The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Выпуск firewalld 1.0

23.07.2021 08:35

Представлен релиз динамически управляемого межсетевого экрана firewalld 1.0, реализованного в форме обвязки над пакетными фильтрами nftables и iptables. Firewalld запускается в виде фонового процесса, позволяющего динамически изменять правила пакетного фильтра через D-Bus, без необходимости перезагрузки правил пакетного фильтра и без разрыва установленных соединений. Проект уже применяется во многих дистрибутивах Linux, включая RHEL 7+, Fedora 18+ и SUSE/openSUSE 15+. Код firewalld написан на языке Python и распространяется под лицензией GPLv2.

Для управления межсетевым экраном используется утилита firewall-cmd, которая при создании правил отталкивается не от IP-адресов, сетевых интерфейсов и номеров портов, а от названий служб (например, для открытия доступа к SSH нужно выполнить "firewall-cmd --add --service=ssh", для закрытия SSH - "firewall-cmd --remove --service=ssh"). Для изменения конфигурации межсетевого экрана также может использоваться графический интерфейс firewall-config (GTK) и апплет firewall-applet (Qt). Поддержка управления межсетевым экраном через D-BUS API firewalld имеется в таких проектах, как NetworkManager, libvirt, podman, docker и fail2ban.

Значительное изменение номера версии связано с внесением изменений, нарушающих обратную совместимость и меняющих поведение работы с зонами. Все определённые в зоне параметры фильтрации теперь применяются только для трафика, адресованного хосту, на котором запущен firewalld, а для фильтрации транзитного трафика требуется настройка политик. Наиболее заметные изменения:

  • Объявлен устаревшим бэкенд, позволявший работать поверх iptables. Поддержка iptables будет сохранена в обозримом будущем, но развиваться данный бэкенд не будет.
  • Включён и активирован по умолчанию для всех новых зон режим intra-zone-forwarding, разрешающий свободное перемещение пакетов между сетевыми интерфейсами или источниками трафика внутри одной зоны (public, block, trusted, internal и т.п.). Для возвращения старого поведения и запрета перенаправления пакетов внутри одной зоны можно использовать команду "firewall-cmd --permanent --zone public --remove-forward".
  • Правила, связанные с трансляцией адресов (NAT), перемещены в семейство протоколов "inet" (ранее добавлялись в семействах "ip" и "ip6", что приводило к необходимости дублирования правил для IPv4 и IPv6). Изменение позволило избавиться от дубликатов при использовании ipset - вместо трёх копий записей ipset теперь используется одна.
  • Действие "default", указываемое в параметре "--set-target", теперь эквивалентно "reject", т.е. все пакеты, не подпадающие под определённые в зоне правила, по умолчанию будут блокироваться. Исключение сделано только для ICMP-пакетов, которые по-прежнему пропускаются. Для возвращения старого поведения для публично доступной зоны "trusted" можно использовать правила:
    
       firewall-cmd --permanent --new-policy allowForward 
       firewall-cmd --permanent --policy allowForward --set-target ACCEPT
       firewall-cmd --permanent --policy allowForward --add-ingress-zone public
       firewall-cmd --permanent --policy allowForward --add-egress-zone trusted
       firewall-cmd --reload
    
  • Политики с положительным приоритетом теперь выполняются непосредственно до выполнения правила "--set-target catch-all", т.е. в момент, предшествующий добавлению финальных правил drop, reject или accept, в том числе для зон, в которых используются "--set-target drop|reject|accept".
  • Блокировка ICMP теперь применяется только к адресованным текущему хосту входящим пакетам (input) и не затрагивает пакеты, перенаправляемые между зонами (forward).
  • Удалён сервис tftp-client, предназначенный для отслеживания соединений для протокола TFTP, но находившийся в непригодном для использования виде.
  • Объявлен устаревшим интерфейс "direct", позволяющий напрямую подставлять готовые правила пакетного фильтра. Потребность в данном интерфейсе пропала после добавления возможности фильтрации перенаправляемых и исходящих пакетов.
  • Добавлен параметр CleanupModulesOnExit, который по умолчанию изменён на значение "no". При помощи данного параметрам можно управлять выгрузкой модулей ядра после завершения работы firewalld.
  • Разрешено использование ipset при определении целевой системы (destination).
  • Добавлены определения сервисов WireGuard, Kubernetes и netbios-ns.
  • Реализованы правила автодополнения для zsh.
  • Прекращена поддержка Python 2.
  • Сокращён список зависимостей. Для работы firewalld, помимо ядра Linux, теперь обязательно требуются только python-библиотеки dbus, gobject и nftables, а пакеты ebtables, ipset и iptables отнесены к опциональным. Из числа зависимостей удалены python-библиотеки decorator и slip.


