Linux - FirewallD - Warum ist Ping blockiert?

Ich weiß, dass die dropZone (meine Standardzone) in FirewallD den gesamten eingehenden Datenverkehr blockiert, einschließlich ICMP, also auch Ping. Die FedoraWorkstationZone blockiert icmp nicht.

Aber wo kann ich das sehen? Wenn Sie a --list-allauf beide Zonen anwenden , unterscheidet sich nichts in Bezug auf icmp.

drop (active)
  target: DROP
  icmp-block-inversion: no
  interfaces: wlp2s0
  sources: 
  services: 
  ports: 
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 



FedoraWorkstation
  target: default
  icmp-block-inversion: no
  interfaces: 
  sources: 
  services: dhcpv6-client mdns samba-client ssh
  ports: 1025-65535/udp 1025-65535/tcp
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 

Die Differenz zwischen den beiden ist das zugewiesene ZIEL .

Laut firewalld man page:

target = "ACCEPT | %% REJECT %% | DROP" Kann verwendet werden, um jedes Paket zu akzeptieren, abzulehnen oder abzulegen. Das ACCEPT-Ziel wird in der vertrauenswürdigen Zone verwendet, jedes Paket wird akzeptiert. Das %% REJECT %% -Ziel wird in der Blockzone verwendet. Jedes Paket wird mit dem standardmäßigen Firewall-Zurückweisungstyp zurückgewiesen. Das DROP-Ziel wird in der Drop-Zone verwendet. Jedes Paket wird verworfen. Das Standardziel ist {chain} ZONE {zone} und wird verwendet, wenn das Ziel nicht angegeben ist. Wenn ein anderes als das Standardziel verwendet wird, werden alle Einstellungen außer der Schnittstelle und der Quelle ignoriert, da die erste in der Firewall für diese Zone erstellte Regel "Zum Ziel springen" lautet.

Wenn Sie das FedoraWorkstation-Ziel auf DROP oder %% REJECT %% setzen, können Sie nun Pakete verwerfen / ablehnen.