Oracle Linux Firewall: WARNING: AllowZoneDrifting is enabled.

Algunas versiones  del software de firewalld tenían un comportamiento no documentado conocido como "zona a la deriva". 

Esto permite que los paquetes ingresen en múltiples zonas; lo cuál es una violación de los firewalls basados en zonas. 

Sin embargo, algunos usuarios confían en este comportamiento para tener una zona "catch-al- cajón del sastre", como zona determinada.

Para deshabilitar esto en la configuración de nuestro firewall en Oracle Linux 7.x deberemos hacer lo siguiente:

Primero que todo vamos a logearnos con el usuario root al sistema operativo y vamos a ir al directorio /etc/firewalld

[opc@laboratorio ~]$ sudo -s /bin/bash
[root@laboratorio opc]# cd /etc/firewalld

[root@laboratorio firewalld]# ls -la
total 32
drwxr-x---. 7 root root 4096 May 13 00:37 .
drwxr-xr-x. 95 root root 8192 Jun 10 17:22 ..
-rw-r--r--. 1 root root 5172 May 13 00:37 direct.xml
-rw-r--r--. 1 root root 2706 Apr 27 2021 firewalld.conf
drwxr-x---. 2 root root 6 Apr 27 2021 helpers
drwxr-x---. 2 root root 6 Apr 27 2021 icmptypes
drwxr-x---. 2 root root 6 Apr 27 2021 ipsets
-rw-r--r--. 1 root root 272 Apr 27 2021 lockdown-whitelist.xml
drwxr-x---. 2 root root 6 Apr 27 2021 services
drwxr-x---. 2 root root 46 May 13 00:29 zones
[root@laboratorio firewalld]# cd zones

En dicho directorio podrás ubicar el directorio "ZONES", pero esto no tiene nada que ver con el tema. No te confundas.

[root@laboratorio zones]# ls -la
total 12

drwxr-x---. 2 root root 46 May 13 00:29 .
drwxr-x---. 7 root root 4096 May 13 00:37 ..
-rw-r--r--. 1 root root 387 Jun 10 16:24 public.xml
-rw-r--r--. 1 root root 350 Jun 10 16:23 public.xml.old

[root@laboratorio zones]# more public.xml
<?xml version="1.0" encoding="utf-8"?>
<zone>
<short>Public</short>
<description>For use in public areas.
You do not trust the other computers on networks to not harm your computer.
Only selected incoming connections are accepted.</de
scription>
<service name="ssh"/>
<service name="dhcpv6-client"/>
<port protocol="tcp" port="22"/>
<port protocol="tcp" port="1521"/>
</zone>

Con el comando SYSTEMCTL podrás validar si la zona "Drifting" esta activada.

[root@laboratorio zones]# systemctl status firewalld
? firewalld.service - firewalld - dynamic firewall daemon
Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled; vendor preset: enabled)
Active: active (running) since Fri 2022-06-10 16:23:33 GMT; 5h 39min ago
Docs: man:firewalld(1)
Main PID: 31241 (firewalld)
Memory: 27.1M
CGroup: /system.slice/firewalld.service
+-31241 /usr/bin/python2 -Es /usr/sbin/firewalld --nofork --nopid
Jun 10 16:23:33 laboratorio systemd[1]: Starting firewalld - dynamic firewall daemon...
Jun 10 16:23:33 laboratorio systemd[1]: Started firewalld - dynamic firewall daemon.
Jun 10 16:23:33 laboratorio firewalld[31241]: WARNING: AllowZoneDrifting is enabled.
This is considered an insecure configuration option. It will...g it now.
Jun 10 16:24:05 laboratorio firewalld[31241]: WARNING: AllowZoneDrifting is enabled.
This is considered an insecure configuration option. It will...g it now.
Jun 10 16:28:32 laboratorio firewalld[31241]: WARNING: AllowZoneDrifting is enabled.
This is considered an insecure configuration option. It will...g it now.

En el directorio indicado, vamos a editar el archivo FIREWALLD.CONF.

[root@laboratorio firewalld]# ls -la
total 32
drwxr-x---. 7 root root 4096 May 13 00:37 .
drwxr-xr-x. 95 root root 8192 Jun 10 17:22 ..
-rw-r--r--. 1 root root 5172 May 13 00:37 direct.xml
-rw-r--r--. 1 root root 2706 Apr 27 2021 firewalld.conf
drwxr-x---. 2 root root 6 Apr 27 2021 helpers
drwxr-x---. 2 root root 6 Apr 27 2021 icmptypes
drwxr-x---. 2 root root 6 Apr 27 2021 ipsets
-rw-r--r--. 1 root root 272 Apr 27 2021 lockdown-whitelist.xml
drwxr-x---. 2 root root 6 Apr 27 2021 services
drwxr-x---. 2 root root 46 May 13 00:29 zones
[root@laboratorio firewalld]# more firewalld.conf

# firewalld config file
# default zone
# The default zone used if an empty zone string is used.
# Default: public
DefaultZone=public
# Minimal mark
# Marks up to this minimum are free for use for example in the direct
# interface. If more free marks are needed, increase the minimum
...

...

# based zones to other interfaces based zones (including the default zone).
# Possible values; "yes", "no". Defaults to "yes".

Vas a ir hasta el final del archivo y encontrarás el siguiente parámetro de configuración.

Ahí debes cambiar el valor del parámetro a "NO". No lo documentes, ya que eso no resuelve el tema.

AllowZoneDrifting=No

[root@laboratorio firewalld]# ls -la

total 32
drwxr-x---. 7 root root 4096 Jun 10 22:05 .
drwxr-xr-x. 95 root root 8192 Jun 10 17:22 ..
-rw-r--r--. 1 root root 5172 May 13 00:37 direct.xml
-rw-r--r--. 1 root root 2708 Jun 10 22:05 firewalld.conf
drwxr-x---. 2 root root 6 Apr 27 2021 helpers
drwxr-x---. 2 root root 6 Apr 27 2021 icmptypes
drwxr-x---. 2 root root 6 Apr 27 2021 ipsets
-rw-r--r--. 1 root root 272 Apr 27 2021 lockdown-whitelist.xml
drwxr-x---. 2 root root 6 Apr 27 2021 services
drwxr-x---. 2 root root 46 May 13 00:29 zones

[root@laboratorio firewalld]# vi firewalld.conf

Carga nuevamente la configuración del firewalld y reinicia.

[root@laboratorio firewalld]# systemctl reload firewalld
[root@laboratorio firewalld]# systemctl restart firewalld

Ahora puedes validar que la zona ha sido deshabilitada.

[root@laboratorio firewalld]# systemctl -l status firewalld
? firewalld.service - firewalld - dynamic firewall daemon
Loaded: loaded (/usr/lib/systemd/system/firewalld.service;
enabled; vendor preset: enabled)
Active: active (running) since Fri 2022-06-10 22:07:33 GMT; 10s ago
Docs: man:firewalld(1)
Process: 17907 ExecReload=/bin/kill -HUP $MAINPID (code=exited, status=0/SUCCESS)
Main PID: 18042 (firewalld)
Memory: 22.6M
CGroup: /system.slice/firewalld.service
+-18042 /usr/bin/python2 -Es /usr/sbin/firewalld --nofork --nopid
Jun 10 22:07:33 laboratorio systemd[1]: Starting firewalld - dynamic firewall daemon...
Jun 10 22:07:33 laboratorio systemd[1]: Started firewalld - dynamic firewall daemon.
[root@laboratorio firewalld]#