Вариант для распечатки |
Пред. тема | След. тема | ||
Форум Разговоры, обсуждение новостей | |||
---|---|---|---|
Изначальное сообщение | [ Отслеживать ] |
"Выпуск межсетевого экрана firewalld 2.3.0 " | +/– | |
Сообщение от opennews (??), 05-Ноя-24, 23:11 | ||
Сформирован выпуск динамически управляемого межсетевого экрана firewalld 2.3, реализованного в форме обвязки над пакетными фильтрами nftables и iptables. Firewalld запускается в виде фонового процесса, позволяющего динамически изменять правила пакетного фильтра через D-Bus, без необходимости перезагрузки правил пакетного фильтра и без разрыва установленных соединений. Проект уже применяется во многих дистрибутивах Linux, включая RHEL 7+, Fedora 18+ и SUSE/openSUSE 15+. Код firewalld написан на языке Python и распространяется под лицензией GPLv2... | ||
Ответить | Правка | Cообщить модератору |
Оглавление |
Сообщения | [Сортировка по времени | RSS] |
21. "Выпуск межсетевого экрана firewalld 2.3.0 " | +4 +/– | |
Сообщение от Аноним (21), 06-Ноя-24, 07:59 | ||
Для тех кто не понимает зачем нужна эта прослойка... | ||
Ответить | Правка | Наверх | Cообщить модератору |
25. "Выпуск межсетевого экрана firewalld 2.3.0 " | –1 +/– | |
Сообщение от мяв (?), 06-Ноя-24, 09:39 | ||
nftables тоже вполне себе декларативный. | ||
Ответить | Правка | Наверх | Cообщить модератору |
66. "Выпуск межсетевого экрана firewalld 2.3.0 " | +/– | |
Сообщение от Максим Тисаев (-), 07-Ноя-24, 21:52 | ||
Кто может подсказать - в современных версиях KDE прямо в "Параметрах системы" есть графический файрвол. Там под капотом firewalld или что-то еще? | ||
Ответить | Правка | Наверх | Cообщить модератору |
36. "Выпуск межсетевого экрана firewalld 2.3.0 " | +/– | |
Сообщение от Соль земли (?), 06-Ноя-24, 11:06 | ||
Я бы сказал проще - вводит понятие зоны. По факту это отдельные цепочки правил iptables. Пакет попадает в зону, например, в зависимости от IP источника. | ||
Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору |
62. "Выпуск межсетевого экрана firewalld 2.3.0 " | +/– | |
Сообщение от Аноним (62), 07-Ноя-24, 17:04 | ||
Как он определяет на каком порту работает сервис? | ||
Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору |
63. "Выпуск межсетевого экрана firewalld 2.3.0 " | +1 +/– | |
Сообщение от нейм (?), 07-Ноя-24, 17:08 | ||
через пачку предустановленных xml, которые ты можешь дополнить своими кастомными вариантами | ||
Ответить | Правка | Наверх | Cообщить модератору |
70. "Выпуск межсетевого экрана firewalld 2.3.0 " | +/– | |
Сообщение от Аноним (62), 08-Ноя-24, 06:34 | ||
Откуда они могут знать, на каком порту мне нужно запускать сервисы? | ||
Ответить | Правка | Наверх | Cообщить модератору |
72. "Выпуск межсетевого экрана firewalld 2.3.0 " | +/– | |
Сообщение от нейм (?), 08-Ноя-24, 10:08 | ||
> Откуда они могут знать, на каком порту мне нужно запускать сервисы? | ||
Ответить | Правка | Наверх | Cообщить модератору |
1. "Выпуск межсетевого экрана firewalld 2.3.0 " | +12 +/– | |
Сообщение от Аноним (1), 05-Ноя-24, 23:11 | ||
