forum.opennet.ru - "Выпуск межсетевого экрана firewalld 1.3" (78)

"Выпуск межсетевого экрана firewalld 1.3"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Выпуск межсетевого экрана firewalld 1.3"	+/–
Сообщение от opennews (??), 06-Янв-23, 07:37
Опубликован релиз динамически управляемого межсетевого экрана firewalld 1.3, реализованного в форме обвязки над пакетными фильтрами nftables и iptables. Firewalld запускается в виде фонового процесса, позволяющего динамически изменять правила пакетного фильтра через D-Bus, без необходимости перезагрузки правил пакетного фильтра и без разрыва установленных соединений. Проект уже применяется во многих дистрибутивах Linux, включая RHEL 7+, Fedora 18+ и SUSE/openSUSE 15+. Код firewalld написан на языке Python и распространяется под лицензией GPLv2... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=58437
Ответить \| Правка \| Cообщить модератору

Оглавление

А как оно определяет нестандартные порты сервисов , Аноним (1), 07:37 , 06-Янв-23, (1)

Чот мне кажется никак , Аноним (2), 07:43 , 06-Янв-23, (2) +2
Никак Ручками вводим , УмЛинуса (?), 07:56 , 06-Янв-23, (3) +5
Можно ручками указать порт, это не запрещено, а можно поправить конфиг, создав п, Vitto74 (ok), 00:28 , 07-Янв-23, (63) +1

Прекрасная альтернатива страшному iptables Правила хранятся в декларативном вид, Аноним (4), 08:06 , 06-Янв-23, (4) +1

а еще а еще они не идемпотентные что бы это не значило в понимании с, ivan_erohin (?), 08:58 , 06-Янв-23, (6) –5

Ути-пути Вы забыли подписаться - localhost эксперт , pin (??), 09:13 , 06-Янв-23, (7) +9

локалхост эксперт лучше смузиопса чем 1 тем что есть хоть какая-то экспертиза , ivan_erohin (?), 10:52 , 06-Янв-23, (11) –2

Конечно лучше Смузиопсу раза в 2 больше платить надо, Аноним (16), 11:49 , 06-Янв-23, (16) +3
дооооо, ты прямо блещешь, типичный иксперт опеннетна чем основано данное утвержд, Аноним (20), 12:07 , 06-Янв-23, (20)

я знаю ты какой-то токсичный, пора на курсы по управлению гневом , ivan_erohin (?), 15:10 , 06-Янв-23, (42) +3

Это вообще не альтернатива Данный сабж просто надстройка над чем то - либо над, An0nim0us (?), 12:05 , 06-Янв-23, (19) –3

очередной комментатор решил сумничать, не разобравшись в вопросе In order to con, Аноним (4), 12:17 , 06-Янв-23, (22) +2

Я вообще не айтишник и уж тем более не эксперт, я простой домохозяин, но в новос, Аноним (33), 13:59 , 06-Янв-23, (33) +1

Обвязка и альтернатива - ортогональные понятия Vala и C - это две альтернативы,, Аноним (4), 14:29 , 06-Янв-23, (39) +1

firewalld внутри себя запускает либо nftables, либо фронтенд утилиты iptables i, Аноним (47), 17:42 , 06-Янв-23, (47) +2

nftables - это userspace-фронтенд над подсистемой ядра nftables iptables - это т, Аноним (4), 18:14 , 06-Янв-23, (48)

ты все верно понял, не слушай его - он фигню говорит , An0nim0us (?), 16:47 , 06-Янв-23, (44) –1

FirewallD под капотом использует nftables или xtables, умник , ещё_один_иксперд (?), 14:13 , 06-Янв-23, (34)

Умник, тебе еще раз написать Не смотря на то, кто кому приходится фронтендом, и, Аноним (4), 14:23 , 06-Янв-23, (36)

Это вы про себя 1 FirewallD2 nftables3 iptablesOnly ONE method should be used, An0nim0us (?), 16:45 , 06-Янв-23, (43) –1

Смысл текста прямо противоречит твоему выкрику, что это мол не альтернатива Ес, Аноним (4), 17:18 , 06-Янв-23, (46) +2

в контексте IT, если рассматривать архитектуру то это Frontends над 1 из Backend, An0nim0us (?), 19:53 , 06-Янв-23, (54) +1

Об IT у тебя весьма отдаленное представление Правильно FirewallD is de, Аноним (4), 03:13 , 07-Янв-23, (66) +2

Кто б говорил - называть frontend и backend аналогами, так себе представление С , An0nim0us (?), 12:34 , 07-Янв-23, (69)

Чего там разбираться в запущенности вопроса Настоящей домохозяйке файрвол уже н, Аноним (49), 18:46 , 06-Янв-23, (49)

Альтернатива способу конфигурации, а не самому сервису, епт Можно было бы и допе, Аноним (52), 19:07 , 06-Янв-23, (52)

Мы же на сайте для гуманитариев Тогда уж и ложка альтернатива тарелке - можно, An0nim0us (?), 19:58 , 06-Янв-23, (55)

можно есть ложкой, а можно лицо мокать в тарелку и есть , An0nim0us (?), 19:58 , 06-Янв-23, (56) +1
Ну, с твоим присутствием опеннет действительно превращается в сайт ламеров Тебя , Аноним (4), 03:17 , 07-Янв-23, (67)

почитай про Эффект Даннинга - Крюгера , там про тебя будет написанно Жду когда, An0nim0us (?), 12:41 , 07-Янв-23, (70)

Бедненький У тебя психологическая травма Ну, иди ко мне, пожалею , YetAnotherOnanym (ok), 13:57 , 06-Янв-23, (32) +2
У xml уйма стандартов, договоренностей, костылей, версий, а еще есть надсхема дл, анон (?), 19:35 , 08-Янв-23, (77)

Как он в сравнении с убунту фаерволом , ааноним (?), 08:44 , 06-Янв-23, (5)

Как небо и земля я качестве земли выступает ufw Но сабж на Ubuntu поставить , Аноним (14), 11:30 , 06-Янв-23, (14) +1
bash- firewall-cmd --add-rich-rule rule family ipv4 service name ssh sour, Fafhrd (ok), 01:39 , 07-Янв-23, (65)

Да штош такое - опять лабораторный микроскоп уступил школьному на конкурсе по за, Аноним (81), 21:02 , 09-Янв-23, (81)

зачем оно нужно, если в иптаблес можно правила через файлик закидывать так же , ГруднаяЖаба (?), 10:02 , 06-Янв-23, (8)

Плайнтекстовый файлик - это не интерпрайзно, Аноним (9), 10:35 , 06-Янв-23, (9)
Файлы правил firewalld проще читать , Аноним (10), 10:37 , 06-Янв-23, (10)

У разных людей разное мнение, Аноним (35), 14:20 , 06-Янв-23, (35)

Как сделать экспорт правил этой елды В пригодном для импорта формате,как в ipta, Массоны Рептилоиды (?), 11:04 , 06-Янв-23, (12)

файлы из etc скопировать, там xml-конфиги лежат , Сектанты (?), 11:21 , 06-Янв-23, (13)

Очень удобно, Массоны Рептилоиды (?), 11:58 , 06-Янв-23, (17)

да, какие проблемы , Аноним (20), 12:08 , 06-Янв-23, (21) +2
Да, это очень удобно Добрые и мудрые волшебники из w3 создали для этого целый м, YetAnotherOnanym (ok), 14:24 , 06-Янв-23, (37) +4

Всё, к чему прикасается гомо сапиенс, превращается в говно , Аноним (49), 18:56 , 06-Янв-23, (50)

Почти , YetAnotherOnanym (ok), 10:30 , 07-Янв-23, (68)
Если это фрактал, то да , Аноним (73), 20:35 , 07-Янв-23, (73)

Библиотеки Не не слышал Но если такие преобразования кому-то и нужны - наверн, Аноним (14), 15:57 , 13-Янв-23, (83)

