Linuxのfirewallのzoneについて教えてください

【質問】
Linuxのファイアウォールで同じzoneに所属するインターフェース間の通信は通す、という機能があることを知りました。ただ、その同じzoneに所属するインターフェイスが存在する状況というのが想像できず、知りたいです。
以下私の想定をまとめましたが（）内の考えから違う気がしてます。

同じzoneに所属するインターフェースが存在する場合というのがどういう状況を考慮されたものなのか教えてください。

【私の中で想定された考え】
A. Linuxサーバ同士での通信で対向ポートのゾーン情報を交換している、ということ？（ファイアウォールのゾーン情報の交換をしない気がする）

B. Linuxサーバのポートと同じNWセグメントを同じゾーンとしている？（zoneについて調べたらインターフェースに定義されるとあったため違う気がする）

C. １つのLinuxサーバにインターフェースが複数あって、それらを同じzoneとして定義する？（Linuxサーバに複数インターフェースが存在すること無い気がする。あったとしてもそれらのポート同士で通信しない気がする。）

【気になったきっかけ】
/var/log/messageにエラーログが発生し、その対処方法がfirewalls.confのAllowZoneDriftingの設定をyesからnoに変える、というものでした。AllowZoneDriftingが同じzone同士なら通信を通す設定であり、この機能を無効にして良いのか判断がつかない状況です。

ご回答何卒よろしくお願いいたします。

行動規範の内容に同意します

回答1件

ベストアンサー

AllowZoneDrifting=yes は「同じzoneに所属するインターフェース間の通信は通す」ではなく、source-based zone でルール判定された後、interface-based zone のルール判定も行われるということです。
(source-based zone に入ったパケットが interface-based zone に流れる)

(例: Almalinux 8)

# firewall-cmd --list-all --zone=work
work (active)
  target: default
  icmp-block-inversion: no
  interfaces:
  sources: 192.168.122.1                # source-based zone
  services: ssh
    (略)

# firewall-cmd --list-all --zone=public
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: eth0                      # interfece-based zone
  sources:
  services: http ssh
    (略)

上記例では、接続元IPアドレスが 192.168.122.1 の場合は work ゾーンで処理され、それ以外の接続元から eth0 に入ったパケットは public ゾーンで処理されます。
http サービスは public ゾーンのみで許可されています。

AllowZoneDrifting=yes の場合、192.168.122.1 からの HTTP 接続は work ゾーンでは許可されていませんが、public ゾーンで許可されているので、最終的に許可されます。
一方、AllowZoneDrifting=no の場合、work ゾーンでは許可されていないので拒否されます(public ゾーンには入らない)。

なお、firewalld の新しめのバージョンでは AllowZoneDrifting は廃止されているようです。

投稿2023/11/30 14:25