  1. Главная ссылка к новости (https://firewalld.org/2021/07/...)
  2. OpenNews: В рамках проекта OpenSnitch развивается динамический межсетевой экран для Linux
  3. OpenNews: Выпуск интерактивного межсетевого экрана TinyWall 2.0
  4. OpenNews: В состав ядра 4.18 одобрено включение нового пакетного фильтра bpfilter
  5. OpenNews: Открыт код Douane, динамического межсетевого экрана для Linux
  6. OpenNews: Выпуск пакетного фильтра nftables 0.9.9
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/55537-firewalld
Ключевые слова: firewalld
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (155) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 09:24, 23/07/2021 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • +7 +/
     
  • 1.2, Аноним (2), 09:32, 23/07/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +11 +/
    Двоякие впечатления. С одной стороны решили проблему с добавлением и изменение правил на лету. Но создали новые проблемы с прозрачностью процессов. Совершенно неочевидно, что блокируется, а что нет, логика размыта. В одной версии запрещают перенаправление между интерфейсами, а в другой разрешают. Нет полного контроля за настройками.
     
     
  • 2.9, пох. (?), 09:45, 23/07/2021 Скрыто ботом-модератором     [к модератору]
  • –5 +/
     
     
  • 3.16, Аноним (16), 10:09, 23/07/2021 Скрыто ботом-модератором     [к модератору]
  • +15 +/
     
     
  • 4.20, нах.. (?), 10:34, 23/07/2021 Скрыто ботом-модератором     [к модератору]
  • –4 +/
     
     
  • 5.25, anonymous (??), 11:05, 23/07/2021 Скрыто ботом-модератором     [к модератору]
  • +13 +/
     
     
  • 6.33, пох. (?), 11:31, 23/07/2021 Скрыто ботом-модератором     [к модератору]
  • –5 +/
     
  • 6.36, andy (??), 11:35, 23/07/2021 Скрыто ботом-модератором     [к модератору]
  • +3 +/
     
     
  • 7.41, пох. (?), 11:38, 23/07/2021 Скрыто ботом-модератором     [к модератору]
  • –3 +/
     
  • 3.17, Аноним (17), 10:10, 23/07/2021 Скрыто ботом-модератором     [к модератору]
  • +3 +/
     
     
  • 4.31, Annoynymous (ok), 11:28, 23/07/2021 Скрыто ботом-модератором     [к модератору]
  • –1 +/
     
  • 4.32, пох. (?), 11:30, 23/07/2021 Скрыто ботом-модератором     [к модератору]
  • –4 +/
     
     
  • 5.45, Аноним (17), 11:56, 23/07/2021 Скрыто ботом-модератором     [к модератору]
  • +2 +/
     
     
  • 6.60, пох. (?), 13:46, 23/07/2021 Скрыто ботом-модератором     [к модератору]
  • –2 +/
     
  • 4.40, andy (??), 11:38, 23/07/2021 Скрыто ботом-модератором     [к модератору]
  • –2 +/
     
     
  • 5.42, пох. (?), 11:40, 23/07/2021 Скрыто ботом-модератором     [к модератору]
  • –2 +/
     
  • 3.84, псевдонимус (?), 16:56, 23/07/2021 Скрыто ботом-модератором     [к модератору]
  • –1 +/
     
     
  • 4.86, пох. (?), 17:31, 23/07/2021 Скрыто ботом-модератором     [к модератору]
  • –1 +/
     
     
  • 5.91, псевдонимус (?), 18:00, 23/07/2021 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 2.85, Аноньимъ (ok), 17:30, 23/07/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    У меня от Ситемы-Д всегда впечатление одинаковое.
    Без всякого дуализма.

    Нужно просто откинуть все религиозные предрассудки, веру в то, что якобы это должно быть полезным и кому-то нужным, и сразу все просто с впечатлениями.

