. Есть ли способ создать отдельную зону или подзону для хоста администратора?
Преимущество в том, что конфигурация более читабельна. Я мог бы создать ManagmentZone со специальными разрешениями. И когда другой Admin-PC оживает, могу просто добавить его адрес в эту зону.
Есть ли способ создать отдельную зону?
Да, вы можете создавать новые зоны:
https://fedoraproject.org/wiki/FirewallD#How_to_configure_or_add_zones.3F
Как настроить или добавить зоны?
Чтобы настроить или добавить зоны, вы можете использовать один из интерфейсов firewalld для обработки и изменения конфигурации. Это графический инструмент настройки firewall-config, инструмент командной строки firewall-cmd или интерфейс D-BUS. Или вы можете создать или скопировать файл зоны в один из каталогов конфигурации. @ PREFIX @ / lib / firewalld / zone используется для конфигураций по умолчанию и для резервных конфигураций, а / etc / firewalld / zone используется для файлов конфигурации, созданных и настроенных пользователем.
Из http://www.certdepot.net/rhel7-get-started-firewalld/
# firewall-cmd --permanent --new-zone=test
success
# firewall-cmd --reload
success