Это как systemctl reload nftables - не разрывает tcp-соединени И почему отсутств, EuPhobos (ok), 11:35 , 06-Янв-23, (15) –1
Один из останавливающих факторов замены Windows на Linux является отсутствие фае, Анноним (?), 11:59 , 06-Янв-23, (18)

Привет из криокамеры Открой для себя KDE https github com KDE plasma-firew, Аноним (-), 12:33 , 06-Янв-23, (23) +1

это не application firewall, а всего лишь еще одна интерактивная обертка iptable, Аноним (20), 12:52 , 06-Янв-23, (25) +2

нажимал ответить в 2 23 а вставило после 2 25 хотя когда нажимал 2 25 еще небыло, Анноним (?), 13:02 , 06-Янв-23, (27)

В linux нет такого понятия как путь к exe , у exe множество путей, а матчинг по, Аноним (35), 14:28 , 06-Янв-23, (38)

Почему оно в данный текущий по-русски момент применено , Аноним (49), 19:01 , 06-Янв-23, (51)

не нужно один бинарник можно запустить от разных юзеров и фаерволлить по юзера, ivan_erohin (?), 15:07 , 06-Янв-23, (41) +1
Из того что еще развивается, знаю только opensnitch https github com evilsock, An0nim0us (?), 16:57 , 06-Янв-23, (45)
А в виде из стора ты тоже можешь два разных фаерфокса поставить Ну дак и в дебиа, Аноним (64), 01:11 , 07-Янв-23, (64)
держи https safing io , Dima (??), 02:53 , 08-Янв-23, (75)

Коменты глючат - добаил комент его вставило вообще не туда, куда нажимал ответит, Анноним (?), 13:16 , 06-Янв-23, (28)

А может надо просто выспаться , Аноним (-), 20:33 , 07-Янв-23, (72)

Кто-нибудь может подсказать в openSUSE Tumbleweed использую сабж для маскарадинг, Ilya Indigo (ok), 13:16 , 06-Янв-23, (29)

ОМГ, тут кто-то про про баш портянки ныл А это шедевр , pin (??), 21:36 , 06-Янв-23, (58) +5

Ну вообще говоря, тут гвоздь забитый микроскопом прямо в яйцо Фаберже Что и гвоз, пох. (?), 00:25 , 07-Янв-23, (62) –1

Android oRoot Firewall 4pda to forum index php showtopic 495699 Сигналит что , Аноним (30), 13:29 , 06-Янв-23, (30)

В android ты не контролируешь выключение или включение приложения, отсутствие ок, Аноним (35), 14:33 , 06-Янв-23, (40)

смотреть на его интерфейсе куда он ходит нет интереса Вполне достаточно что , firewalld 1 (?), 22:10 , 06-Янв-23, (59)

А че не nodejs И где вообще интуитивно понятный Электрон , OpenEcho (?), 19:32 , 06-Янв-23, (53)
А как оно может открыть доступ к какому-либо Порту с какого-либо определённого I, verh010m (?), 21:12 , 06-Янв-23, (57)
Помнится поднимал номад, и это чудо firewalld было установлено предыдущим адми, Аноним (60), 23:23 , 06-Янв-23, (60)

Внезапно, доскер совместим с firewalld Более того, одна из целей создания самог, пох. (?), 00:18 , 07-Янв-23, (61)

разумеется 1 все фаерволлы снижают производительность сети и увеличивают задерж, ivan_erohin (?), 21:46 , 07-Янв-23, (74) –1

А может тебе лучше виндовс , Аноним (-), 20:30 , 07-Янв-23, (71)

Он и там запутается в фиреволе надо сказать, траблшутить виндовый - довольно му, пох. (?), 17:45 , 08-Янв-23, (76)

OMG -- это не open management group , a object management group Те же ребят, Аноним (78), 20:59 , 08-Янв-23, (78)
Короче сидим дальше на ipchains e и ржем с этого цирка , Аноним (-), 21:06 , 08-Янв-23, (79) –1

Сообщения [Сортировка по времени | RSS]

1. "Выпуск межсетевого экрана firewalld 1.3" +/–

Сообщение от Аноним (1), 06-Янв-23, 07:37

А как оно определяет нестандартные порты сервисов?

Ответить | Правка | Наверх | Cообщить модератору

2. "Выпуск межсетевого экрана firewalld 1.3" +2 +/–

Сообщение от Аноним (2), 06-Янв-23, 07:43

Чот мне кажется никак.

Ответить | Правка | Наверх | Cообщить модератору

3. "Выпуск межсетевого экрана firewalld 1.3" +5 +/–

Сообщение от УмЛинуса (?), 06-Янв-23, 07:56

Никак. Ручками вводим.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

63. "Выпуск межсетевого экрана firewalld 1.3" +1 +/–

Сообщение от Vitto74 (ok), 07-Янв-23, 00:28

Можно ручками указать порт, это не запрещено, а можно поправить конфиг, создав/переопределив порты служб.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

4. "Выпуск межсетевого экрана firewalld 1.3" +1 +/–

Сообщение от Аноним (4), 06-Янв-23, 08:06

Прекрасная альтернатива страшному iptables. Правила хранятся в декларативном виде в XML-файле. А в iptables предлагается писать императивные баш-портянки со страшным синтаксисом. Если в этом мире и есть что-то лучше, чем firewalld, так это nftables, где тоже декларативно описываешь правила в симпатичном nft-файле. firewalld - для домохозяек (в хорошем смысле), nftables - для профессионалов, а iptables - для ходячих доказательств простой истины "старую собаку новым трюкам не научишь".

Ответить | Правка | Наверх | Cообщить модератору

6. "Выпуск межсетевого экрана firewalld 1.3" –5 +/–

Сообщение от ivan_erohin (?), 06-Янв-23, 08:58

> А в iptables предлагается писать императивные баш-портянки со страшным синтаксисом.
а еще ... а еще ...они не "идемпотентные" ! (что бы это не значило в понимании смузи-опсов).
ps: откройте для себя уже firehol.

Ответить | Правка | Наверх | Cообщить модератору

7. "Выпуск межсетевого экрана firewalld 1.3" +9 +/–

Сообщение от pin (??), 06-Янв-23, 09:13

> firewalld - для домохозяек (в хорошем смысле), nftables - для профессионалов, а iptables - для ходячих доказательств
Ути-пути. Вы забыли подписаться - localhost эксперт.

Ответить | Правка | Наверх | Cообщить модератору

11. "Выпуск межсетевого экрана firewalld 1.3" –2 +/–

Сообщение от ivan_erohin (?), 06-Янв-23, 10:52

локалхост эксперт лучше смузиопса.
чем ?
1) тем что есть хоть какая-то экспертиза.
2) из первого второй получиться может, из второго первый - никогда.

Ответить | Правка | Наверх | Cообщить модератору

16. "Выпуск межсетевого экрана firewalld 1.3" +3 +/–

Сообщение от Аноним (16), 06-Янв-23, 11:49

Конечно лучше. Смузиопсу раза в 2 больше платить надо

Ответить | Правка | Наверх | Cообщить модератору

20. "Выпуск межсетевого экрана firewalld 1.3" +/–

Сообщение от Аноним (20), 06-Янв-23, 12:07

> тем что есть хоть какая-то экспертиза
дооооо, ты прямо блещешь, типичный иксперт опеннет
> из первого второй получиться может, из второго первый - никогда
на чем основано данное утверждение, трепло? что очевидно, так это то, что из тебя не получится вообще ничего и никогда

Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

42. "Выпуск межсетевого экрана firewalld 1.3" +3 +/–

Сообщение от ivan_erohin (?), 06-Янв-23, 15:10

> дооооо, ты прямо блещешь, типичный иксперт опеннет
я знаю.
> из тебя не получится вообще ничего и никогда
ты какой-то токсичный, пора на курсы по управлению гневом.

