Использование применяемой по умолчанию в RHEL/CentOS 7 надстройки Firewalld не всегда очевидно, поэтому бывает удобнее вернуться к классическим скриптам работы с пакетным фильтром.Установим классические сервисы для работы с iptables:
yum install -y iptables-services
Настраиваем правила фильтрации в файлах /etc/sysconfig/iptables и /etc/sysconfig/iptables-config, например, можно сохранить текущие правила firewalld:
iptables-save > /etc/sysconfig/iptables
Завершаем работу firewalld и запускаем сервисы iptables:
systemctl stop firewalld && systemctl start iptables
Проверяем, что используются новые правила:
iptables -S
iptables -LДля восстановления резервной копии типовых правил с другой машины можно воспользоваться командой iptables-restore:
cat iptables.backup| iptables-restore -t
service iptables save (или /usr/libexec/iptables/iptables.init save)для возвращения настроек из /etc/sysconfig/iptables:
systemctl reload iptables
Если всё нормально убираем активацию Firewalld при загрузке и запрещаем ручной запуск:
systemctl disable firewalld
systemctl mask firewalldАктивируем включение сервисов iptables при загрузке:
systemctl enable iptables
URL:
Обсуждается: https://www.opennet.ru/tips/info/2926.shtml
Я правильно понимаю, что firewalld лучше подходит для десктопа, iptables - для сервера?
Есть хорошие GUI'и для айпи-таблиц, которые очень удобны для десктопов.
> Есть хорошие GUI'и для айпи-таблиц, которые очень удобны для десктопов.А можно примеры этих самых GUI?
gufw, не совсем для iptables, но самое удобное что есть для десктопа)
Бесполезная софтина. Дает сделать полторы элементарных вещи, да и то непрозрачно для юзера.
Декстопный фаервол должен интерактивно блокировать отдельные приложения и т д. Все еще нет, да.
firewalld подходит для влажных фантазий его изобретателей, для реальной жизни лучше iptables
У них разный принцип конфигурирования. iptables привычней, firewalld проще. --permanent в f-d мне очень нравится. Зоны f-d - пока не понял, зачем они мне; для перемещаемого между разными сетями компьютера(ноута, планшета), наверно. Кроме синтаксиса конфигурирования и зон, есть еще какие-нибудь отличительные черты?
> У них разный принцип конфигурирования. iptables привычней, firewalld проще. --permanent
> в f-d мне очень нравится. Зоны f-d - пока не понял,
> зачем они мне; для перемещаемого между разными сетями компьютера(ноута, планшета), наверно.
> Кроме синтаксиса конфигурирования и зон, есть еще какие-нибудь отличительные черты?Ну если вы постоянно перемещаетесь вам проще иметь reject зону на вашем интерфейсе, интересный подход, особо если учесть что скорее всего ноут цепляется по вафле, а если RJ45, то вашему порту придет капец и довольно быстро. А че есть планшеты на федоре/ЦентОС/Рхел/ОралкЛинукс/СайтификЛинукс - просвятите?
Вы тока тока положили каменный топор(перешли на firewalld) и опять за старое(iptables привычней)?
> Вы тока тока положили каменный топор(перешли на firewalld)firewalld - лишь довесок к топору iptables. из лиан и шкурки гадюки. доступность для самых маленьких - единственное "достоинство". ну и возможности под стать.
О да, разумеется фаервол с зонным подходом плохо подходит для сервера, но хорошо - для десктопа. А то что его как iptables не надо каждый раз перезапускать при добавлении/изменении правила - делает его плохим выбором для сервера...
Кратко - firewalld первый в линаксах фаервал, который хоть отдаленно похож на такие современные решения как zbfw...
Гуй говорите не нужен? Я не хочу вас господа разочаровывать, но при планировании и развертование фаервола, прикрывающего не тлько гордый локалхост, а целую сеть - он необходим. Даже такие закоренелые поклонники командной строки как кошководы, когда речь заходит о фаерволе - сдаются и испольуют гуй...
> кошководы, когда речь заходит о фаерволе - сдаются и испольуют гуй...так они виндовые мышевозилы. а из гуя не получится сделать сложные конфигурацию. на все возможности айпитаблеса галочки не нарисуешь. попробуй из гуя порткнок сделать и расскажи как получилось.
Возможности iptables? Не смешите мои тапочки - нет у него никаких достойных возможностей, да и модель дурацкая, типовая для примитивного персонального фаервола, но с традиционными для линакса ненужными усложнениями. Зачем мне знать все стадии обработки пакета ядром для написания правила? Глупость и непонятно зачем нужно - правильно спроектированный фаервол этого не требует, есть интерфейс, на нем есть входящий и исходящий трафик - от этого и танцуем. firewalld пытается хоть как-то исправить сей недостаток - получается плохо, но хорошо что хоть кто-то понимает что это необходимо сделать и пытается.
