AllowZoneDrifting - Firewalld：它是啥，我应该禁用它吗？

Posted 2023-02-25

【中文标题】AllowZoneDrifting - Firewalld：它是啥，我应该禁用它吗？

【英文标题】：AllowZoneDrifting - Firewalld: What is it and should I disable it?AllowZoneDrifting - Firewalld：它是什么，我应该禁用它吗？

【发布时间】：2020-08-07 16:05:11

【问题描述】：

我是新来的，所以如果我问了一些愚蠢的问题，请原谅我。

我在 CentOS 8 上创建了一个 DO droplet。安装 firewalld 后，我检查了它的状态并给出了警告。

4 月 24 日 05:56:31 centos-s-1vcpu-1gb-blr1-01 firewalld[2956]：警告：AllowZoneDrifting 已启用。这被认为是不安全的配置选项。它将在未来的版本中删除。

我对 Linux 有一些基本的了解，但我对 firewalld 没有任何了解。如果有人可以向我解释AllowZoneDrifiting 是什么，那就太好了。

谢谢！

【参考方案1】：

没有。这是个好问题。您可以在/etc/firewalld/firewalld.conf 中禁用它。在这个conf里搜索AllowZoneDrifting，把yes改成no。

From the manual:

较早版本的 firewalld 具有称为“区域漂移”的未记录行为。这允许数据包进入多个区域 - 这违反了基于区域的防火墙。然而，一些用户依靠这种行为来拥有一个“包罗万象”的区域，例如默认区域。如果您希望这样的行为，您可以启用此功能。出于安全原因，它默认禁用。

注意：如果“是”，数据包只会从基于源的区域漂移到基于接口的区域（包括默认区域）。数据包永远不会从基于接口的区域漂移到其他基于接口的区域（包括默认区域）。

可能的值； “是”、“不是”。默认为“是”。

【讨论】：

我已经为你解决了这个问题，但以后一定要明确哪些内容是引用，并提供引用。

谢谢。我以后会试试的。

更改firewall-cmd --reload 对我来说还不够，我不得不systemctl restart firewalld Centos 7

如果这是不安全的_and_deprecated，为什么将其设置为默认配置？将其设置为“否”是否会破坏任何典型或默认配置？

【参考方案2】：

防火墙维护者发言。

在 firewalld 和其他基于区域的防火墙中，一个数据包应该只进入一个区域。区域漂移违反了该原则。

AllowZoneDrifting应尽可能禁用（如日志所示）。上游 firewalld 默认为 no，但一些 Linux 发行版将其覆盖为 yes 以保留现有行为。一些用户依赖“失败”行为，即使其正确性值得怀疑。

请参阅upstream blog 以获取更多信息以及作为修复区域漂移的动机的错误列表。