     
     
  • 3.94, Аноним (94), 21:05, 23/07/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну разработчикам полезно, раз пилят. Гики получили своимим же граблями по бубунцам. Забавно за этим наблюдать.
    ПС: контроль приложений то оно наконец умеет?
     
     
  • 4.99, Аноньимъ (ok), 22:43, 23/07/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это не гики пилят.
    Для этого нужно другое слово. Любители, наверное подходит.
     
  • 2.136, Аноним (-), 20:13, 25/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Двоякие впечатления. С одной стороны решили проблему с добавлением и изменение правил
    > на лету. Но создали новые проблемы с прозрачностью процессов.

    Создали маздайфайрвол очередной. Только этот еще и на питоне к тому же. Гадость вебмакачная.

     

     ....большая нить свёрнута, показать (21)

  • 1.3, pofigist (?), 09:33, 23/07/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Опенсоурсники пытаются скопировать zbfw, про который они слышали, но не видели...
     

     ....ответы скрыты (9)

  • 1.4, Аноним (4), 09:36, 23/07/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +7 +/
    Нагородили лишних абстракций. С точки зрения удобства и предсказуемости действий идеален ipfw из FreeBSD.
     
     
  • 2.5, Ананомизец (?), 09:37, 23/07/2021 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Мне более по нраву PF
     
     
  • 3.10, пох. (?), 09:47, 23/07/2021 [^] [^^] [^^^] [ответить]  
  • –6 +/
    оба сорта г-на.

    Расскажите, как пробросить через ваше недоразумение sip?
    Да, кстати, у нас тут dual cone nat и еще туннельчик,поэтому часть серых адресов доступна прямо с белых по другую сторону туннеля - и для них ничего автоматически портить не надо.

     
     
  • 4.19, Аноним (19), 10:21, 23/07/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    За деньги рассказал бы
     
     
  • 5.21, нах.. (?), 10:37, 23/07/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Ооо, представитель бздни как он есть, на словах герои, а как к делу...
     
  • 5.137, Аноним (-), 20:15, 25/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > За деньги рассказал бы

    Кто ж тебе за это платить то будет, чудак? Проще И ДЕШЕВЛЕ снести твою бзду в ад к чертям.

     
     
  • 6.154, пох. (?), 12:47, 27/07/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> За деньги рассказал бы
    > Кто ж тебе за это платить то будет, чудак? Проще И ДЕШЕВЛЕ
    > снести твою бзду в ад к чертям.

    главное, что в итоге выходит что проще (и дешевле) снести даже если такой индивидуй очень гордый собой - забесплатно все настроил. Потому что через два дня выяснится что настроил криво, а герой наш уже в аду с чертями и телефон вне зоны действия.


     
  • 4.26, Аноним (26), 11:07, 23/07/2021 [^] [^^] [^^^] [ответить]  
  • +5 +/
    эксперды в виде похов и нахов подъехали. недоразумение sip легко и непринужденно пробрасывается, руки нужно иметь прямые
     
  • 4.39, HyC (?), 11:37, 23/07/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Расскажите, как пробросить через ваше недоразумение sip?

    Точно так-же как FTP.

    Выражаясь дипломатично пробрасывать сип "через недоразумение" еще большее недоразумение.

     
     
  • 5.43, пох. (?), 11:42, 23/07/2021 [^] [^^] [^^^] [ответить]  
  • –7 +/
    >> Расскажите, как пробросить через ваше недоразумение sip?
    > Точно так-же как FTP.
    > Выражаясь дипломатично пробрасывать сип "через недоразумение" еще большее недоразумение.

    Понятно. "sip нинужна" и прочите типовые решения специалистов впопеннета.

    А потом они удивляются, что на желающих притащить решения на базе freebsd с порога смотрят как на полных м-ков, которых непонятно кто вообще на собеседовании проморгал.
    А не м-ки вынуждены молчать, чтоб не сойти за м-ка.



     
     
  • 6.53, Sw00p aka Jerom (?), 13:17, 23/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    лучше бы описали проблему, что куда по каким портам нужно "пробросить", может кто-то и подсказал бы решение.
     
