1. Como o firewalld manipula pacotes ICMP nas várias zonas?
Da documentação do firewall do RedHat, especificamente esta seção, intitulada: 5,15. Configurando regras complexas de firewall com a sintaxe "Rich Language" :
icmp-block uses the action reject internally
(minha ênfase, para salientar que "drop" e "accept" não são usados). As zonas padrão não parecem bloquear nenhum tipo de ICMP - veja os arquivos XML em / usr / lib / firewalld / zones e a falta de <icmp-block>
entradas.
Para ver o estado atual de qualquer bloco icmp baseado em zona, execute: firewall-cmd --list-all-zones
e procure a entrada icmp-blocks:
.
2. Essa funcionalidade é diferente, dependendo se a zona é atribuída por uma interface por uma fonte?
Não diretamente. interfaces
e sources
dizem ao firewalld para selecionar a zona correspondente, que terá (alguns ou nenhum) icmp-blocks que serão aplicados. Veja: link que fala sobre isso:
Binding an interface to a zone means that this zone settings are used to restrict traffic via the interface.
e
Binding a source to a zone means that this zone settings will be used to restrict traffic from this source.