firewalld把握の大事なところ!!!
# firewall-cmd --list-all public (active) target: default ★ icmp-block-inversion: no interfaces: eth0 ★ sources: ★ services: cockpit dhcpv6-client ssh ports: protocols: masquerade: no forward-ports: source-ports: icmp-blocks: rich rules: #
target、interfaces、sourcesがポイント
参考URL
CentOS 7 firewalld よく使うコマンド - Qiita
マルチゾーンでFirewalldをらくらく設定 - Qiita
firewalld の target の default と REJECT の違い - ngyukiの日記
ポイント
ゾーン未定義のNICには、デフォルトゾーンが適用される
targetのdefaultとREJECTは似てるが、ICMP応答有無が異なる。(defaultは応答)
アクティブなゾーンは、interfaces or sourcesが割り当てられたゾーン
sourcesが割り当てられたゾーンはアクティブだが、rich rules or servicesが登録されてないと動作しない
sourcesが割り当てられたゾーンがインターフェースが割り当てられたゾーンよりも優先的に処理される(ホワイトリスト的な扱い)
rich ruleの書式は以下で確認
$ man firewalld.richlanguage