Субъективно очень неудобная штука. После ufw команды firewall-cmd, казалось, объявили принципу наименьшего удивления войну | ||
Ответить | Правка | Наверх | Cообщить модератору |
12. "Выпуск межсетевого экрана firewalld 2.3.0 " | +/– | |
Сообщение от Аноним (12), 06-Ноя-24, 01:19 | ||
Я даже не понял, почему она в RedHat-based Distros нужна, с одной стороны не сильно упрощает, с другой стороны на серверах вызывает инциденты в неожиданных местах. | ||
Ответить | Правка | Наверх | Cообщить модератору |
18. "Выпуск межсетевого экрана firewalld 2.3.0 " | +/– | |
Сообщение от мяв (?), 06-Ноя-24, 04:20 | ||
потому что там до определенного момента был iptables и fwd жизнь действительно упрощал, при том, предоставляя чуть больше возможностей, чем "открыть/закрыить портек", в отличии oт ufw. | ||
Ответить | Правка | Наверх | Cообщить модератору |
31. "Выпуск межсетевого экрана firewalld 2.3.0 " | +1 +/– | |
Сообщение от Аноним (31), 06-Ноя-24, 10:43 | ||
Упрощает, в смысле - простота хуже воровства. Когда нужно сделать что-то чуть более сложное - всё усложняется на порядки. А если надо отладить - это становится закатом Солнца вручную. Была бы эта штука критической важности, то имело бы свою инфраструктуру, интегрированную в ядро, а не мешало работать с nftables. | ||
Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору |
57. "Выпуск межсетевого экрана firewalld 2.3.0 " | +/– | |
Сообщение от User (??), 07-Ноя-24, 07:56 | ||
Если вы на серверах руками делаете на fw что-то "более сложное" - скорее всего, вы делаете полную бнопню, извините. А вот с автоматикой, которая делает это "более сложное" - всякими доскерами, куберами, cni и тэ дэ firewalld, в отличие от handmade-портянок - не конфликтует. | ||
Ответить | Правка | Наверх | Cообщить модератору |
67. "Выпуск межсетевого экрана firewalld 2.3.0 " | +/– | |
Сообщение от Аноним (31), 07-Ноя-24, 22:45 | ||
Девособаки - неосиляторы? Планировать надо от требований ИБ, а не против них. А firewalld - это имитация. | ||
Ответить | Правка | Наверх | Cообщить модератору |
71. "Выпуск межсетевого экрана firewalld 2.3.0 " | –1 +/– | |
Сообщение от User (??), 08-Ноя-24, 07:52 | ||
> Девособаки - неосиляторы? Планировать надо от требований ИБ, а не против них. | ||
Ответить | Правка | Наверх | Cообщить модератору |
20. "Выпуск межсетевого экрана firewalld 2.3.0 " | +/– | |
Сообщение от 1001й глаз (?), 06-Ноя-24, 07:51 | ||
Ага, хренакс "firewall-cmd --remove --service=ssh" и не зайти на сервер даже из локальной сети. | ||
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору |
29. "Выпуск межсетевого экрана firewalld 2.3.0 " | –1 +/– | |
Сообщение от Nureke (?), 06-Ноя-24, 10:09 | ||
С чего это вдруг | ||
Ответить | Правка | Наверх | Cообщить модератору |
39. "Выпуск межсетевого экрана firewalld 2.3.0 " | +1 +/– | |
Сообщение от Star_Hobbit (ok), 06-Ноя-24, 13:53 | ||
а зачем? правило ж в риалтайм добавили - без --permanent | ||
Ответить | Правка | Наверх | Cообщить модератору |
40. "Выпуск межсетевого экрана firewalld 2.3.0 " | +1 +/– | |
Сообщение от Аноним (40), 06-Ноя-24, 15:09 | ||
значит после ближайшей перезагрузки доступ опять появится! | ||