     
  • 7.63, Онаним (?), 13:54, 23/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    5060 и RTP на произвольном порту без открытия всего диапазона 1024-65535
     
     
  • 8.66, пох. (?), 14:04, 23/07/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    ты забыл еще привычку софтсвичтей _иногда_ пытаться угадать что нужно использова... текст свёрнут, показать
     
     
  • 9.70, Онаним (?), 14:27, 23/07/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вроде как сиповый хелпер с nft работает, просто надо ручками к 5060 прибивать И... текст свёрнут, показать
     
     
  • 10.81, пох. (?), 16:07, 23/07/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    он не все умеет, поэтому я в свое время нужные фичи добавлял ручками, это было п... текст свёрнут, показать
     
  • 8.98, Sw00p aka Jerom (?), 22:40, 23/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    SIP, RTP какого уровня OSI Когда найдете ответ, тогда и поймете, что тот же pf ... текст свёрнут, показать
     
     
  • 9.110, Онаним (?), 09:02, 24/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ну вот пусть и сосёт через трубочку А потом эти же ребята будут удивляться ой... текст свёрнут, показать
     
  • 9.111, Онаним (?), 09:04, 24/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Никто ж не заставляет, нет Пусть себе будет абстрактная академическая поделка в... текст свёрнут, показать
     
     
  • 10.155, пох. (?), 12:49, 27/07/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    это пока не запретили А это уже очень скоро - как оно там никто не хочет бы... текст свёрнут, показать
     
  • 9.138, Аноним (-), 20:17, 25/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Хочу посмотреть как вы юзерам расскажете что софт который они используют видите ... текст свёрнут, показать
     
     
  • 10.139, Sw00p aka Jerom (?), 21:07, 25/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    кому кому юзерам о них хоть кто-то думает хавают, что им дадут ... текст свёрнут, показать
     
  • 9.148, пох. (?), 19:14, 26/07/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    sip и rtp - протоколы, используемые в сети internet Поэтому правильный ответ - ... текст свёрнут, показать
     
     
  • 10.150, Sw00p aka Jerom (?), 00:11, 27/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    правильно пишется Ынтернет ... текст свёрнут, показать
     
  • 7.65, пох. (?), 13:59, 23/07/2021 [^] [^^] [^^^] [ответить]  
  • –3 +/
    да нет у меня проблем если ты не узнал описание - ты просто не имел дело с ip т... большой текст свёрнут, показать
     
     
  • 8.71, Онаним (?), 14:29, 23/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Я кстати удивлён что через ASA SIP до сих пор нормально ходит, хотя там хелпер д... текст свёрнут, показать
     
     
  • 9.79, пох. (?), 15:55, 23/07/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    для несимметричных все еще есть возможность явно обозначить между какими адресам... текст свёрнут, показать
     
  • 8.97, Sw00p aka Jerom (?), 22:37, 23/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    отлично, да не имел дел, но Расскажите, как пробросить через ваше недоразумение... большой текст свёрнут, показать
     
     
  • 9.103, Sem (??), 00:06, 24/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Если нет, то в чем претензия к pf, он по определению не должен Это у вас только... текст свёрнут, показать
     
     
  • 10.105, Sw00p aka Jerom (?), 00:25, 24/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    lol и смузи, из ежа и ужа, с натертым хером и пальцем, готовить должен ... текст свёрнут, показать
     
     
  • 11.117, Аноним (117), 12:28, 24/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Вообще-то тебе умные дяди правильно за SIP всё сказали Ты его пакеты видел У н... большой текст свёрнут, показать
     
     
  • 12.119, Sw00p aka Jerom (?), 13:59, 24/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    ага, претензии к L3 L4 файерволу за то, что он не знает про L7 протоколы Где ло... большой текст свёрнут, показать
     
     
  • 13.130, Аноним (117), 16:43, 24/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Приведи мне пример СТАНДАРТА на NAT Ну же Я шучу Все знают, что этого ст... большой текст свёрнут, показать
     
     
  • 14.133, Sw00p aka Jerom (?), 16:04, 25/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Если нет стандартна о каких знаниях может быть речь И OSI это не вера, а модель... большой текст свёрнут, показать
     
     
  • 15.140, Аноним (117), 21:17, 25/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    OSI - это увлекательная теоретическая модель, которая не имеет отношения к объек... большой текст свёрнут, показать
     
     
  • 16.141, Sw00p aka Jerom (?), 22:29, 25/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    ещё бы, когда телефонисты в L7 строят свою OSI постойте, разве NAT из-за SIP-... большой текст свёрнут, показать
     