Ответить | Правка | Наверх | Cообщить модератору

19. "Выпуск межсетевого экрана firewalld 1.3" –3 +/–

Сообщение от An0nim0us (?), 06-Янв-23, 12:05

Это вообще не альтернатива.. Данный сабж просто надстройка над чем то - либо над упоминаемым iptables, либо над nfrables...

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

22. "Выпуск межсетевого экрана firewalld 1.3" +2 +/–

Сообщение от Аноним (4), 06-Янв-23, 12:17

очередной комментатор решил сумничать, не разобравшись в вопросе.
In order to configure firewall rules for Netfilter or nftables, a firewall utility needs to be installed. Guidance has been included for the following firewall utilities:
1) FirewallD
2) nftables
3) iptables
Only ONE method should be used to configure a firewall on the system. Use of more than one method could produce unexpected results.
Теперь давай прочитаем еще раз: Only. ONE. Method. Should. Be. Used. To configure a firewall. Хотя может у себя в локалхосте ты и применяешь все три сразу - кто тебя знает?

Ответить | Правка | Наверх | Cообщить модератору

33. "Выпуск межсетевого экрана firewalld 1.3" +1 +/–

Сообщение от Аноним (33), 06-Янв-23, 13:59

Я вообще не айтишник и уж тем более не эксперт, я простой домохозяин, но в новости сказано:
> реализованного В ФОРМЕ ОБВЯЗКИ над пакетными фильтрами nftables и iptables
Что говорит о том, что это не замена nftables и iptables. Или это не то?

Ответить | Правка | Наверх | Cообщить модератору

39. "Выпуск межсетевого экрана firewalld 1.3" +1 +/–

Сообщение от Аноним (4), 06-Янв-23, 14:29

Обвязка и альтернатива - ортогональные понятия. Vala и C - это две альтернативы, и проекту придется ВЫБИРАТЬ, на каком языке писать код. Даже не смотря на то, что Vala компилится в C. Точно так же, как и админу придется ВЫБИРАТЬ, на чем строить файрвол: средствами firewalld или на голом iptables.
При этом важно учитывать, что если админ выбирает оба варианта сразу, то его следовало бы выгнать не только из компании, но и из IT в целом.
    Альтернати́ва (фр. alternative, от лат. alternatus — другой) — необходимость выбора одной из двух или более исключающих друг друга возможностей.

Ответить | Правка | Наверх | Cообщить модератору

47. "Выпуск межсетевого экрана firewalld 1.3" +2 +/–

Сообщение от Аноним (47), 06-Янв-23, 17:42

firewalld внутри себя запускает либо nftables, либо фронтенд утилиты iptables. iptables и nftables на самом деле настраивают netfilter.
firewalld напрямую netfilter не настраивает.
Значит firewalld — это обвязка над уже существующими методами управления файерволом, а не альтернативный *фронтенд* для управления файерволом. Иначе файерволом можно и ansible назвать.

Ответить | Правка | Наверх | Cообщить модератору

48. "Выпуск межсетевого экрана firewalld 1.3" +/–

Сообщение от Аноним (4), 06-Янв-23, 18:14

> это обвязка над уже существующими методами управления файерволом
nftables - это userspace-фронтенд над подсистемой ядра nftables.
iptables - это тоже просто userspace-фронтенд над подсистемой ядра Netfilter.
А теперь докажи, что эти фронтенды (userspace-утилиты, обрати внимание) что-то настраивают "напрямую", а не просто "нижайше просят ядро применить такие-то настройки".
Твоя проблема в том, что ты почему-то думаешь, что "обвязка" и "альтернатива" -- это термины, которые могут противоречить или не противоречить друг другу. А я говорю, что это независимые категории, как "оранжевый" и "со вкусом апельсина".
Иными словами, в ядре две взаимопересекающиеся подсистемы: nftables и Netfilter. А конечных userspace-утилит для взаимодействия с ними -- как минимум три, и вот среди этих трех ТУЛЗОВ и предлагается выбирать:
firewalld REPLACES iptables as the default firewall management TOOL.
> Иначе файерволом можно и ansible назвать.
Можно, называй. Собственно, в NixOS есть свой собственный файрвол, тоже работающий поверх xxtables: networking.firewall.enable. И угадай что? Если ты хочешь перейти на "просто iptables", то тебе нужно... отключить файрвол! Отключить файрвол NixOS разумеется:
    networking.firewall.enable = false;
Таким образом, никто (НИКТО) кроме тебя не считает, что "файрволов ровно два".

Ответить | Правка | Наверх | Cообщить модератору

44. "Выпуск межсетевого экрана firewalld 1.3" –1 +/–

Сообщение от An0nim0us (?), 06-Янв-23, 16:47

ты все верно понял, не слушай его - он фигню говорит...

Ответить | Правка | К родителю #33 | Наверх | Cообщить модератору

34. "Выпуск межсетевого экрана firewalld 1.3" +/–

Сообщение от ещё_один_иксперд (?), 06-Янв-23, 14:13

FirewallD под капотом использует nftables или xtables, умник.

Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

36. "Выпуск межсетевого экрана firewalld 1.3" +/–

Сообщение от Аноним (4), 06-Янв-23, 14:23

> FirewallD под капотом использует nftables или xtables, умник
Умник, тебе еще раз написать? Не смотря на то, кто кому приходится фронтендом, использовать следует только один вариант: либо только iptables, либо только его фронтенд, либо только nftables. Поэтому firewalld является альтернативой iptables.
    Альтернати́ва (фр. alternative, от лат. alternatus — другой) — необходимость выбора одной из двух или более исключающих друг друга возможностей.

Ответить | Правка | Наверх | Cообщить модератору

43. "Выпуск межсетевого экрана firewalld 1.3" –1 +/–

Сообщение от An0nim0us (?), 06-Янв-23, 16:45

>> очередной комментатор решил сумничать, не разобравшись в вопросе.
Это вы про себя?
>> In order to configure firewall rules for Netfilter or nftables, a firewall utility needs to be installed. Guidance has been included for the following firewall utilities:
1) FirewallD
2) nftables
3) iptables
Only ONE method should be used to configure a firewall on the system. Use of more than one method could produce unexpected results.
Теперь давай прочитаем еще раз: Only. ONE. Method. Should. Be. Used. To configure a firewall. Хотя может у себя в локалхосте ты и применяешь все три сразу - кто тебя знает?
давай прочитаем вместе. Написано верно, но чукча не читатель. Смысл текста не противоречит тому что это прослойка. Основной посил в том что если ты начал конфигурировать прослойкой, то конфигурируешь ею до конца, не внося напрямую правила через бэкенды - иначе работоспособность не гарантируется, что логично. Тем не менее ты можешь сконфигурировать сабж и посмотреть какие правила iptables или nftables оно нагенерировало. Далее офигеть от той дичи что оно генерит и незахотеть больше генерировать этой шляпой.
Это легко перепроверить самостоятельно даже на твоем локалхосте который ти любишь упоминать.
Что б окончательно поставить все точки, просто посмотри архитектуру этой шляпы и ищем знакомые слова указанные в бэкендах.
https://firewalld.org/documentation/architecture.html

Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

46. "Выпуск межсетевого экрана firewalld 1.3" +2 +/–

Сообщение от Аноним (4), 06-Янв-23, 17:18

> Смысл текста не противоречит тому что это прослойка
Смысл текста прямо противоречит твоему выкрику, что это мол "не альтернатива":
> Это вообще не альтернатива
Если конфигурируем этой прослойкой от начала и "до конца", то значит, что из двух альтернатив - iptables vs firewalld - мы выбрали что-то одно. А кто над кем там прослойка, и прослойка ли вообще - совершенно не важно.
Так что ты все-таки, чукча, читай все тексты: и те, на которые ссылаешься, и свои собственные комменты. Но в первую очередь загугли, что такое "альтернатива":
   Альтернати́ва (фр. alternative, от лат. alternatus — другой) — необходимость выбора одной из двух или более исключающих друг друга возможностей.