Про невменяемость синтаксиса iptables давно жодят легенды. Сравни его с синтаксисом полноценных фаерволов типа asa или zbfw и ужаснись. firewalld опять же пытается это исправить...
А на счет мышковозил - посмешил. Почти все на кошках удобней делать из консоли. Все кроме фаерволов. Просто пойми ты, гордый админ локалхоста, полноценный фаервол прикрывающий полноценную сеть - это действительно сложно. И без графического представления, группировки и т.д. - очень тяжко. Я понимаю что в своем линаксе ты просто не видел полноценных конфигураций - их в нем просто невозможно сделать, но ты просто поверь. Или возьми GNS и поэксперементируй...
> Зачем мне знать все стадии обработки пакета ядром для написания правила?Например, чтобы компетентные "советы" локалхостерам давать
> Даже такие закоренелые поклонники командной строки как кошководы, когда речь заходит
> о фаерволе - сдаются и испольуют гуй...Надо же, не знал. Запишу себе, а то как-то не хочется из моды выходить. ;)
Для firewalld хейторов пишу, firewalld это не часть systemd так что как говорят овчаркам фууу, типа не трогать. Зоны это преднастроеные профили, в каждом профиле указано какие сервисы в нем доступны, т.е. если у вас сервер в dmz, указываете соответсввующую зону и вот вам счастие...ну если вы полный нуб. Firewalld проще и понятнее iptables раз в 100, дауны которые не осиливают его не осилят iptables, доказано. Не нада на меня наезжаеть, у меня Убунта, но firewalld мне нравится. Кстати в нем есть готовые правила для порт-форвардинга, Маскарадинга причем это делается 2-3 командами и понятнее чем в iptables. И да, кстати системд это тоже вещь.
Пока firewalld - это кусок дурнопахнущей субстанции шоколадного цвета.
При этом он не умеет ipset со всеми вытекающими(и тоже дурно пахнущими) последствиями.
Умеет он все, через direct rules. Читай документацию, "линуксоид".
> Умеет он все, через direct rules.напрямую покомандовать айпитаблезом можно и без него. кусок питонятины который лишь генерирует правила iptables'у - штука странная и бесполезная.
Понятно, ты нам, братишкам, просто покушать принёс
iptables вместо firewalld может понадобиться, если захочется поставить fial2ban, он ток с iptables умеет работать
> iptables вместо firewalld может понадобиться, если захочется поставить fial2ban, он ток
> с iptables умеет работатьс firewalld можно свой fial2bun написать, примитивный конечно, с этим я согласен. Ручками много правил придумывать, опять таки файл2бан для нубов которые не паряца, виндоусюзеры его любят ставить на свои впс с мегасупер сайтами на джумле и то не все.
> для нубов которые не паряца, виндоусюзерыпрорвало что ли? Ну тогда Розенталя для начала почитай. А то сам дебилом выглядишь
Троль пришел
> с firewalld можно свой fial2bun написать, примитивный конечно,не хватало кусок питона держать для генерации правил айпитаблеса.
> Ручками много правил придумывать, опять таки файл2бан для нубов которые не паряца,
правильно, ненубы сделают порткнок и банить станет некого, а у нубов их аналитика на питоне застрянет при нашествии ботнета. и не спасет вас fail2ban от распределенного брута.
> и не спасет вас fail2ban от распределенного брута.Чот у меня прям день открытий на OpenNet.
Правда, что ли, не спасёт? Серьёзно? А что, сломается? Или в F2B логика проверки распределённости брута встроена, и если она говорит, что брут распределённый, то пишем в логушку "А-А-А-А-А-А!!!" и зовём abort() ?-)
firewalld в fail2ban поддерживается
> iptables вместо firewalld может понадобиться, если захочется поставить fial2ban, он ток
> с iptables умеет работатьДа ты шо, а поцаны то и не знають.
https://fedoraproject.org/wiki/Fail2ban_with_FirewallD
ваш ник очень уместен в вашем сообщении.
А не проще скопировать все ваши новые правила в скрипт который rich rules в firewalld добавит? И правила старые и фаер текущий?
а кто юзал nftables?
Ура! Ждём статью про Systemd и журнал. Уверен что понадобится серьёзная пересборка всего, чтобы появились /etc/init.d/*
> всего, чтобы появились /etc/init.d/*юниты systemd хранятся в другом каталоге.
В чем прикол сравнивать ipt и надстройку для управления ipt?