버스를 D-상기 코어 층으로 이루어지는 1 층 firewalld. D-버스 층은 API 등등 방화벽 규칙 또는 방화벽 상태 조회 및 정의 호출하여 API (예 : 방화벽 cmd를, 방화벽 설정, 방화벽 애플릿, 또는 쓰기 자신의 프로그램이나 데몬 같은) 다른 프로그램을 제공합니다. 코어 층 D-버스 층 및 백엔드 상호 작용을 담당한다. 다음 도표 :
참고 : 방화벽 규칙을 수정하는 IO의 핵심 계층을 D-버스를 호출하지 않고, 직접 전화를 제공 firecmd - 오프라인 cmd를 firewalld.
2, firewalld, iptables를하고 nftables 관계
centos7 및 이전 버전의 iptables는 사용자의 iptables 또는 firewalld 데몬 중 하나를 선택할 수 있습니다, 비슷한 firewalld에게 데몬을 제공합니다.
nftables 책임의 iptables 패킷 필터 프레임에 속하는 것이다. nftables는 3.13 리눅스 커널에서 등장하기 시작, 그것은 기존의 {IP, IP6, ARP, EB} _tables (이하 총칭하여 iptables에 언급)을 대체하기위한.
3 firewalld 영역 네트워크 인터페이스 연결 关系
firewalld 사용 영역 및 서비스 개념은 트래픽 관리의 개념을 단순화합니다. 실제 영역이 신뢰할 수있는 네트워크 레벨로 나누어 져 있습니다, 네트워크 카드 구성 파일입니다 실제로 카드 (연결에 의해, 구가 (수정 될 수있다, 또는 당신이 당신의 자신의 추가 영역을 만들 수 있습니다) 세트 사전. 카드가 여러 구성을 가질 수 있지만 파일, 오직 하나 개의 활성 구성 파일, 설정 파일은 접속 영역 = 중요한 영역) 핸드 영역을 정의하는데 사용될 수 있고, 네트워크는 상이한 신뢰성 레벨을 둘 것이다. 영역이 등 (자주 사용) 서비스 / 포트, 소스를 기반으로 할 수 있습니다에서 방화벽 규칙을 정의합니다. 또한 firewalld 영역은 또한 포트 포워딩 IP 주소를 위장 라우터로서 기능하는 형상 제공한다.
어느 firewalld 세 가지 방법에 의해 판단하고, 특정 용도 영역에 대한 요청을 수신 :
- 소스 어드레스이고 소스
- interface,接收请求的网卡
- firewalld.conf中配置的默认zone
这三个的优先级按顺序依次降低,也就是说如果按照source可以找到就不会再按interface去查找,如果前两个都找不到才会使用第三个,也就是firewalld.conf中配置的默认zone。