Ответить | Правка | Наверх | Cообщить модератору

54. "Выпуск межсетевого экрана firewalld 1.3" +1 +/–

Сообщение от An0nim0us (?), 06-Янв-23, 19:53

в контексте IT, если рассматривать архитектуру то это Frontends над 1 из Backend'ов и это не может быть альтернативой просто потому что мы не можем выбрать и использовать его без бэкенда. т.э. выбирая Firewalld, ты вместе в ним выбираешь и iptables или nftables, которые между собой являются альтернативными реализациями (считай альтернативами). Иначе можно дойти до того что называть Firefox аналогом nginx, или pma аналогом mysql. С философской точки зрения можешь называть хоть лягушкой, но в профессиональной среде их нельзя характеризовать как аналоги.

Ответить | Правка | Наверх | Cообщить модератору

66. "Выпуск межсетевого экрана firewalld 1.3" +2 +/–

Сообщение от Аноним (4), 07-Янв-23, 03:13

> в контексте IT
Об IT у тебя весьма отдаленное представление.
> ты вместе в ним выбираешь и iptables или nftables
Правильно:
    <...> FirewallD is dependent on the iptables package.
> но в профессиональной среде их нельзя характеризовать как аналоги
Садись, два:
    Note: Only ONE firewall utility should be installed and configured. FirewallD is dependent on the iptables package. (обрати внимание, что оба утверждения стоят рядом)
Таким образом, ты снова продемонстрировал всем свое невежество, утверждая, будто следует напрямую использовать оба инструмента сразу только потому, что они оба установились:
> их нельзя характеризовать как аналоги

Ответить | Правка | Наверх | Cообщить модератору

69. "Выпуск межсетевого экрана firewalld 1.3" +/–

Сообщение от An0nim0us (?), 07-Янв-23, 12:34

>> Об IT у тебя весьма отдаленное представление.
Кто б говорил - называть frontend и backend аналогами, так себе представление.
>> Садись, два:
С твоими знаниями в IT только мышку поменять можно доверить и то осторожно, а не знания других оценивать...
>> FirewallD is dependent on the iptables package. (обрати внимание, что оба утверждения стоят рядом)
а если также рядом написать "FirewallD is dependent linux kernel", то можно будет его называть альтернативой ядра линукс?
Таким образом, ты снова продемонстрировал всем свое невежество, утверждая, будто следует напрямую использовать оба инструмента сразу только потому, что они оба установились.
Хорошая попытка манипуляции, но при этом можна спокойно удалить фронтенд, оставив бэкенд и все будет работать, а если удалишь бэкенд оставив только фронтенд, то не будет.
А так да, дли философов - это просто два отдельных пакета, которые установились.

Ответить | Правка | Наверх | Cообщить модератору

49. "Выпуск межсетевого экрана firewalld 1.3" +/–

Сообщение от Аноним (49), 06-Янв-23, 18:46

> очередной комментатор решил сумничать, не разобравшись в вопросе.
Чего там разбираться в запущенности вопроса? Настоящей домохозяйке файрвол уже настроенный должен поставляться, а то много молока может убежать.😎

Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

52. "Выпуск межсетевого экрана firewalld 1.3" +/–

Сообщение от Аноним (52), 06-Янв-23, 19:07

Альтернатива способу конфигурации, а не самому сервису, епт.
Можно было бы и допетрить

Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

55. "Выпуск межсетевого экрана firewalld 1.3" +/–

Сообщение от An0nim0us (?), 06-Янв-23, 19:58

Мы же на сайте для гуманитариев... Тогда уж и ложка альтернатива тарелке - можно есть ложкой, а можно лицо мокать в кастрюлю и есть.

Ответить | Правка | Наверх | Cообщить модератору

56. "Выпуск межсетевого экрана firewalld 1.3" +1 +/–

Сообщение от An0nim0us (?), 06-Янв-23, 19:58

* можно есть ложкой, а можно лицо мокать в тарелку и есть.

Ответить | Правка | Наверх | Cообщить модератору

67. "Выпуск межсетевого экрана firewalld 1.3" +/–

Сообщение от Аноним (4), 07-Янв-23, 03:17

> Мы же на сайте для гуманитариев
Ну, с твоим присутствием опеннет действительно превращается в сайт ламеров:
> ложка альтернатива тарелке
Тебя и на кухню-то лучше не впускать, какой там IT?

Ответить | Правка | К родителю #55 | Наверх | Cообщить модератору

70. "Выпуск межсетевого экрана firewalld 1.3" +/–

Сообщение от An0nim0us (?), 07-Янв-23, 12:41

>> Ну, с твоим присутствием опеннет действительно превращается в сайт ламеров:
почитай про "Эффект Даннинга - Крюгера", там про тебя будет написанно. Жду когда ты на серьезных щях начнешь утверждать что firewalld альтернатива ядру линукса с той же аргументацией...
>> Тебя и на кухню-то лучше не впускать, какой там IT?
А ты оказывается еще и в аналогии не умеешь... Тяжелый случай, что тут скажешь...

Ответить | Правка | Наверх | Cообщить модератору

32. "Выпуск межсетевого экрана firewalld 1.3" +2 +/–

Сообщение от YetAnotherOnanym (ok), 06-Янв-23, 13:57

> императивные баш-портянки со страшным синтаксисом
Бедненький. У тебя психологическая травма.
Ну, иди ко мне, пожалею.

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

77. "Выпуск межсетевого экрана firewalld 1.3" +/–

Сообщение от анон (?), 08-Янв-23, 19:35

У xml уйма стандартов, договоренностей, костылей, версий, а еще есть надсхема для проверки этой схемы. Он на порядок хуже баша, уж лучше json.

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

5. "Выпуск межсетевого экрана firewalld 1.3" +/–

Сообщение от ааноним (?), 06-Янв-23, 08:44

Как он в сравнении с убунту фаерволом?

Ответить | Правка | Наверх | Cообщить модератору

14. "Выпуск межсетевого экрана firewalld 1.3" +1 +/–

Сообщение от Аноним (14), 06-Янв-23, 11:30

Как небо и земля (я качестве земли выступает ufw) :(
Но сабж на Ubuntu поставить можно

Ответить | Правка | Наверх | Cообщить модератору

65. "Выпуск межсетевого экрана firewalld 1.3" +/–

Сообщение от Fafhrd (ok), 07-Янв-23, 01:39

bash-$ firewall-cmd --add-rich-rule 'rule family="ipv4" service name="ssh" \
source address="10.1.1.0/24" accept' --permanent
bash-$ ufw allow from 10.1.1.0/24 to any port 22 proto tcp

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

81. "Выпуск межсетевого экрана firewalld 1.3" +/–

Сообщение от Аноним (81), 09-Янв-23, 21:02

Да штош такое - опять лабораторный микроскоп уступил школьному на конкурсе по забиванию гвоздей!

Ответить | Правка | Наверх | Cообщить модератору

8. "Выпуск межсетевого экрана firewalld 1.3" +/–

Сообщение от ГруднаяЖаба (?), 06-Янв-23, 10:02

зачем оно нужно, если в иптаблес можно правила через файлик закидывать так же?

Ответить | Правка | Наверх | Cообщить модератору

9. "Выпуск межсетевого экрана firewalld 1.3" +/–

Сообщение от Аноним (9), 06-Янв-23, 10:35

Плайнтекстовый файлик - это не интерпрайзно

Ответить | Правка | Наверх | Cообщить модератору

10. "Выпуск межсетевого экрана firewalld 1.3" +/–

Сообщение от Аноним (10), 06-Янв-23, 10:37

Файлы правил firewalld проще читать.

Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

35. "Выпуск межсетевого экрана firewalld 1.3" +/–

Сообщение от Аноним (35), 06-Янв-23, 14:20

У разных людей разное мнение

Ответить | Правка | Наверх | Cообщить модератору

12. "Выпуск межсетевого экрана firewalld 1.3" +/–

Сообщение от Массоны Рептилоиды (?), 06-Янв-23, 11:04

Как сделать экспорт правил этой елды? В пригодном для импорта формате,
как в iptables или nftables.