     
  • 17.142, Аноним (117), 04:44, 26/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А ты в курсе, что WebRTC это тот же самый набор стандартов ICE STUN TURN для обх... большой текст свёрнут, показать
     
     
  • 18.152, Sw00p aka Jerom (?), 00:43, 27/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    я то в курсе, а вот создатели WebRTC в курсе Вы лучше им задайте этот вопрос ... большой текст свёрнут, показать
     
     
  • 19.159, Аноним (117), 15:40, 27/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Мне не надо никому задавать вопросы, я просто в курсе этой темы Была попытка со... большой текст свёрнут, показать
     
  • 16.156, пох. (?), 13:05, 27/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    ошибаетесь OSI это практически реализованная теоретиками мертворожденная сеть ... большой текст свёрнут, показать
     
     
  • 17.157, Sw00p aka Jerom (?), 13:40, 27/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Вы отрицаете существование этих уровней Тогда как вы это называете Ынтернет ... текст свёрнут, показать
     
     
  • 18.160, пох. (?), 16:43, 27/07/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Для бестолковых повторяю эти уровни на самом деле существовали В мертворожденн... текст свёрнут, показать
     
     
  • 19.161, Sw00p aka Jerom (?), 19:02, 28/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Где это я утверждал такое ... текст свёрнут, показать
     
  • 9.113, Онаним (?), 09:14, 24/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Я помню ещё, как мне тучу лет тому назад, когда мультикоры только что пошли, точ... большой текст свёрнут, показать
     
     
  • 10.120, Sw00p aka Jerom (?), 14:20, 24/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    а для чего, не уточнили а где должна быть в конкурентах пальто, чекпоинта и фо... текст свёрнут, показать
     
     
  • 11.121, Онаним (?), 14:25, 24/07/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Конечно не следует, но - не нужно ... текст свёрнут, показать
     
  • 11.122, Онаним (?), 14:27, 24/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Где должна быть Да я хз, где она вам должна По факту - линуховое ядро в любом ... текст свёрнут, показать
     
     
  • 12.128, Sw00p aka Jerom (?), 15:11, 24/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    а мне вот без разницы, ибо и пф и тот же иптейблс предназначены для одного и тог... текст свёрнут, показать
     
  • 11.123, Онаним (?), 14:28, 24/07/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Почему же Уточнял Чтобы колом не вставать, когда трафика станет больше, чем од... текст свёрнут, показать
     
     
  • 12.129, Sw00p aka Jerom (?), 15:12, 24/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    тут нужна конкретика, описать ситуацию ... текст свёрнут, показать
     
  • 12.134, псевдонимус (?), 16:48, 25/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Он в бзде и нетбзде многопоточный А Линукс да, больше не нужен Его место в Хоу... текст свёрнут, показать
     
     
  • 13.135, Онаним (?), 19:32, 25/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Это он сейчас многопоточный А тогда был очень даже не многопоточный и упирался ... текст свёрнут, показать
     
  • 9.145, пох. (?), 13:37, 26/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Как только человек в обсуждении сетей начинает использовать термины Lчтототам ... текст свёрнут, показать
     
     
  • 10.151, Sw00p aka Jerom (?), 00:16, 27/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Скатертью ... текст свёрнут, показать
     
  • 6.162, HyC (?), 13:26, 03/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А как связано "sip нинужна" c FreeBSD и "полными м-ками" где бы то ни было от которых у вас бомбануло ? Кстати на бзде сип если мне не отбило склероз натится чуть ли не от начала времен. Но я не настоящий бздишник, могу ошибиться.
     
  • 2.47, pda (ok), 12:07, 23/07/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    firewalld абстрагирует от конкретного фаервола. Т.е. с ним можно прозрачно переехать с iptables на nftables и ничего не заметить.
     
     
  • 3.67, пох. (?), 14:06, 23/07/2021 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > firewalld абстрагирует от конкретного фаервола. Т.е. с ним можно прозрачно переехать с
    > iptables на nftables и ничего не заметить.

    это было очень мило, спасибо. А можно без него и без nft - кому этот "переезд" даром не нужно?


    С моей точки зрения все ровно наоборот - nft и вызвало к жизни желание какввенде и неумение питонописателей в iptables.

     
     
  • 4.102, pda (ok), 00:02, 24/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > это было очень мило, спасибо. А можно без него и без nft
    > - кому этот "переезд" даром не нужно?

