| |
| 2.63, Vitto74 (ok), 00:28, 07/01/2023 [^] [^^] [^^^] [ответить]
| +1 +/– |
 Можно ручками указать порт, это не запрещено, а можно поправить конфиг, создав/переопределив порты служб.
| | |
|
| 1.4, Аноним (4), 08:06, 06/01/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Прекрасная альтернатива страшному iptables. Правила хранятся в декларативном виде в XML-файле. А в iptables предлагается писать императивные баш-портянки со страшным синтаксисом. Если в этом мире и есть что-то лучше, чем firewalld, так это nftables, где тоже декларативно описываешь правила в симпатичном nft-файле. firewalld - для домохозяек (в хорошем смысле), nftables - для профессионалов, а iptables - для ходячих доказательств простой истины "старую собаку новым трюкам не научишь".
| | |
| |
| 2.6, ivan_erohin (?), 08:58, 06/01/2023 [^] [^^] [^^^] [ответить]
| –5 +/– | |
> А в iptables предлагается писать императивные баш-портянки со страшным синтаксисом.
а еще ... а еще ...они не "идемпотентные" ! (что бы это не значило в понимании смузи-опсов).
ps: откройте для себя уже firehol.
| | |
| |
| 3.7, pin (??), 09:13, 06/01/2023 [^] [^^] [^^^] [ответить]
| +9 +/– | |
> firewalld - для домохозяек (в хорошем смысле), nftables - для профессионалов, а iptables - для ходячих доказательств
Ути-пути. Вы забыли подписаться - localhost эксперт.
| | |
| |
| 4.11, ivan_erohin (?), 10:52, 06/01/2023 [^] [^^] [^^^] [ответить]
| –2 +/– |
локалхост эксперт лучше смузиопса.
чем ?
1) тем что есть хоть какая-то экспертиза.
2) из первого второй получиться может, из второго первый - никогда.
| | |
| |
| 5.20, Аноним (20), 12:07, 06/01/2023 [^] [^^] [^^^] [ответить]
| +/– | |
> тем что есть хоть какая-то экспертиза
дооооо, ты прямо блещешь, типичный иксперт опеннет
> из первого второй получиться может, из второго первый - никогда
на чем основано данное утверждение, трепло? что очевидно, так это то, что из тебя не получится вообще ничего и никогда
| | |
| |
| 6.42, ivan_erohin (?), 15:10, 06/01/2023 [^] [^^] [^^^] [ответить]
| +3 +/– | |
> дооооо, ты прямо блещешь, типичный иксперт опеннет
я знаю.
> из тебя не получится вообще ничего и никогда
ты какой-то токсичный, пора на курсы по управлению гневом.
| | |
|
|
|
|
| 2.19, An0nim0us (?), 12:05, 06/01/2023 [^] [^^] [^^^] [ответить]
| –3 +/– |
Это вообще не альтернатива.. Данный сабж просто надстройка над чем то - либо над упоминаемым iptables, либо над nfrables...
| | |
| |
| 3.22, Аноним (4), 12:17, 06/01/2023 [^] [^^] [^^^] [ответить]
| +2 +/– | |
очередной комментатор решил сумничать, не разобравшись в вопросе.
In order to configure firewall rules for Netfilter or nftables, a firewall utility needs to be installed. Guidance has been included for the following firewall utilities:
1) FirewallD
2) nftables
3) iptables
Only ONE method should be used to configure a firewall on the system. Use of more than one method could produce unexpected results.
Теперь давай прочитаем еще раз: Only. ONE. Method. Should. Be. Used. To configure a firewall. Хотя может у себя в локалхосте ты и применяешь все три сразу - кто тебя знает?
| | |
| |
| 4.33, Аноним (33), 13:59, 06/01/2023 [^] [^^] [^^^] [ответить]
| +1 +/– | |
Я вообще не айтишник и уж тем более не эксперт, я простой домохозяин, но в новости сказано:
> реализованного В ФОРМЕ ОБВЯЗКИ над пакетными фильтрами nftables и iptables
Что говорит о том, что это не замена nftables и iptables. Или это не то?
| | |
| |
| 5.39, Аноним (4), 14:29, 06/01/2023 [^] [^^] [^^^] [ответить]
| +1 +/– | |
Обвязка и альтернатива - ортогональные понятия. Vala и C - это две альтернативы, и проекту придется ВЫБИРАТЬ, на каком языке писать код. Даже не смотря на то, что Vala компилится в C. Точно так же, как и админу придется ВЫБИРАТЬ, на чем строить файрвол: средствами firewalld или на голом iptables.