Ответить | Правка | Наверх | Cообщить модератору

13. "Выпуск межсетевого экрана firewalld 1.3" +/–

Сообщение от Сектанты (?), 06-Янв-23, 11:21

файлы из /etc скопировать, там xml-конфиги лежат.

Ответить | Правка | Наверх | Cообщить модератору

17. "Выпуск межсетевого экрана firewalld 1.3" +/–

Сообщение от Массоны Рептилоиды (?), 06-Янв-23, 11:58

Очень удобно

Ответить | Правка | Наверх | Cообщить модератору

21. "Выпуск межсетевого экрана firewalld 1.3" +2 +/–

Сообщение от Аноним (20), 06-Янв-23, 12:08

да, какие проблемы?

Ответить | Правка | Наверх | Cообщить модератору

37. "Выпуск межсетевого экрана firewalld 1.3" +4 +/–

Сообщение от YetAnotherOnanym (ok), 06-Янв-23, 14:24

Да, это очень удобно. Добрые и мудрые волшебники из w3 создали для этого целый мир. Освоишь xml, xquery, научишься конвертить xml-конфиг в нормальный список правил с помощью xslt. К тому времени, когда ты всё это освоишь, авторы этого опуса забросят его и начнут переписывать заново на ноде с конфигами в json.

Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

50. "Выпуск межсетевого экрана firewalld 1.3" +/–

Сообщение от Аноним (49), 06-Янв-23, 18:56

Всё, к чему прикасается гомо сапиенс, превращается в говно? )

Ответить | Правка | Наверх | Cообщить модератору

68. "Выпуск межсетевого экрана firewalld 1.3" +/–

Сообщение от YetAnotherOnanym (ok), 07-Янв-23, 10:30

Почти.

Ответить | Правка | Наверх | Cообщить модератору

73. "Выпуск межсетевого экрана firewalld 1.3" +/–

Сообщение от Аноним (73), 07-Янв-23, 20:35

Если это фрактал, то да...

Ответить | Правка | К родителю #50 | Наверх | Cообщить модератору

83. "Выпуск межсетевого экрана firewalld 1.3" +/–

Сообщение от Аноним (14), 13-Янв-23, 15:57

Библиотеки? Не не слышал...
Но если такие преобразования кому-то и нужны - наверняка уже есть куча готовых вариантов от разных авторов.

Ответить | Правка | К родителю #37 | Наверх | Cообщить модератору

15. "Выпуск межсетевого экрана firewalld 1.3" –1 +/–

Сообщение от EuPhobos (ok), 06-Янв-23, 11:35

> без необходимости перезагрузки правил пакетного фильтра и без разрыва установленных соединений
Это как?
systemctl reload nftables - не разрывает tcp-соединени.
И почему отсутствие необходимости перезагрузки правил пакетного фильтра так важно?
И если он является обвязкой над тем-же nftables, но не перезапускает его правила, то как блин он работает??!

Ответить | Правка | Наверх | Cообщить модератору

18. "Выпуск межсетевого экрана firewalld 1.3" +/–

Сообщение от Анноним (?), 06-Янв-23, 11:59

Один из останавливающих факторов замены Windows на Linux является отсутствие фаервола уровня приложений с вменяемым графическим интерфейсом.
Вот в винде я запретил всё, и открываю понемногу конкретные ип:порт для конкретного пути к exe, например, c:/firefox_a/firefox.exe имеет один набор правил, c:/firefox_b/firefox.exe совсем другой.
Я даже хз как в linux разделить установленный firefox на два раздельных, вот установил я в Debian firefox-esr а как поставить второй, чтобы бинарники разные были.

Ответить | Правка | Наверх | Cообщить модератору

23. "Выпуск межсетевого экрана firewalld 1.3" +1 +/–

Сообщение от Аноним (-), 06-Янв-23, 12:33

> Один из останавливающих факторов замены Windows на Linux является отсутствие фаервола уровня приложений с вменяемым графическим интерфейсом.
Привет из криокамеры! Открой для себя KDE. ;)
https://github.com/KDE/plasma-firewall
https://149366088.v2.pressablecdn.com/wp-content/uploads/202...

Ответить | Правка | Наверх | Cообщить модератору

25. "Выпуск межсетевого экрана firewalld 1.3" +2 +/–

Сообщение от Аноним (20), 06-Янв-23, 12:52

это не application firewall, а всего лишь еще одна интерактивная обертка iptables

Ответить | Правка | Наверх | Cообщить модератору

27. "Выпуск межсетевого экрана firewalld 1.3" +/–

Сообщение от Анноним (?), 06-Янв-23, 13:02

нажимал ответить в 2.23 а вставило после 2.25 хотя когда нажимал 2.25 еще небыло, хз как так получилось

Ответить | Правка | Наверх | Cообщить модератору

38. "Выпуск межсетевого экрана firewalld 1.3" +/–

Сообщение от Аноним (35), 06-Янв-23, 14:28

В linux нет такого понятия как "путь к exe", у exe множество путей, а матчинг по PID выпилили в 2005 году как устаревший и неисправимо сломанный https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/lin...
> вот установил я в Debian firefox-esr а как поставить второй, чтобы бинарники разные были.
Поставь в HOME.

Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

51. "Выпуск межсетевого экрана firewalld 1.3" +/–

Сообщение от Аноним (49), 06-Янв-23, 19:01

> матчинг по PID выпилили в 2005 году как устаревший
Почему оно в данный(текущий по-русски) момент применено? )

Ответить | Правка | Наверх | Cообщить модератору

41. "Выпуск межсетевого экрана firewalld 1.3" +1 +/–

Сообщение от ivan_erohin (?), 06-Янв-23, 15:07

> как поставить второй, чтобы
> бинарники разные были.
не нужно. один бинарник можно запустить от разных юзеров. и фаерволлить по юзерам.
если бинарник - клиент X-сервера, то переходить в другого юзера надо по-особому:
https://serverfault.com/questions/51005/how-to-use-xauth-to-...

Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

45. "Выпуск межсетевого экрана firewalld 1.3" +/–

Сообщение от An0nim0us (?), 06-Янв-23, 16:57

Из того что еще развивается, знаю только opensnitch (https://github.com/evilsocket/opensnitch)
По поводу вменяемого GUI, то все субъективно, но можно сделать собственный GUI, который будет устаивать и работать напрямую с его демоном вместо родного.

Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

64. "Выпуск межсетевого экрана firewalld 1.3" +/–

Сообщение от Аноним (64), 07-Янв-23, 01:11

А в виде из стора ты тоже можешь два разных фаерфокса поставить?
Ну дак и в дебиане можешь скачать два разных тарбола и распаковать в разные директории. Что как маленький то?

Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

75. "Выпуск межсетевого экрана firewalld 1.3" +/–

Сообщение от Dima (??), 08-Янв-23, 02:53

держи https://safing.io/

Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

28. "Выпуск межсетевого экрана firewalld 1.3" +/–

Сообщение от Анноним (?), 06-Янв-23, 13:16

Коменты глючат - добаил комент его вставило вообще не туда, куда нажимал ответить, а потом вообще удалило.

Ответить | Правка | Наверх | Cообщить модератору

72. "Выпуск межсетевого экрана firewalld 1.3" +/–

Сообщение от Аноним (-), 07-Янв-23, 20:33

А может надо просто выспаться?

