CentOS7 firewalld を見てみる。

Firewall的な発想としてzoneを定義するのは分かりやすいかなとは思います。でも、細かい設定が面倒とか、結局、裏でiptablesを動かしているとか何がしたのやら。

# firewall-cmd --list-all-zone
block
  target: %%REJECT%%
(snip)
dmz
  target: default
(snip)
drop
  target: DROP
(snip)
external
  target: default
(snip)
home
  target: default
(snip)
internal
  target: default
(snip)
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: enp0s25
(snip)
trusted
  target: ACCEPT
(snip)
work
  target: default
(snip)

REJECTはICMPは返す。DROPは返さない。defaultも落とすんですよね?

# iptables-save

とか

# iptables -L

で複雑にchainしているけど確認できます。l