При этом важно учитывать, что если админ выбирает оба варианта сразу, то его следовало бы выгнать не только из компании, но и из IT в целом.
Альтернати́ва (фр. alternative, от лат. alternatus — другой) — необходимость выбора одной из двух или более исключающих друг друга возможностей.
| | |
| |
| 6.47, Аноним (47), 17:42, 06/01/2023 [^] [^^] [^^^] [ответить]
| +2 +/– | |
firewalld внутри себя запускает либо nftables, либо фронтенд утилиты iptables. iptables и nftables на самом деле настраивают netfilter.
firewalld напрямую netfilter не настраивает.
Значит firewalld — это обвязка над уже существующими методами управления файерволом, а не альтернативный *фронтенд* для управления файерволом. Иначе файерволом можно и ansible назвать.
| | |
| |
| 7.48, Аноним (4), 18:14, 06/01/2023 [^] [^^] [^^^] [ответить] | +/– | nftables - это userspace-фронтенд над подсистемой ядра nftables iptables - это ... большой текст свёрнут, показать | | |
|
|
|
| |
| 5.36, Аноним (4), 14:23, 06/01/2023 [^] [^^] [^^^] [ответить]
| +/– | |
> FirewallD под капотом использует nftables или xtables, умник
Умник, тебе еще раз написать? Не смотря на то, кто кому приходится фронтендом, использовать следует только один вариант: либо только iptables, либо только его фронтенд, либо только nftables. Поэтому firewalld является альтернативой iptables.
Альтернати́ва (фр. alternative, от лат. alternatus — другой) — необходимость выбора одной из двух или более исключающих друг друга возможностей.
| | |
|
| |
| 5.46, Аноним (4), 17:18, 06/01/2023 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> Смысл текста не противоречит тому что это прослойка
Смысл текста прямо противоречит твоему выкрику, что это мол "не альтернатива":
> Это вообще не альтернатива
Если конфигурируем этой прослойкой от начала и "до конца", то значит, что из двух альтернатив - iptables vs firewalld - мы выбрали что-то одно. А кто над кем там прослойка, и прослойка ли вообще - совершенно не важно.
Так что ты все-таки, чукча, читай все тексты: и те, на которые ссылаешься, и свои собственные комменты. Но в первую очередь загугли, что такое "альтернатива":
Альтернати́ва (фр. alternative, от лат. alternatus — другой) — необходимость выбора одной из двух или более исключающих друг друга возможностей.
| | |
| |
| 6.54, An0nim0us (?), 19:53, 06/01/2023 [^] [^^] [^^^] [ответить]
| +1 +/– |
в контексте IT, если рассматривать архитектуру то это Frontends над 1 из Backend'ов и это не может быть альтернативой просто потому что мы не можем выбрать и использовать его без бэкенда. т.э. выбирая Firewalld, ты вместе в ним выбираешь и iptables или nftables, которые между собой являются альтернативными реализациями (считай альтернативами). Иначе можно дойти до того что называть Firefox аналогом nginx, или pma аналогом mysql. С философской точки зрения можешь называть хоть лягушкой, но в профессиональной среде их нельзя характеризовать как аналоги.
| | |
| |
| 7.66, Аноним (4), 03:13, 07/01/2023 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> в контексте IT
Об IT у тебя весьма отдаленное представление.
> ты вместе в ним выбираешь и iptables или nftables
Правильно:
<...> FirewallD is dependent on the iptables package.
> но в профессиональной среде их нельзя характеризовать как аналоги
Садись, два:
Note: Only ONE firewall utility should be installed and configured. FirewallD is dependent on the iptables package. (обрати внимание, что оба утверждения стоят рядом)
Таким образом, ты снова продемонстрировал всем свое невежество, утверждая, будто следует напрямую использовать оба инструмента сразу только потому, что они оба установились:
> их нельзя характеризовать как аналоги | | |
|
|
|
| 4.49, Аноним (49), 18:46, 06/01/2023 [^] [^^] [^^^] [ответить]
| +/– | |
> очередной комментатор решил сумничать, не разобравшись в вопросе.