Ответить | Правка | Наверх | Cообщить модератору

29. "Выпуск межсетевого экрана firewalld 1.3" +/–

Сообщение от Ilya Indigo (ok), 06-Янв-23, 13:16

Кто-нибудь может подсказать в openSUSE Tumbleweed использую сабж для маскарадинга Wi-Fi с hostapd.
/etc/systemd/system/hostapd.service.d/override.conf

[Unit]
Conflicts=wpa_supplicant@wlo1.service
[Service]
ExecStartPre=/usr/sbin/ip addr add 192.168.1.1/24 dev wlo1
ExecStartPost=/usr/bin/firewall-cmd --zone=public --add-masquerade
ExecStartPost=/usr/bin/firewall-cmd --zone=public --remove-interface=wlo1
ExecStartPost=/usr/bin/firewall-cmd --zone=home --add-interface=wlo1
ExecStartPost=/usr/bin/firewall-cmd --direct --add-rule ipv4 nat POSTROUTING 0 -o enp3s0 -j MASQUERADE
ExecStartPost=/usr/bin/firewall-cmd --direct --add-rule ipv4 filter FORWARD 0 -i wlo1 -o enp3s0 -j ACCEPT
ExecStartPost=/usr/bin/firewall-cmd --direct --add-rule ipv4 filter FORWARD 0 -i enp3s0 -o wlo1 -m state --state RELATED,ESTABLISHED -j ACCEPT
ExecStop=/usr/bin/firewall-cmd --direct --remove-rule ipv4 filter FORWARD 0 -i enp3s0 -o wlo1 -m state --state RELATED,ESTABLISHED -j ACCEPT
ExecStop=/usr/bin/firewall-cmd --direct --remove-rule ipv4 filter FORWARD 0 -i wlo1 -o enp3s0 -j ACCEPT
ExecStop=/usr/bin/firewall-cmd --direct --remove-rule ipv4 nat POSTROUTING 0 -o enp3s0 -j MASQUERADE
ExecStop=/usr/bin/firewall-cmd --zone=home --remove-interface=wlo1
ExecStop=/usr/bin/firewall-cmd --zone=public --add-interface=wlo1
ExecStop=/usr/sbin/ip addr flush dev wlo1
ExecStop=/usr/bin/kill $MAINPID
Всё прекрасно работает и всегда работало, когда у сабжа бэк iptables (НЕ по умолчанию и написано deprecated), но никогда не работало с бэком nftables (по умолчанию).
В чём может быть проблема и как отладить, чтобы посмотреть эти правила непосредственно в iptables и/или nftables?

Ответить | Правка | Наверх | Cообщить модератору

58. "Выпуск межсетевого экрана firewalld 1.3" +5 +/–

Сообщение от pin (??), 06-Янв-23, 21:36

ОМГ, тут кто-то про про баш портянки ныл. А это шедевр.

Ответить | Правка | Наверх | Cообщить модератору

62. "Выпуск межсетевого экрана firewalld 1.3" –1 +/–

Сообщение от пох. (?), 07-Янв-23, 00:25

Ну вообще говоря, тут гвоздь забитый микроскопом прямо в яйцо Фаберже.
Что и гвоздь из г-на, и микроскоп г-но, и Фаберже нехрен было яйца тут развешивать, это уже отдельная песня. С таким подходом не помогли бы и золотой гвоздь, и лабораторный микроскоп, только ущерба было бы больше.

Ответить | Правка | Наверх | Cообщить модератору

30. "Выпуск межсетевого экрана firewalld 1.3" +/–

Сообщение от Аноним (30), 06-Янв-23, 13:29

(Android)"oRoot Firewall" 4pda.to/forum/index.php?showtopic=495699
Сигналит что  Firefox(будучи выключенным)  лезет в интернет .
Есть такое для компа?

Ответить | Правка | Наверх | Cообщить модератору

40. "Выпуск межсетевого экрана firewalld 1.3" +/–

Сообщение от Аноним (35), 06-Янв-23, 14:33

> Firefox(будучи выключенным)
В android ты не контролируешь выключение или включение приложения, отсутствие окна приложения на экране не означает что оно выключено.
> Есть такое для компа?
Запусти firefox в отдельном network namespace и сможешь смотреть на его интерфейсе куда он ходит или под отдельным пользователем и логируй по uid в iptables.

Ответить | Правка | Наверх | Cообщить модератору

59. "Выпуск межсетевого экрана firewalld 1.3" +/–

Сообщение от firewalld 1 (?), 06-Янв-23, 22:10

"смотреть на его интерфейсе куда он ходит" нет интереса.
Вполне достаточно что "NoRoot Firewall" запрещает и извещает.
-------
Через  synaptic установил firewalld 1.1 и получил чёрный экран вместо рабочего стола. Лечение - удаление  папок и файлов "firewalld" .

Ответить | Правка | Наверх | Cообщить модератору

53. "Выпуск межсетевого экрана firewalld 1.3" +/–

Сообщение от OpenEcho (?), 06-Янв-23, 19:32

> Код firewalld написан на языке Python
А че не nodejs? И где вообще интуитивно понятный Электрон?

Ответить | Правка | Наверх | Cообщить модератору

57. "Выпуск межсетевого экрана firewalld 1.3" +/–

Сообщение от verh010m (?), 06-Янв-23, 21:12

А как оно может открыть доступ к какому-либо Порту с какого-либо определённого IP? И никому больше

Ответить | Правка | Наверх | Cообщить модератору

60. "Выпуск межсетевого экрана firewalld 1.3" +/–

Сообщение от Аноним (60), 06-Янв-23, 23:23

Помнится поднимал номад, и это чудо (firewalld) было установлено предыдущим админом. Докер влез со своими правилами,firewalld со своими. Я как посмотрел чего они там нагенерили чуть не поседел. Это траблешутить в принципе невозможно. Снес нах это firewalld.

Ответить | Правка | Наверх | Cообщить модератору

61. "Выпуск межсетевого экрана firewalld 1.3" +/–

Сообщение от пох. (?), 07-Янв-23, 00:18

Внезапно, доскер совместим с firewalld. Более того, одна из целей создания самого firewalld - дать простую возможность конфигурировать файрвол разным подобным штукам, и чтоб они друг другу при этом все не попереломали.
> Это траблешутить в принципе невозможно.
Да, не для обезьянок. Это ж надо документацию прочитать хоть разок, а у них смузи киснет.
А не лезть "смотреть что они нагенерили". Ты когда у тебя падает файрфокс - лезешь в бинарный код, ща тут разберусь и пару бит пофикшу, или все же - в его исходники?
> Снес нах это firewalld.
И правильно, зачем нам эти фиреволы ненужные, только время тратить. s in docker stands for "security", тем более же ж.

Ответить | Правка | Наверх | Cообщить модератору

74. "Выпуск межсетевого экрана firewalld 1.3" –1 +/–

Сообщение от ivan_erohin (?), 07-Янв-23, 21:46

> И правильно, зачем нам эти фиреволы ненужные,
разумеется.
1) все фаерволлы снижают производительность сети и увеличивают задержки.
2) приложения, не способные безопастно принимать и обрабатывать соединения
из большого Интернета, должны быть выкинуты на помойку или замкнуты на 127.0.0.1
3) приложения, желающие поболтать со своими производителями по своей инициативе,
должны быть выкинуты на помойку или получить спец.таблицу роутинга (все в null,
кроме того что разрешено).

Ответить | Правка | Наверх | Cообщить модератору

71. "Выпуск межсетевого экрана firewalld 1.3" +/–

Сообщение от Аноним (-), 07-Янв-23, 20:30

А может тебе лучше виндовс?

Ответить | Правка | К родителю #60 | Наверх | Cообщить модератору

76. "Выпуск межсетевого экрана firewalld 1.3" +/–

Сообщение от пох. (?), 08-Янв-23, 17:45

Он и там запутается в фиреволе (надо сказать, траблшутить виндовый - довольно мучительно) и выключит его, как привык решать все проблемы.
Так что ну нафиг, хватит нам и линуксных ботоферм.

Ответить | Правка | Наверх | Cообщить модератору

78. "Выпуск межсетевого экрана firewalld 1.3" +/–

Сообщение от Аноним (78), 08-Янв-23, 20:59

OMG -- это не "open management group", a "object management group".  Те же ребята, что корбу придумали.