    Да лично для себя вы можете что угодно. Я его сам отключаю, мне удобнее nft напрямую конфигурировать. Но человеку попроще пожалуй с firewalld удобнее будет. RHEL всё-таки не гикоориентированный дистр...

    > С моей точки зрения все ровно наоборот - nft и вызвало к
    > жизни желание какввенде и неумение питонописателей в iptables.

    Простите, я не смог перевести это на русский.

     
  • 3.72, Онаним (?), 14:30, 23/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Он ещё и от реальности абстрагирует, в реальности чётко выделить файрвольные зоны можно только в SOHO, и то не всегда.
     
     
  • 4.104, pda (ok), 00:09, 24/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Он ещё и от реальности абстрагирует, в реальности чётко выделить файрвольные зоны
    > можно только в SOHO, и то не всегда.

    ну, да. Так он и не ставит перед собой цель заменить базовый инструмент сисадмина.

     
  • 3.90, gogo (?), 17:58, 23/07/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    По четвергам переезжаю на iptables, а по вторникам - на nftables. Кайф! Каждый раз наслаждаюсь плавностью и незаметностью переезда.
     
     
  • 4.106, pda (ok), 00:36, 24/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > По четвергам переезжаю на iptables, а по вторникам - на nftables. Кайф!
    > Каждый раз наслаждаюсь плавностью и незаметностью переезда.

    Скажите, а бравировать неспособность заглянуть дальше потребностей админа локалхоста это особой удовольствие приносит?

     
  • 4.124, Онаним (?), 14:29, 24/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Сижу на iptables и никуда не переезжаю.
    На nft посматриваю, но пока острой необходимости нет.
     
  • 3.96, sukaslayer (?), 22:30, 23/07/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    systemctl stop firewalld
    yum -y remove firewalld
    yum -y install iptables-services
     
     
  • 4.107, pda (ok), 00:39, 24/07/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > iptables-services

    Учитывая всеобъемлющее отвращение пользователей opennen ко всему новому - ни разу не удивлён. Наверное, если бы ipchains не выпилили, то увидел бы ipchains-services...

     
  • 4.125, Онаним (?), 14:30, 24/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Абсолютно так.
     

     ....большая нить свёрнута, показать (64)

  • 1.6, Котовшив (?), 09:42, 23/07/2021 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • –5 +/
     

     ....ответы скрыты (4)

  • 1.8, Аноним (8), 09:42, 23/07/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    мало того что на линуксе система сетевой инициализации на питоне, так теперь и фаервол на питоне :D

    они что сами не понимают какой зашквар это?)))

     
     
  • 2.11, пох. (?), 09:49, 23/07/2021 [^] [^^] [^^^] [ответить]  
  • –3 +/
    можешь начинать переписывать на свой любимый bash. Только учти, из него немного неудобно делать интерфейс к dbus.

     
     
  • 3.24, Аноним (8), 10:48, 23/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    У меня из любимых sh и csh, а bash для школоты вроде тебя.
     
     
  • 4.30, пох. (?), 11:24, 23/07/2021 [^] [^^] [^^^] [ответить]  
  • –4 +/
    > У меня из любимых sh и csh, а bash для школоты вроде
    > тебя.

    да ты ни на чем не умеешь, вот в чем беда.

     
     
  • 5.100, Sw00p aka Jerom (?), 22:46, 23/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > да ты ни на чем не умеешь, вот в чем беда.

    вредный какой :)


     
  • 3.28, anonymous (??), 11:09, 23/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Можно на Go переписать ;)
     
     
  • 4.34, пох. (?), 11:33, 23/07/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Можно на Go переписать ;)

    было бы хотя бы небессмысленно - миллиона пихонодеталек, каждый день новых, в зависимостях зависимостей по крайней мере избежали бы.


     
  • 2.12, Онаним (?), 09:50, 23/07/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    systemd+iptables - и никакого питона ;D
     
     
  • 3.13, Онаним (?), 09:50, 23/07/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    (systemd-networkd)
     
  • 2.14, Амоним (?), 10:04, 23/07/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > так теперь и фаервол на питоне

    не файервол, а гуй и прочая обвязка к системному файерволу.

    и потихоньку привыкайте к мысли что питон это такой новый скриптовый шелл.

     
     
  • 3.22, нах.. (?), 10:39, 23/07/2021 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > потихоньку привыкайте к мысли что питон это такой новый скриптовый шелл.