Чего там разбираться в запущенности вопроса? Настоящей домохозяйке файрвол уже настроенный должен поставляться, а то много молока может убежать.😎
| | |
|
| 3.52, Аноним (52), 19:07, 06/01/2023 [^] [^^] [^^^] [ответить]
| +/– |
Альтернатива способу конфигурации, а не самому сервису, епт.
Можно было бы и допетрить
| | |
| |
| 4.55, An0nim0us (?), 19:58, 06/01/2023 [^] [^^] [^^^] [ответить]
| +/– |
Мы же на сайте для гуманитариев... Тогда уж и ложка альтернатива тарелке - можно есть ложкой, а можно лицо мокать в кастрюлю и есть.
| | |
| |
| 5.67, Аноним (4), 03:17, 07/01/2023 [^] [^^] [^^^] [ответить]
| +/– | |
> Мы же на сайте для гуманитариев
Ну, с твоим присутствием опеннет действительно превращается в сайт ламеров:
> ложка альтернатива тарелке
Тебя и на кухню-то лучше не впускать, какой там IT?
| | |
| |
| 6.70, An0nim0us (?), 12:41, 07/01/2023 [^] [^^] [^^^] [ответить]
| +/– | |
>> Ну, с твоим присутствием опеннет действительно превращается в сайт ламеров:
почитай про "Эффект Даннинга - Крюгера", там про тебя будет написанно. Жду когда ты на серьезных щях начнешь утверждать что firewalld альтернатива ядру линукса с той же аргументацией...
>> Тебя и на кухню-то лучше не впускать, какой там IT?
А ты оказывается еще и в аналогии не умеешь... Тяжелый случай, что тут скажешь...
| | |
|
|
|
|
| 2.32, YetAnotherOnanym (ok), 13:57, 06/01/2023 [^] [^^] [^^^] [ответить]
| +2 +/– |
 > императивные баш-портянки со страшным синтаксисом
Бедненький. У тебя психологическая травма.
Ну, иди ко мне, пожалею.
| | |
| 2.77, анон (?), 19:35, 08/01/2023 [^] [^^] [^^^] [ответить]
| +/– |
У xml уйма стандартов, договоренностей, костылей, версий, а еще есть надсхема для проверки этой схемы. Он на порядок хуже баша, уж лучше json.
| | |
|
| |
| 2.14, Аноним (14), 11:30, 06/01/2023 [^] [^^] [^^^] [ответить]
| +1 +/– |
Как небо и земля (я качестве земли выступает ufw) :(
Но сабж на Ubuntu поставить можно
| | |
| 2.65, Fafhrd (ok), 01:39, 07/01/2023 [^] [^^] [^^^] [ответить]
| +/– |
 bash-$ firewall-cmd --add-rich-rule 'rule family="ipv4" service name="ssh" \
source address="10.1.1.0/24" accept' --permanent
bash-$ ufw allow from 10.1.1.0/24 to any port 22 proto tcp
| | |
| |
| 3.81, Аноним (81), 21:02, 09/01/2023 [^] [^^] [^^^] [ответить]
| +/– | |
Да штош такое - опять лабораторный микроскоп уступил школьному на конкурсе по забиванию гвоздей!
| | |
|
|
| |
| |
| |
| 4.37, YetAnotherOnanym (ok), 14:24, 06/01/2023 [^] [^^] [^^^] [ответить]
| +4 +/– |
Да, это очень удобно. Добрые и мудрые волшебники из w3 создали для этого целый мир. Освоишь xml, xquery, научишься конвертить xml-конфиг в нормальный список правил с помощью xslt. К тому времени, когда ты всё это освоишь, авторы этого опуса забросят его и начнут переписывать заново на ноде с конфигами в json.
| | |
| |
| 5.83, Аноним (14), 15:57, 13/01/2023 [^] [^^] [^^^] [ответить]
| +/– |
Библиотеки? Не не слышал...
Но если такие преобразования кому-то и нужны - наверняка уже есть куча готовых вариантов от разных авторов.
| | |
|
|
|
|
| 1.15, EuPhobos (ok), 11:35, 06/01/2023 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
 > без необходимости перезагрузки правил пакетного фильтра и без разрыва установленных соединений
Это как?
systemctl reload nftables - не разрывает tcp-соединени.
И почему отсутствие необходимости перезагрузки правил пакетного фильтра так важно?
И если он является обвязкой над тем-же nftables, но не перезапускает его правила, то как блин он работает??!
| | |
| 1.18, Анноним (?), 11:59, 06/01/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
Один из останавливающих факторов замены Windows на Linux является отсутствие фаервола уровня приложений с вменяемым графическим интерфейсом.
