13.4. Zonas
firewalld
puede utilizarse para separar las redes en diferentes zonas según el nivel de confianza que el usuario haya decidido otorgar a las interfaces y al tráfico dentro de esa red. Una conexión sólo puede formar parte de una zona, pero una zona puede utilizarse para muchas conexiones de red.
NetworkManager
notifica a firewalld
la zona de una interfaz. Puede asignar zonas a las interfaces con:
-
NetworkManager
-
firewall-config
herramienta -
firewall-cmd
herramienta de línea de comandos - La consola web de RHEL
Los tres últimos sólo pueden editar los archivos de configuración correspondientes de NetworkManager
. Si se cambia la zona de la interfaz mediante la consola web, firewall-cmd
o firewall-config
, la solicitud se reenvía a NetworkManager
y no es gestionada porfirewalld
.
Las zonas predefinidas se almacenan en el directorio /usr/lib/firewalld/zones/
y pueden aplicarse instantáneamente a cualquier interfaz de red disponible. Estos archivos se copian en el directorio /etc/firewalld/zones/
sólo después de ser modificados. La configuración por defecto de las zonas predefinidas es la siguiente:
block
-
Cualquier conexión de red entrante es rechazada con un mensaje icmp-host-prohibido para
IPv4
e icmp6-adm-prohibido paraIPv6
. Sólo son posibles las conexiones de red iniciadas desde dentro del sistema. dmz
- Para los ordenadores de su zona desmilitarizada de acceso público con acceso limitado a su red interna. Sólo se aceptan las conexiones entrantes seleccionadas.
drop
- Todos los paquetes de red entrantes se descartan sin ninguna notificación. Sólo son posibles las conexiones de red salientes.
external
- Para usar en redes externas con el enmascaramiento activado, especialmente para los routers. No confía en que los otros ordenadores de la red no dañen su ordenador. Sólo se aceptan las conexiones entrantes seleccionadas.
home
- Para usar en casa cuando se confía principalmente en los otros ordenadores de la red. Sólo se aceptan las conexiones entrantes seleccionadas.
internal
- Para su uso en redes internas cuando se confía principalmente en los otros ordenadores de la red. Sólo se aceptan las conexiones entrantes seleccionadas.
public
- Para su uso en áreas públicas donde no se confía en otros ordenadores de la red. Sólo se aceptan las conexiones entrantes seleccionadas.
trusted
- Se aceptan todas las conexiones de red.
work
- Para su uso en el trabajo, donde se confía principalmente en los otros ordenadores de la red. Sólo se aceptan las conexiones entrantes seleccionadas.
Una de estas zonas se establece como la zona default. Cuando se añaden conexiones de interfaz a NetworkManager
, se asignan a la zona por defecto. En la instalación, la zona por defecto en firewalld
se establece como la zona public
. La zona por defecto se puede cambiar.
Los nombres de las zonas de red deben ser autoexplicativos y permitir a los usuarios tomar rápidamente una decisión razonable. Para evitar cualquier problema de seguridad, revise la configuración de la zona por defecto y desactive cualquier servicio innecesario según sus necesidades y evaluaciones de riesgo.
Recursos adicionales
-
firewalld.zone(5)
página de manual