Ответить | Правка | Наверх | Cообщить модератору |
61. "Выпуск межсетевого экрана firewalld 2.3.0 " | +/– | |
Сообщение от Аноним (61), 07-Ноя-24, 11:44 | ||
А если сделать | ||
Ответить | Правка | К родителю #20 | Наверх | Cообщить модератору |
76. "Выпуск межсетевого экрана firewalld 2.3.0 " | +/– | |
Сообщение от Аноним (76), 10-Ноя-24, 04:16 | ||
Разрешите докопаться | ||
Ответить | Правка | К родителю #20 | Наверх | Cообщить модератору |
2. "Выпуск межсетевого экрана firewalld 2.3.0 " | +1 +/– | |
Сообщение от Аноним (2), 05-Ноя-24, 23:18 | ||
>при создании правил отталкивается не от IP-адресов, сетевых интерфейсов и номеров портов, а от названий служб | ||
Ответить | Правка | Наверх | Cообщить модератору |
35. "Выпуск межсетевого экрана firewalld 2.3.0 " | +1 +/– | |
Сообщение от Аноним (31), 06-Ноя-24, 10:51 | ||
"Рич-правила" это то, против чего создавался firewalld, то ради чего была принесена в жертву отладка пакетов. Не говоря о том, что помимо синтаксиса nftables надо еще учить синтаксис firewalld. И это выдвигается как достоинство firewalld? В таком свете firewalld - это лишняя сущность. | ||
Ответить | Правка | Наверх | Cообщить модератору |
41. "Выпуск межсетевого экрана firewalld 2.3.0 " | +1 +/– | |
Сообщение от Аноним (40), 06-Ноя-24, 15:22 | ||
>надо еще учить синтаксис firewalld | ||
Ответить | Правка | Наверх | Cообщить модератору |
44. "Выпуск межсетевого экрана firewalld 2.3.0 " | +/– | |
Сообщение от Аноним (31), 06-Ноя-24, 16:01 | ||
И не говорите, ужасный синтаксис. То ли дело, json поправил и перезалил. Ничего, скоро напишут надстройку над firewalld на dotnet или deno, чтобы все эти команды дёргало. | ||
Ответить | Правка | Наверх | Cообщить модератору |
68. "Выпуск межсетевого экрана firewalld 2.3.0 " | +/– | |
Сообщение от Аноним (31), 07-Ноя-24, 22:46 | ||
Достаточно одного квалифицированного админа, а не десятка девособак. | ||
Ответить | Правка | К родителю #41 | Наверх | Cообщить модератору |
75. "Выпуск межсетевого экрана firewalld 2.3.0 " | +/– | |
Сообщение от нах. (?), 09-Ноя-24, 11:36 | ||
квалифицированные не хотят мараться об nft | ||
Ответить | Правка | Наверх | Cообщить модератору |
74. "Выпуск межсетевого экрана firewalld 2.3.0 " | +/– | |
Сообщение от нах. (?), 09-Ноя-24, 11:36 | ||
проблема ваших поделок именно в том, что у вас ВСЕ примеры - "не самые лучшие с точки зрения безопасности". | ||
Ответить | Правка | К родителю #41 | Наверх | Cообщить модератору |
3. "Выпуск межсетевого экрана firewalld 2.3.0 " | –1 +/– | |
Сообщение от Аноним (3), 05-Ноя-24, 23:33 | ||
Необходимость создания "упрощающих прослоек" -- показатель непрофессионализма проектирования nftables. Или их правильнее называть narcotables? | ||
Ответить | Правка | Наверх | Cообщить модератору |
6. "Выпуск межсетевого экрана firewalld 2.3.0 " | +/– | |
Сообщение от Аноним (2), 06-Ноя-24, 00:01 | ||
ну, справедливости ради, синтаксис iptables | ||
Ответить | Правка | Наверх | Cообщить модератору |
7. "Выпуск межсетевого экрана firewalld 2.3.0 " | +1 +/– | |
Сообщение от Аноним (2), 06-Ноя-24, 00:02 | ||
тоже с первого раза не всякий осилит. | ||