Вот в винде я запретил всё, и открываю понемногу конкретные ип:порт для конкретного пути к exe, например, c:/firefox_a/firefox.exe имеет один набор правил, c:/firefox_b/firefox.exe совсем другой.
Я даже хз как в linux разделить установленный firefox на два раздельных, вот установил я в Debian firefox-esr а как поставить второй, чтобы бинарники разные были.
| | |
| |
| |
| 3.25, Аноним (20), 12:52, 06/01/2023 [^] [^^] [^^^] [ответить]
| +2 +/– |
это не application firewall, а всего лишь еще одна интерактивная обертка iptables
| | |
| |
| 4.27, Анноним (?), 13:02, 06/01/2023 [^] [^^] [^^^] [ответить]
| +/– |
нажимал ответить в 2.23 а вставило после 2.25 хотя когда нажимал 2.25 еще небыло, хз как так получилось
| | |
|
|
| |
| 3.51, Аноним (49), 19:01, 06/01/2023 [^] [^^] [^^^] [ответить]
| +/– | |
> матчинг по PID выпилили в 2005 году как устаревший
Почему оно в данный(текущий по-русски) момент применено? )
| | |
|
| 2.64, Аноним (64), 01:11, 07/01/2023 [^] [^^] [^^^] [ответить]
| +/– | |
А в виде из стора ты тоже можешь два разных фаерфокса поставить?
Ну дак и в дебиане можешь скачать два разных тарбола и распаковать в разные директории. Что как маленький то?
| | |
|
| 1.28, Анноним (?), 13:16, 06/01/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Коменты глючат - добаил комент его вставило вообще не туда, куда нажимал ответить, а потом вообще удалило.
| | |
| 1.29, Ilya Indigo (ok), 13:16, 06/01/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Кто-нибудь может подсказать в openSUSE Tumbleweed использую сабж для маскарадинга Wi-Fi с hostapd.
/etc/systemd/system/hostapd.service.d/override.conf
[Unit]
Conflicts=wpa_supplicant@wlo1.service
[Service]
ExecStartPre=/usr/sbin/ip addr add 192.168.1.1/24 dev wlo1
ExecStartPost=/usr/bin/firewall-cmd --zone=public --add-masquerade
ExecStartPost=/usr/bin/firewall-cmd --zone=public --remove-interface=wlo1
ExecStartPost=/usr/bin/firewall-cmd --zone=home --add-interface=wlo1
ExecStartPost=/usr/bin/firewall-cmd --direct --add-rule ipv4 nat POSTROUTING 0 -o enp3s0 -j MASQUERADE
ExecStartPost=/usr/bin/firewall-cmd --direct --add-rule ipv4 filter FORWARD 0 -i wlo1 -o enp3s0 -j ACCEPT
ExecStartPost=/usr/bin/firewall-cmd --direct --add-rule ipv4 filter FORWARD 0 -i enp3s0 -o wlo1 -m state --state RELATED,ESTABLISHED -j ACCEPT
ExecStop=/usr/bin/firewall-cmd --direct --remove-rule ipv4 filter FORWARD 0 -i enp3s0 -o wlo1 -m state --state RELATED,ESTABLISHED -j ACCEPT
ExecStop=/usr/bin/firewall-cmd --direct --remove-rule ipv4 filter FORWARD 0 -i wlo1 -o enp3s0 -j ACCEPT
ExecStop=/usr/bin/firewall-cmd --direct --remove-rule ipv4 nat POSTROUTING 0 -o enp3s0 -j MASQUERADE
ExecStop=/usr/bin/firewall-cmd --zone=home --remove-interface=wlo1
ExecStop=/usr/bin/firewall-cmd --zone=public --add-interface=wlo1
ExecStop=/usr/sbin/ip addr flush dev wlo1
ExecStop=/usr/bin/kill $MAINPID
Всё прекрасно работает и всегда работало, когда у сабжа бэк iptables (НЕ по умолчанию и написано deprecated), но никогда не работало с бэком nftables (по умолчанию).