    Чейта, где выходил такой закон?

     
  • 3.55, Онаним (?), 13:25, 23/07/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ды вот щаз.
    Я на пхп доскриптовываю всё то, что на баше лениво.
     
     
  • 4.58, Аноним (54), 13:34, 23/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Считаешь, что Пых прямее Питона?
     
     
  • 5.62, Онаним (?), 13:52, 23/07/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Хз насчёт прямее, я не спец по изгибам рук честно говоря.
    Но то, что удобнее и читабельнее для тех, кто с C и плюсами знаком - да.
     
  • 5.64, Онаним (?), 13:55, 23/07/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну и зависимостей меньше, в рантайме по сути есть почти всё, что может понадобиться.
     
  • 3.114, Аноним (114), 09:49, 24/07/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Что тут привыкать? Давно пора баш выпилить и заменить питоном.
     
  • 3.163, Аноним (163), 22:51, 05/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    вы хотели сказать "сквиртовый"?
     

  • 1.15, Anonimous (?), 10:09, 23/07/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Я когда разбирался с nftables ради интереса сравнивал теже правила добавленные через firewalld с бекендом nftables. Так firewalld создает примерно 20-ти кратный оверхед сравнительно с просто nftables. В принципе можете сами повторить эксперимент и убедится.
     
     
  • 2.147, анонимус (??), 17:24, 26/07/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    nft поддерживает правила с вариантами, вроде "разрешить порты 80 и 443 одним правилом".
    Для firewalld же для блокировки двух портов необходимы два правила - это сильно огорчает.
     

  • 1.18, Аноним (18), 10:19, 23/07/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >свободное перемещение пакетов между сетевыми интерфейсами или источниками трафика внутри одной зоны (public, block, trusted, internal и т.п.).

    Очень странный дефолт, особенно для зон public и block. Я еще понимаю для trusted и internal, home, но для всех это перебор.

     
     
  • 2.23, нах.. (?), 10:41, 23/07/2021 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Ну тогда учите ip/nftables. Нехотите? Ну тогда как хозяиманама сказала так и будет.
     
  • 2.35, пох. (?), 11:35, 23/07/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Очень странный дефолт, особенно для зон public и block. Я еще понимаю

    пупсики ломают себе взаимодействие собственных "сервисов" из-за этого.
    Пришлось разрешить.

    У серверов в облачках никаких зон кроме public и нету.

     
     
  • 3.56, Онаним (?), 13:26, 23/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    У пупсиков всё взаимодействие их собственных сервисов и так смузи сломано.
    Я не про серверы :D
     
  • 3.57, Онаним (?), 13:26, 23/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Почему ж нету.
    Вполне возможны всякие тунельки, ну и локалхост никто не отменял.
     

  • 1.29, Аноним (29), 11:20, 23/07/2021 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • –3 +/
     

     ....ответы скрыты (2)

  • 1.49, Аноним (49), 12:19, 23/07/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Чем это лучше того же ufw?
     
     
  • 2.82, пох. (?), 16:10, 23/07/2021 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > Чем это лучше того же ufw?

    IPX хороший протокол, но у него есть один недостаток - он разработан фирмой novell.(c)

    ufw кажется не очень здорово интегрируется с дерьмобасом и гомощелью.

     

  • 1.52, Аноним (-), 13:04, 23/07/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Код firewalld написан на языке Python и распространяется под лицензией GPLv2.

    Демонов положено писать на С, и вряд ли на Хрусте. Куда вы сос винной харей в калашный ряд то!

     
     
  • 2.59, нах.. (?), 13:39, 23/07/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Тссс ты че, они моск сломают, а потом в суд подадут!
     
  • 2.126, Ordu (ok), 14:36, 24/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Кем положено? Мы живём в мире свободного ПО, все эти положатели пускай идут в госдуму работать и оттуда вещают всем, как и что им надо делать.
     

  • 1.68, Хан (?), 14:15, 23/07/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    FirewallD от Лени с любовью
     
  • 1.73, Аноним (73), 14:44, 23/07/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    А если ssh на нестандартном порту? Ты ему команду "запрети ssh", а он что?
     
     
  • 2.80, пох. (?), 16:03, 23/07/2021 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > А если ssh на нестандартном порту? Ты ему команду "запрети ssh", а
    > он что?