Ответить | Правка | Наверх | Cообщить модератору

79. "Выпуск межсетевого экрана firewalld 1.3" –1 +/–

Сообщение от Аноним (-), 08-Янв-23, 21:06

Короче сидим дальше на ipchains'e и ржем с этого цирка.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Выпуск межсетевого экрана firewalld 1.3"	+/–
Сообщение от Аноним (1), 06-Янв-23, 07:37
А как оно определяет нестандартные порты сервисов?
Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "Выпуск межсетевого экрана firewalld 1.3"	+2 +/–
	Сообщение от Аноним (2), 06-Янв-23, 07:43
	Чот мне кажется никак.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Выпуск межсетевого экрана firewalld 1.3"	+5 +/–
	Сообщение от УмЛинуса (?), 06-Янв-23, 07:56
	Никак. Ручками вводим.
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору


	63. "Выпуск межсетевого экрана firewalld 1.3"	+1 +/–
	Сообщение от Vitto74 (ok), 07-Янв-23, 00:28
	Можно ручками указать порт, это не запрещено, а можно поправить конфиг, создав/переопределив порты служб.
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору

4. "Выпуск межсетевого экрана firewalld 1.3"	+1 +/–
Сообщение от Аноним (4), 06-Янв-23, 08:06
Прекрасная альтернатива страшному iptables. Правила хранятся в декларативном виде в XML-файле. А в iptables предлагается писать императивные баш-портянки со страшным синтаксисом. Если в этом мире и есть что-то лучше, чем firewalld, так это nftables, где тоже декларативно описываешь правила в симпатичном nft-файле. firewalld - для домохозяек (в хорошем смысле), nftables - для профессионалов, а iptables - для ходячих доказательств простой истины "старую собаку новым трюкам не научишь".
Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "Выпуск межсетевого экрана firewalld 1.3"	–5 +/–
	Сообщение от ivan_erohin (?), 06-Янв-23, 08:58
	> А в iptables предлагается писать императивные баш-портянки со страшным синтаксисом. а еще ... а еще ...они не "идемпотентные" ! (что бы это не значило в понимании смузи-опсов). ps: откройте для себя уже firehol.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "Выпуск межсетевого экрана firewalld 1.3"	+9 +/–
	Сообщение от pin (??), 06-Янв-23, 09:13
	> firewalld - для домохозяек (в хорошем смысле), nftables - для профессионалов, а iptables - для ходячих доказательств Ути-пути. Вы забыли подписаться - localhost эксперт.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "Выпуск межсетевого экрана firewalld 1.3"	–2 +/–
	Сообщение от ivan_erohin (?), 06-Янв-23, 10:52
	локалхост эксперт лучше смузиопса. чем ? 1) тем что есть хоть какая-то экспертиза. 2) из первого второй получиться может, из второго первый - никогда.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	16. "Выпуск межсетевого экрана firewalld 1.3"	+3 +/–
	Сообщение от Аноним (16), 06-Янв-23, 11:49
	Конечно лучше. Смузиопсу раза в 2 больше платить надо
	Ответить \| Правка \| Наверх \| Cообщить модератору


	20. "Выпуск межсетевого экрана firewalld 1.3"	+/–
	Сообщение от Аноним (20), 06-Янв-23, 12:07
	> тем что есть хоть какая-то экспертиза дооооо, ты прямо блещешь, типичный иксперт опеннет > из первого второй получиться может, из второго первый - никогда на чем основано данное утверждение, трепло? что очевидно, так это то, что из тебя не получится вообще ничего и никогда
	Ответить \| Правка \| К родителю #11 \| Наверх \| Cообщить модератору


	42. "Выпуск межсетевого экрана firewalld 1.3"	+3 +/–
	Сообщение от ivan_erohin (?), 06-Янв-23, 15:10
	> дооооо, ты прямо блещешь, типичный иксперт опеннет я знаю. > из тебя не получится вообще ничего и никогда ты какой-то токсичный, пора на курсы по управлению гневом.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	19. "Выпуск межсетевого экрана firewalld 1.3"	–3 +/–
	Сообщение от An0nim0us (?), 06-Янв-23, 12:05
	Это вообще не альтернатива.. Данный сабж просто надстройка над чем то - либо над упоминаемым iptables, либо над nfrables...
	Ответить \| Правка \| К родителю #4 \| Наверх \| Cообщить модератору


	22. "Выпуск межсетевого экрана firewalld 1.3"	+2 +/–
	Сообщение от Аноним (4), 06-Янв-23, 12:17
	очередной комментатор решил сумничать, не разобравшись в вопросе. In order to configure firewall rules for Netfilter or nftables, a firewall utility needs to be installed. Guidance has been included for the following firewall utilities: 1) FirewallD 2) nftables 3) iptables Only ONE method should be used to configure a firewall on the system. Use of more than one method could produce unexpected results. Теперь давай прочитаем еще раз: Only. ONE. Method. Should. Be. Used. To configure a firewall. Хотя может у себя в локалхосте ты и применяешь все три сразу - кто тебя знает?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	33. "Выпуск межсетевого экрана firewalld 1.3"	+1 +/–
	Сообщение от Аноним (33), 06-Янв-23, 13:59
	Я вообще не айтишник и уж тем более не эксперт, я простой домохозяин, но в новости сказано: > реализованного В ФОРМЕ ОБВЯЗКИ над пакетными фильтрами nftables и iptables Что говорит о том, что это не замена nftables и iptables. Или это не то?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	39. "Выпуск межсетевого экрана firewalld 1.3"	+1 +/–
	Сообщение от Аноним (4), 06-Янв-23, 14:29
	Обвязка и альтернатива - ортогональные понятия. Vala и C - это две альтернативы, и проекту придется ВЫБИРАТЬ, на каком языке писать код. Даже не смотря на то, что Vala компилится в C. Точно так же, как и админу придется ВЫБИРАТЬ, на чем строить файрвол: средствами firewalld или на голом iptables. При этом важно учитывать, что если админ выбирает оба варианта сразу, то его следовало бы выгнать не только из компании, но и из IT в целом. Альтернати́ва (фр. alternative, от лат. alternatus — другой) — необходимость выбора одной из двух или более исключающих друг друга возможностей.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	47. "Выпуск межсетевого экрана firewalld 1.3"	+2 +/–
	Сообщение от Аноним (47), 06-Янв-23, 17:42
	firewalld внутри себя запускает либо nftables, либо фронтенд утилиты iptables. iptables и nftables на самом деле настраивают netfilter. firewalld напрямую netfilter не настраивает. Значит firewalld — это обвязка над уже существующими методами управления файерволом, а не альтернативный фронтенд для управления файерволом. Иначе файерволом можно и ansible назвать.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	48. "Выпуск межсетевого экрана firewalld 1.3"	+/–
	Сообщение от Аноним (4), 06-Янв-23, 18:14
	> это обвязка над уже существующими методами управления файерволом nftables - это userspace-фронтенд над подсистемой ядра nftables. iptables - это тоже просто userspace-фронтенд над подсистемой ядра Netfilter. А теперь докажи, что эти фронтенды (userspace-утилиты, обрати внимание) что-то настраивают "напрямую", а не просто "нижайше просят ядро применить такие-то настройки". Твоя проблема в том, что ты почему-то думаешь, что "обвязка" и "альтернатива" -- это термины, которые могут противоречить или не противоречить друг другу. А я говорю, что это независимые категории, как "оранжевый" и "со вкусом апельсина". Иными словами, в ядре две взаимопересекающиеся подсистемы: nftables и Netfilter. А конечных userspace-утилит для взаимодействия с ними -- как минимум три, и вот среди этих трех ТУЛЗОВ и предлагается выбирать: firewalld REPLACES iptables as the default firewall management TOOL. > Иначе файерволом можно и ansible назвать. Можно, называй. Собственно, в NixOS есть свой собственный файрвол, тоже работающий поверх xxtables: networking.firewall.enable. И угадай что? Если ты хочешь перейти на "просто iptables", то тебе нужно... отключить файрвол! Отключить файрвол NixOS разумеется: networking.firewall.enable = false; Таким образом, никто (НИКТО) кроме тебя не считает, что "файрволов ровно два".
	Ответить \| Правка \| Наверх \| Cообщить модератору