В чём может быть проблема и как отладить, чтобы посмотреть эти правила непосредственно в iptables и/или nftables?
| | |
| |
| 2.58, pin (??), 21:36, 06/01/2023 [^] [^^] [^^^] [ответить]
| +5 +/– |
ОМГ, тут кто-то про про баш портянки ныл. А это шедевр.
| | |
| |
| 3.62, пох. (?), 00:25, 07/01/2023 [^] [^^] [^^^] [ответить]
| –1 +/– | |
Ну вообще говоря, тут гвоздь забитый микроскопом прямо в яйцо Фаберже.
Что и гвоздь из г-на, и микроскоп г-но, и Фаберже нехрен было яйца тут развешивать, это уже отдельная песня. С таким подходом не помогли бы и золотой гвоздь, и лабораторный микроскоп, только ущерба было бы больше.
| | |
|
|
| 1.30, Аноним (30), 13:29, 06/01/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
(Android)"oRoot Firewall" 4pda.to/forum/index.php?showtopic=495699
Сигналит что Firefox(будучи выключенным) лезет в интернет .
Есть такое для компа?
| | |
| |
| 2.40, Аноним (35), 14:33, 06/01/2023 [^] [^^] [^^^] [ответить]
| +/– | |
> Firefox(будучи выключенным)
В android ты не контролируешь выключение или включение приложения, отсутствие окна приложения на экране не означает что оно выключено.
> Есть такое для компа?
Запусти firefox в отдельном network namespace и сможешь смотреть на его интерфейсе куда он ходит или под отдельным пользователем и логируй по uid в iptables.
| | |
| |
| 3.59, firewalld 1 (?), 22:10, 06/01/2023 [^] [^^] [^^^] [ответить]
| +/– |
"смотреть на его интерфейсе куда он ходит" нет интереса.
Вполне достаточно что "NoRoot Firewall" запрещает и извещает.
-------
Через synaptic установил firewalld 1.1 и получил чёрный экран вместо рабочего стола. Лечение - удаление папок и файлов "firewalld" .
| | |
|
|
| 1.53, OpenEcho (?), 19:32, 06/01/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
> Код firewalld написан на языке Python
А че не nodejs? И где вообще интуитивно понятный Электрон?
| | |
| 1.57, verh010m (?), 21:12, 06/01/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 А как оно может открыть доступ к какому-либо Порту с какого-либо определённого IP? И никому больше
| | |
| 1.60, Аноним (60), 23:23, 06/01/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Помнится поднимал номад, и это чудо (firewalld) было установлено предыдущим админом. Докер влез со своими правилами,firewalld со своими. Я как посмотрел чего они там нагенерили чуть не поседел. Это траблешутить в принципе невозможно. Снес нах это firewalld.
| | |
| |
| 2.61, пох. (?), 00:18, 07/01/2023 [^] [^^] [^^^] [ответить]
| +/– | |
Внезапно, доскер совместим с firewalld. Более того, одна из целей создания самого firewalld - дать простую возможность конфигурировать файрвол разным подобным штукам, и чтоб они друг другу при этом все не попереломали.
> Это траблешутить в принципе невозможно.
Да, не для обезьянок. Это ж надо документацию прочитать хоть разок, а у них смузи киснет.
А не лезть "смотреть что они нагенерили". Ты когда у тебя падает файрфокс - лезешь в бинарный код, ща тут разберусь и пару бит пофикшу, или все же - в его исходники?
> Снес нах это firewalld.
И правильно, зачем нам эти фиреволы ненужные, только время тратить. s in docker stands for "security", тем более же ж.
| | |
| |
| 3.74, ivan_erohin (?), 21:46, 07/01/2023 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> И правильно, зачем нам эти фиреволы ненужные,
разумеется.
1) все фаерволлы снижают производительность сети и увеличивают задержки.
2) приложения, не способные безопастно принимать и обрабатывать соединения
из большого Интернета, должны быть выкинуты на помойку или замкнуты на 127.0.0.1
3) приложения, желающие поболтать со своими производителями по своей инициативе,
должны быть выкинуты на помойку или получить спец.таблицу роутинга (все в null,
кроме того что разрешено).
| | |
|
| |
| 3.76, пох. (?), 17:45, 08/01/2023 [^] [^^] [^^^] [ответить]
| +/– | |
Он и там запутается в фиреволе (надо сказать, траблшутить виндовый - довольно мучительно) и выключит его, как привык решать все проблемы.
Так что ну нафиг, хватит нам и линуксных ботоферм.
| | |
|
|
| 1.78, Аноним (78), 20:59, 08/01/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
OMG -- это не "open management group", a "object management group". Те же ребята, что корбу придумали.
| | |
|