    напустит лужу, сядет в нее и будет прыгать. Как и альтернативно-одаренное дитя, которое такое написало, ага.

    В ентих мелочах, собственно, и диавол.
    "Было бы величайшей ошибкой - думать!"

     
     
  • 3.115, Аноним (115), 10:41, 24/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Обожаю опеннет за дружелюбное комьюнити!
     
  • 2.93, Пряникё (?), 19:59, 23/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    вы это серьезно?
     
     
  • 3.116, Аноним (115), 10:45, 24/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Да, серьезно. Вот ниже и пишут, что для исходящих соединений это не работает, ибо неоткуда взять эту информацию
     
  • 2.118, Аноним (117), 12:49, 24/07/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну как бы в фаерволлд имеет xml-ки вот такого вида:
    https://firewalld.org/documentation/man-pages/firewalld.service.html
    Вот в ssh там будет внутри:
    <port protocol="tcp" port="22" />
    Соответственно, если ты перенес ssh на порт 65022, то как ты понимаешь, файлик
    /usr/lib/firewalld/services/ssh.xml
    сам себя не отредактирует. Зайди и поменяй там и тогда всё будет работать.

    У меня подобные "автоматизации" вызывают леденящий душу восторг.

     
     
  • 3.127, Аноним (127), 15:09, 24/07/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    думаю отредактированое в /usr будет работать до первого обновления пакета. Потом кто-то будет удивляться результатам работы
     

  • 1.76, ыы (?), 15:08, 23/07/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    жутко неудобная штука, поскольку когда начинаешь блокировать исходящие соединения- вся магия именованных сервисов идет попиз.е и все делается построчно, ручками...
     
  • 1.77, Аноним (77), 15:23, 23/07/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    ну вот, еще лет 10 и может осилят интерфейс микротиковского фаервола и будет наконец-то счастье, жаль что не долго, кто-нибудь придет и начнет все это дело переписывать :)
     
  • 1.83, Аноним (83), 16:16, 23/07/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вроде как для предотвращения разрывов давно придумали conntrack и первое правило в INPUT - разрешение уже установленных соединений.

    Хз, но имхо это пердолина как ufw. Что-то серъёзное ваять в этом - ну такое, да, для любителей. А если там несколько аплинков, vpn-туннелей, snat/dnat/masq? Загнётся жи мосх такое воплощать на firewalld.

     
  • 1.92, Аноним (92), 19:38, 23/07/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Есть фатальный недостаток, наличие Python.
     
  • 1.95, Аноним (95), 21:22, 23/07/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >>firewall-cmd --add --service=ssh

    Как оно поймёт на каком порту у меня ССХ? У меня их два. К обоим доступ даст?

     
     
  • 2.109, hefenud (ok), 07:46, 24/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    man services
    grep ssh /etc/services

    То что ты сумасшедший перевешивающий сервисы куда попало и у тебя ssh на 946/tcp, а https на 317/tcp никого не волнует

     
     
  • 3.131, Stax (ok), 02:57, 25/07/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Внезапно, совершенно неправильный ответ. Потому что он про iptables, в котором текстовые названия портов - всего лишь алиасы из /etc/services, да. А в firewalld сервисы - это такие определения, из коробки совпадающие с портами из services, но от них не зависящие и модифицируемые.

    Правильный ответ: это делается через модификацию сервиса командой firewalld или правкой xml-определения сервиса, пример тут: https://www.centlinux.com/2019/01/3-ways-create-custom-firewalld-service-cento

    После чего можно сделать сервисы ssh_external, ssh_internal и ssh_both, например, и использовать который нужно, ну или оба, если так подразумевается...

     

  • 1.108, Аноним (108), 02:02, 24/07/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Эх Agnitum, это был правильный firewall, с мониторингом процессов, портов, ип
     
     
  • 2.132, Stax (ok), 03:01, 25/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Брр. Это который работал через грязный хук в сетевой стек?? Спасибо, не надо...
     
     
  • 3.143, Аноним (143), 07:22, 26/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Это не о том через что он работал, а про возможности и удобство мониторинга!
     
  • 3.144, Аноним (144), 07:26, 26/07/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    не то что ваши ss - bwm-ng и др. г
     

  • 1.146, Аноним (146), 16:56, 26/07/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    безумие какое
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру