如何在 Rocky Linux 9 中查看并修改防火墙区域？

在Rocky Linux 9中，使用firewall-cmd命令查看防火墙区域：firewall-cmd --get-active-zones查看活动区域，firewall-cmd --list-all-zones列出所有区域配置。修改默认区域用sudo firewall-cmd --set-default-zone=public，修改接口所属区域用sudo firewall-cmd --zone=work --change-interface=eth0，需添加--permanent参数使更改永久生效，最后执行firewall-cmd --reload。

延伸知识点：firewalld的富规则(Rich Rules) 富规则允许配置复杂防火墙策略，例如允许特定IP访问端口： sudo firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" port port="8080" protocol="tcp" accept' 该规则允许192.168.1.0/24网段访问TCP 8080端口。 查看富规则：firewall-cmd --list-rich-rules 删除规则时使用--remove-rich-rule并保持与添加时完全相同的语法，注意必须指定--permanent和--reload才能使配置持久化。

在Rocky Linux 9中，firewalld是默认防火墙管理工具。查看及修改防火墙区域步骤如下：

1. 查看所有区域：

   sudo firewall-cmd --get-zones

2. 查看默认区域：

   sudo firewall-cmd --get-default-zone

3. 查看区域详细配置：

   sudo firewall-cmd --list-all --zone=public  # 替换目标区域名

4. 修改默认区域：

   sudo firewall-cmd --set-default-zone=work  # 示例修改为work区域

5. 为网卡分配区域：

   sudo firewall-cmd --zone=internal --change-interface=eth0

6. 永久生效： 所有变更需追加--permanent参数，或执行：

   sudo firewall-cmd --runtime-to-permanent

注意事项：

• 生产环境建议先通过--timeout=300参数测试临时规则
• 修改前备份配置：cp /etc/firewalld/firewalld.conf{,.bak}
• 区域定义文件存放于/usr/lib/firewalld/zones/，自定义配置应放在/etc/firewalld/zones/

在Rocky Linux 9中管理防火墙区域需通过firewalld实现，以下是具体实践方案及经验总结：

1. 查看防火墙状态及区域

   sudo firewall-cmd --state  # 确认firewalld运行状态
   sudo firewall-cmd --get-default-zone  # 显示默认区域
   sudo firewall-cmd --get-active-zones  # 显示接口与区域绑定关系
   sudo firewall-cmd --list-all-zones  # 查看所有区域详细配置

2. 修改默认区域

   sudo firewall-cmd --set-default-zone=internal --permanent
   sudo firewall-cmd --reload  # 必须重载使永久生效

   ▶ 经验：临时测试时可省略--permanent参数，重启后失效，适合生产环境灰度验证

3. 自定义接口区域绑定

   sudo firewall-cmd --zone=dmz --add-interface=eth0 --permanent
   sudo firewall-cmd --reload

   ▶ 挑战：多网卡环境易出现区域冲突，需通过--list-interfaces验证绑定结果

4. 高级区域管理

   • 创建自定义区域：

     sudo firewall-cmd --new-zone=custom_app --permanent
     sudo firewall-cmd --reload

   • 克隆现有区域配置：

     sudo cp /usr/lib/firewalld/zones/public.xml /etc/firewalld/zones/backup.xml

实践难点：

• 混合云环境可能因NetworkManager干扰导致区域绑定失效，需通过nmcli检查接口管理状态
• 容器化场景需特别注意CNI插件对防火墙规则的覆盖，建议通过--direct规则补充
• 区域优先级机制可能导致预期外拦截，可通过firewall-cmd --get-zones确认优先级顺序

在Rocky Linux 9中管理防火墙区域，建议使用firewalld的CLI工具。查看当前激活区域用firewall-cmd --get-active-zones，查看所有区域配置用firewall-cmd --list-all-zones。修改默认区域通过--set-default-zone=public（示例），临时修改用运行时配置（不加--permanent），永久生效需加--permanent并执行firewall-cmd --reload。关键要区分运行时与持久化配置，生产环境建议先测试再持久化。

1. 查看当前活动区域及接口分配： sudo firewall-cmd --get-active-zones

2. 查看默认防火墙区域： sudo firewall-cmd --get-default-zone

3. 修改默认区域（如改为 internal）： sudo firewall-cmd --set-default-zone=internal

4. 修改接口所属区域（将 eth0 分配到 public 区域）： sudo firewall-cmd --zone=public --change-interface=eth0

5. 永久生效配置（执行修改后必须执行）： sudo firewall-cmd --runtime-to-permanent

在Rocky Linux 9中查看及修改防火墙区域的操作步骤

1. 查看当前防火墙状态及区域

   • 查看默认区域：

     sudo firewall-cmd --get-default-zone

   • 查看所有可用区域：

     sudo firewall-cmd --get-zones

   • 查看活动区域及关联接口：

     sudo firewall-cmd --get-active-zones

2. 修改默认防火墙区域

   • 临时修改（重启后失效）：

     sudo firewall-cmd --set-default-zone=public

   • 永久修改：

     sudo firewall-cmd --permanent --set-default-zone=public
     sudo firewall-cmd --reload

3. 修改接口所属区域

   • 将接口（如eth0）绑定到指定区域（临时生效）：

     sudo firewall-cmd --zone=work --change-interface=eth0

   • 永久绑定接口到区域：

     sudo firewall-cmd --permanent --zone=work --change-interface=eth0
     sudo firewall-cmd --reload

4. 验证配置

   • 检查接口当前区域：

     sudo firewall-cmd --get-zone-of-interface=eth0

   • 确认所有永久配置已生效：

     sudo firewall-cmd --runtime-to-permanent
     sudo firewall-cmd --reload

注意：使用--permanent参数需搭配--reload使配置生效，否则仅临时生效（重启后丢失）。

为什么不尝试使用Cockpit的Web界面管理防火墙，通过图形化操作简化配置流程？