Ответить | Правка | Наверх | Cообщить модератору |
48. "Выпуск межсетевого экрана firewalld 2.3.0 " | +/– | |
Сообщение от Аноним (31), 06-Ноя-24, 17:21 | ||
Так и зампием - девособаки не умеют в пакетные фильтры. | ||
Ответить | Правка | Наверх | Cообщить модератору |
13. "Выпуск межсетевого экрана firewalld 2.3.0 " | +/– | |
Сообщение от WE (?), 06-Ноя-24, 02:38 | ||
во-первых императивное описание конфигурации это как бы лет 15 уже не рекомендованный метод, поэтому для систем оркестрации желателен демон. И он достаточно не простой, по сравнению с утилиткой ufw. | ||
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору |
15. "Выпуск межсетевого экрана firewalld 2.3.0 " | +/– | |
Сообщение от мяв (?), 06-Ноя-24, 04:01 | ||
в чем упоротый? | ||
Ответить | Правка | Наверх | Cообщить модератору |
22. "Выпуск межсетевого экрана firewalld 2.3.0 " | +1 +/– | |
Сообщение от anonim11 (?), 06-Ноя-24, 08:21 | ||
ну,вот не надо ля-ля, синтаксис nft после iptables просто мрак и тлен. а что качаемо firewalld - ненужно оно, вот от слова совсем. | ||
Ответить | Правка | Наверх | Cообщить модератору |
26. "Выпуск межсетевого экрана firewalld 2.3.0 " | +/– | |
Сообщение от мяв (?), 06-Ноя-24, 09:40 | ||
в чем тлен, еще раз спрашиваю? | ||
Ответить | Правка | Наверх | Cообщить модератору |
28. "Выпуск межсетевого экрана firewalld 2.3.0 " | +1 +/– | |
Сообщение от anonim11 (?), 06-Ноя-24, 10:00 | ||
лапша, а не удобоваримый синтаксис, вот в чём. | ||
Ответить | Правка | Наверх | Cообщить модератору |
33. "Выпуск межсетевого экрана firewalld 2.3.0 " | +/– | |
Сообщение от Аноним (31), 06-Ноя-24, 10:45 | ||
Да не осилил он, вот и плюётся. Ему важно херачить, а не получить результат. Отладка ему не нужна. | ||
Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору |
58. "Выпуск межсетевого экрана firewalld 2.3.0 " | +/– | |
Сообщение от User (??), 07-Ноя-24, 08:05 | ||
Ну, как бы это сказать? У iptables _ВООБЩЕ_ нет "синтаксиса" - есть пачка флагов команды, а так чтобы нормальный dsl для описания правил - так это вам куда-нибудь в ipfw или хотя бы в pf. В nft хотя бы попытались, да. | ||
Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору |
17. "Выпуск межсетевого экрана firewalld 2.3.0 " | +1 +/– | |
Сообщение от мяв (?), 06-Ноя-24, 04:08 | ||
праильно, даешь жирные парсеры, юзерское апи и сервисоонованные биндинги прям в ядро! | ||
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору |
47. "Выпуск межсетевого экрана firewalld 2.3.0 " | +/– | |
Сообщение от Аноним (31), 06-Ноя-24, 17:18 | ||
Прошу не обобщать и не путать с профнепригодностью неосиляторов. | ||
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору |
52. "Выпуск межсетевого экрана firewalld 2.3.0 " | +/– | |
Сообщение от Мухорчатый (?), 06-Ноя-24, 20:44 | ||
странно, что тебя минусуют. | ||
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору |
56. "Выпуск межсетевого экрана firewalld 2.3.0 " | +/– | |
Сообщение от Анониссимус (?), 07-Ноя-24, 00:01 | ||
Всё it построено на прослойках. Ты же программы пишешь не в опкодах процессора? Вот и nft тебя никто не заставляет использовать напрямую. | ||
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору |
4. "Выпуск межсетевого экрана firewalld 2.3.0 " | –5 +/– | |
Сообщение от Аноним (4), 05-Ноя-24, 23:54 | ||
Безопасный фаерволл на python управляемый через D-Bus? Что может пойти не так.. | ||
Ответить | Правка | Наверх | Cообщить модератору |
5. "Выпуск межсетевого экрана firewalld 2.3.0 " | +3 +/– | |
Сообщение от Аноним (2), 06-Ноя-24, 00:00 | ||
это не совсем файрволл - это скорее управляющая прослойка НАД файрволлом. | ||
Ответить | Правка | Наверх | Cообщить модератору |
8. "Выпуск межсетевого экрана firewalld 2.3.0 " | +1 +/– | |
Сообщение от Аноним (2), 06-Ноя-24, 00:05 | ||
или же, если говорить правильней - просто еще один уровень абстракции. | ||
Ответить | Правка | Наверх | Cообщить модератору |
9. "Выпуск межсетевого экрана firewalld 2.3.0 " | +1 +/– | |
Сообщение от Аноним (9), 06-Ноя-24, 00:34 | ||
Почему ты все время отправляешь по два сообщения вместо одного? | ||
Ответить | Правка | Наверх | Cообщить модератору |
14. "Выпуск межсетевого экрана firewalld 2.3.0 " | +4 +/– | |
Сообщение от тпаываы (?), 06-Ноя-24, 02:42 | ||
мту маленький, не влезает | ||
Ответить | Правка | Наверх | Cообщить модератору |
42. "Выпуск межсетевого экрана firewalld 2.3.0 " | +/– | |
Сообщение от Аноним (40), 06-Ноя-24, 15:24 | ||
мое увлажнение Вам! | ||
Ответить | Правка | Наверх | Cообщить модератору |
16. "Выпуск межсетевого экрана firewalld 2.3.0 " | +/– | |
Сообщение от мяв (?), 06-Ноя-24, 04:03 | ||
и для предоставления адекватного апи. | ||
Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору |
19. "Выпуск межсетевого экрана firewalld 2.3.0 " | –1 +/– | |
Сообщение от Алексей (??), 06-Ноя-24, 07:23 | ||
API есть - libnftnl, только это не то что curl-ом дергают. HTTP API это лишь одна из разновидностей. | ||
Ответить | Правка | Наверх | Cообщить модератору |
24. "Выпуск межсетевого экрана firewalld 2.3.0 " | +2 +/– | |
Сообщение от мяв (?), 06-Ноя-24, 09:38 | ||
какое http api? Вы вообще о чем? | ||
Ответить | Правка | Наверх | Cообщить модератору |
34. "Выпуск межсетевого экрана firewalld 2.3.0 " | –1 +/– | |
Сообщение от Аноним (31), 06-Ноя-24, 10:48 | ||
Это как в автомобиле рулевое колесо заменить на джойстик - проще, но нефункционально. | ||
Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору |
37. "Выпуск межсетевого экрана firewalld 2.3.0 " | +2 +/– | |
Сообщение от Аноним (37), 06-Ноя-24, 13:14 | ||
Подскажите пожалуйста, как проще всего на локальном ПК запретить все сетевые соединения, после чего разрешить через белый список ходить в интернет только браузеру, медиаплееру, чатику и пакетному менеджеру? | ||
Ответить | Правка | Наверх | Cообщить модератору |
38. "Выпуск межсетевого экрана firewalld 2.3.0 " | +/– | |
Сообщение от Аноним (38), 06-Ноя-24, 13:30 | ||
Portmaster. Не знаю, насколько это просто, но оно работает. | ||
Ответить | Правка | Наверх | Cообщить модератору |
55. "Выпуск межсетевого экрана firewalld 2.3.0 " | +1 +/– | |
Сообщение от Аноним (31), 06-Ноя-24, 21:47 | ||
Это же контроль порта, а не приложения. | ||
Ответить | Правка | Наверх | Cообщить модератору |
45. "Выпуск межсетевого экрана firewalld 2.3.0 " | +2 +/– | |
Сообщение от Аноним (31), 06-Ноя-24, 16:09 | ||
Запускать в отдельных namespace и рулить пакетным фильтром в каждом namespace. | ||
Ответить | Правка | К родителю #37 | Наверх | Cообщить модератору |
50. "Выпуск межсетевого экрана firewalld 2.3.0 " | +1 +/– | |
Сообщение от Аноним (50), 06-Ноя-24, 18:14 | ||
А никак нельзя так чтобы просто в конфиге прописать пути к нужным бинарникам, а всё остальное не пускать? | ||
Ответить | Правка | Наверх | Cообщить модератору |
65. "Выпуск межсетевого экрана firewalld 2.3.0 " | +/– | |
Сообщение от Аноним (62), 07-Ноя-24, 17:14 | ||
Пути пишутся в cgrules.d | ||
Ответить | Правка | Наверх | Cообщить модератору |
53. "Выпуск межсетевого экрана firewalld 2.3.0 " | +/– | |
Сообщение от Мухорчатый (?), 06-Ноя-24, 20:46 | ||
Он прочил "чем проще", а не грабельно-костыльное минное поле | ||
Ответить | Правка | К родителю #45 | Наверх | Cообщить модератору |
54. "Выпуск межсетевого экрана firewalld 2.3.0 " | –1 +/– | |
Сообщение от Аноним (31), 06-Ноя-24, 21:47 | ||
Другая альтернатива - контейнеры. namespaces - будут проще и легче. Ему надо контролировать приложение, а не порт. | ||
Ответить | Правка | Наверх | Cообщить модератору |
64. "Выпуск межсетевого экрана firewalld 2.3.0 " | +/– | |
Сообщение от Аноним (62), 07-Ноя-24, 17:10 | ||
Запускать в отдельных cgroup net_cls. По net_cls в nftables есть селектор. | ||
Ответить | Правка | К родителю #45 | Наверх | Cообщить модератору |
51. "Выпуск межсетевого экрана firewalld 2.3.0 " | +3 +/– | |
Сообщение от Аноним (51), 06-Ноя-24, 19:15 | ||
opensnitch | ||
Ответить | Правка | К родителю #37 | Наверх | Cообщить модератору |
60. "Выпуск межсетевого экрана firewalld 2.3.0 " | –1 +/– | |
Сообщение от Аноним (60), 07-Ноя-24, 09:35 | ||
а зачем? троян всё равно в браузере, медиаплейере и чатике, а вместо пакетного менеджера у нас теперь вон те две штуковины, похожие на докер, в которых свои трояны | ||
Ответить | Правка | К родителю #37 | Наверх | Cообщить модератору |
69. "Выпуск межсетевого экрана firewalld 2.3.0 " | +/– | |
Сообщение от Аноним (31), 07-Ноя-24, 22:48 | ||
SElinux? | ||
Ответить | Правка | Наверх | Cообщить модератору |
73. "Выпуск межсетевого экрана firewalld 2.3.0 " | +/– | |
Сообщение от Аноним (73), 08-Ноя-24, 14:01 | ||
>а зачем? | ||
Ответить | Правка | К родителю #60 | Наверх | Cообщить модератору |
46. "Выпуск межсетевого экрана firewalld 2.3.0 " | +/– | |
Сообщение от Самый Лучший Гусь (?), 06-Ноя-24, 16:35 | ||
Можно ли как-то прикрутить BPF к нему для увеличения производительности? | ||
Ответить | Правка | Наверх | Cообщить модератору |
49. "Выпуск межсетевого экрана firewalld 2.3.0 " | +/– | |
Сообщение от Аноним (31), 06-Ноя-24, 17:23 | ||
Чем производительность nftables не устраивает? | ||
Ответить | Правка | Наверх | Cообщить модератору |
Архив | Удалить |
Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема |
Закладки на сайте Проследить за страницей |
Created 1996-2024 by Maxim Chirkov Добавить, Поддержать, Вебмастеру |