	44. "Выпуск межсетевого экрана firewalld 1.3"	–1 +/–
	Сообщение от An0nim0us (?), 06-Янв-23, 16:47
	ты все верно понял, не слушай его - он фигню говорит...
	Ответить \| Правка \| К родителю #33 \| Наверх \| Cообщить модератору


	34. "Выпуск межсетевого экрана firewalld 1.3"	+/–
	Сообщение от ещё_один_иксперд (?), 06-Янв-23, 14:13
	FirewallD под капотом использует nftables или xtables, умник.
	Ответить \| Правка \| К родителю #22 \| Наверх \| Cообщить модератору


	36. "Выпуск межсетевого экрана firewalld 1.3"	+/–
	Сообщение от Аноним (4), 06-Янв-23, 14:23
	> FirewallD под капотом использует nftables или xtables, умник Умник, тебе еще раз написать? Не смотря на то, кто кому приходится фронтендом, использовать следует только один вариант: либо только iptables, либо только его фронтенд, либо только nftables. Поэтому firewalld является альтернативой iptables. Альтернати́ва (фр. alternative, от лат. alternatus — другой) — необходимость выбора одной из двух или более исключающих друг друга возможностей.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	43. "Выпуск межсетевого экрана firewalld 1.3"	–1 +/–
	Сообщение от An0nim0us (?), 06-Янв-23, 16:45
	>> очередной комментатор решил сумничать, не разобравшись в вопросе. Это вы про себя? >> In order to configure firewall rules for Netfilter or nftables, a firewall utility needs to be installed. Guidance has been included for the following firewall utilities: 1) FirewallD 2) nftables 3) iptables Only ONE method should be used to configure a firewall on the system. Use of more than one method could produce unexpected results. Теперь давай прочитаем еще раз: Only. ONE. Method. Should. Be. Used. To configure a firewall. Хотя может у себя в локалхосте ты и применяешь все три сразу - кто тебя знает? давай прочитаем вместе. Написано верно, но чукча не читатель. Смысл текста не противоречит тому что это прослойка. Основной посил в том что если ты начал конфигурировать прослойкой, то конфигурируешь ею до конца, не внося напрямую правила через бэкенды - иначе работоспособность не гарантируется, что логично. Тем не менее ты можешь сконфигурировать сабж и посмотреть какие правила iptables или nftables оно нагенерировало. Далее офигеть от той дичи что оно генерит и незахотеть больше генерировать этой шляпой. Это легко перепроверить самостоятельно даже на твоем локалхосте который ти любишь упоминать. Что б окончательно поставить все точки, просто посмотри архитектуру этой шляпы и ищем знакомые слова указанные в бэкендах. https://firewalld.org/documentation/architecture.html
	Ответить \| Правка \| К родителю #22 \| Наверх \| Cообщить модератору


	46. "Выпуск межсетевого экрана firewalld 1.3"	+2 +/–
	Сообщение от Аноним (4), 06-Янв-23, 17:18
	> Смысл текста не противоречит тому что это прослойка Смысл текста прямо противоречит твоему выкрику, что это мол "не альтернатива": > Это вообще не альтернатива Если конфигурируем этой прослойкой от начала и "до конца", то значит, что из двух альтернатив - iptables vs firewalld - мы выбрали что-то одно. А кто над кем там прослойка, и прослойка ли вообще - совершенно не важно. Так что ты все-таки, чукча, читай все тексты: и те, на которые ссылаешься, и свои собственные комменты. Но в первую очередь загугли, что такое "альтернатива": Альтернати́ва (фр. alternative, от лат. alternatus — другой) — необходимость выбора одной из двух или более исключающих друг друга возможностей.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	54. "Выпуск межсетевого экрана firewalld 1.3"	+1 +/–
	Сообщение от An0nim0us (?), 06-Янв-23, 19:53
	в контексте IT, если рассматривать архитектуру то это Frontends над 1 из Backend'ов и это не может быть альтернативой просто потому что мы не можем выбрать и использовать его без бэкенда. т.э. выбирая Firewalld, ты вместе в ним выбираешь и iptables или nftables, которые между собой являются альтернативными реализациями (считай альтернативами). Иначе можно дойти до того что называть Firefox аналогом nginx, или pma аналогом mysql. С философской точки зрения можешь называть хоть лягушкой, но в профессиональной среде их нельзя характеризовать как аналоги.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	66. "Выпуск межсетевого экрана firewalld 1.3"	+2 +/–
	Сообщение от Аноним (4), 07-Янв-23, 03:13
	> в контексте IT Об IT у тебя весьма отдаленное представление. > ты вместе в ним выбираешь и iptables или nftables Правильно: <...> FirewallD is dependent on the iptables package. > но в профессиональной среде их нельзя характеризовать как аналоги Садись, два: Note: Only ONE firewall utility should be installed and configured. FirewallD is dependent on the iptables package. (обрати внимание, что оба утверждения стоят рядом) Таким образом, ты снова продемонстрировал всем свое невежество, утверждая, будто следует напрямую использовать оба инструмента сразу только потому, что они оба установились: > их нельзя характеризовать как аналоги
	Ответить \| Правка \| Наверх \| Cообщить модератору


	69. "Выпуск межсетевого экрана firewalld 1.3"	+/–
	Сообщение от An0nim0us (?), 07-Янв-23, 12:34
	>> Об IT у тебя весьма отдаленное представление. Кто б говорил - называть frontend и backend аналогами, так себе представление. >> Садись, два: С твоими знаниями в IT только мышку поменять можно доверить и то осторожно, а не знания других оценивать... >> FirewallD is dependent on the iptables package. (обрати внимание, что оба утверждения стоят рядом) а если также рядом написать "FirewallD is dependent linux kernel", то можно будет его называть альтернативой ядра линукс? Таким образом, ты снова продемонстрировал всем свое невежество, утверждая, будто следует напрямую использовать оба инструмента сразу только потому, что они оба установились. Хорошая попытка манипуляции, но при этом можна спокойно удалить фронтенд, оставив бэкенд и все будет работать, а если удалишь бэкенд оставив только фронтенд, то не будет. А так да, дли философов - это просто два отдельных пакета, которые установились.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	49. "Выпуск межсетевого экрана firewalld 1.3"	+/–
	Сообщение от Аноним (49), 06-Янв-23, 18:46
	> очередной комментатор решил сумничать, не разобравшись в вопросе. Чего там разбираться в запущенности вопроса? Настоящей домохозяйке файрвол уже настроенный должен поставляться, а то много молока может убежать.😎
	Ответить \| Правка \| К родителю #22 \| Наверх \| Cообщить модератору


	52. "Выпуск межсетевого экрана firewalld 1.3"	+/–
	Сообщение от Аноним (52), 06-Янв-23, 19:07
	Альтернатива способу конфигурации, а не самому сервису, епт. Можно было бы и допетрить
	Ответить \| Правка \| К родителю #19 \| Наверх \| Cообщить модератору


	55. "Выпуск межсетевого экрана firewalld 1.3"	+/–
	Сообщение от An0nim0us (?), 06-Янв-23, 19:58
	Мы же на сайте для гуманитариев... Тогда уж и ложка альтернатива тарелке - можно есть ложкой, а можно лицо мокать в кастрюлю и есть.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	56. "Выпуск межсетевого экрана firewalld 1.3"	+1 +/–
	Сообщение от An0nim0us (?), 06-Янв-23, 19:58
	* можно есть ложкой, а можно лицо мокать в тарелку и есть.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	67. "Выпуск межсетевого экрана firewalld 1.3"	+/–
	Сообщение от Аноним (4), 07-Янв-23, 03:17
	> Мы же на сайте для гуманитариев Ну, с твоим присутствием опеннет действительно превращается в сайт ламеров: > ложка альтернатива тарелке Тебя и на кухню-то лучше не впускать, какой там IT?
	Ответить \| Правка \| К родителю #55 \| Наверх \| Cообщить модератору