forum.opennet.ru - "Выпуск межсетевого экрана firewalld 2.3.0 " (68)

"Выпуск межсетевого экрана firewalld 2.3.0 "

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Выпуск межсетевого экрана firewalld 2.3.0 "	+/–
Сообщение от opennews (??), 05-Ноя-24, 23:11
Сформирован выпуск динамически управляемого межсетевого экрана firewalld 2.3, реализованного в форме обвязки над пакетными фильтрами nftables и iptables. Firewalld запускается в виде фонового процесса, позволяющего динамически изменять правила пакетного фильтра через D-Bus, без необходимости перезагрузки правил пакетного фильтра и без разрыва установленных соединений. Проект уже применяется во многих дистрибутивах Linux, включая RHEL 7+, Fedora 18+ и SUSE/openSUSE 15+. Код firewalld написан на языке Python и распространяется под лицензией GPLv2... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=62183
Ответить \| Правка \| Cообщить модератору

Оглавление

Для тех кто не понимает зачем нужна эта прослойка iptables и nftables работают, Аноним (21), 07:59 , 06-Ноя-24, (21) +4

nftables тоже вполне себе декларативный посмотрите синтаксис nft файлов потому,, мяв (?), 09:39 , 06-Ноя-24, (25) –1

Кто может подсказать - в современных версиях KDE прямо в Параметрах системы ес, Максим Тисаев (-), 21:52 , 07-Ноя-24, (66)

Я бы сказал проще - вводит понятие зоны По факту это отдельные цепочки правил i, Соль земли (?), 11:06 , 06-Ноя-24, (36)
Как он определяет на каком порту работает сервис , Аноним (62), 17:04 , 07-Ноя-24, (62)

через пачку предустановленных xml, которые ты можешь дополнить своими кастомными, нейм (?), 17:08 , 07-Ноя-24, (63) +1

Откуда они могут знать, на каком порту мне нужно запускать сервисы Ну, а вручну, Аноним (62), 06:34 , 08-Ноя-24, (70)

Если ты запускаешь сферический http сервер, порты очевидны и дефолтные прописаны, нейм (?), 10:08 , 08-Ноя-24, (72)

Субъективно очень неудобная штука После ufw команды firewall-cmd, казалось, объ, Аноним (1), 23:11 , 05-Ноя-24, (1) +12

Я даже не понял, почему она в RedHat-based Distros нужна, с одной стороны не сил, Аноним (12), 01:19 , 06-Ноя-24, (12)

потому что там до определенного момента был iptables и fwd жизнь действительно у, мяв (?), 04:20 , 06-Ноя-24, (18)
Упрощает, в смысле - простота хуже воровства Когда нужно сделать что-то чуть бо, Аноним (31), 10:43 , 06-Ноя-24, (31) +1

Если вы на серверах руками делаете на fw что-то более сложное - скорее всего, , User (??), 07:56 , 07-Ноя-24, (57)

Девособаки - неосиляторы Планировать надо от требований ИБ, а не против них А , Аноним (31), 22:45 , 07-Ноя-24, (67)

Угу Firewalld, сталбыть, имитация, а bashпортянко Шоб уж совсем-Ъ с правилам, User (??), 07:52 , 08-Ноя-24, (71) –1

Ага, хренакс firewall-cmd --remove --service ssh и не зайти на сервер даже из , 1001й глаз (?), 07:51 , 06-Ноя-24, (20)

С чего это вдруга кто будет делать firewall-cmd --reload , Nureke (?), 10:09 , 06-Ноя-24, (29) –1

а зачем правило ж в риалтайм добавили - без --permanent, Star_Hobbit (ok), 13:53 , 06-Ноя-24, (39) +1

значит после ближайшей перезагрузки доступ опять появится , Аноним (40), 15:09 , 06-Ноя-24, (40) +1

А если сделать rm -rf --no-preserve-rootбудет ещё интереснее , Аноним (61), 11:44 , 07-Ноя-24, (61)
Разрешите докопаться- Если локальная сеть будет в зоне trust, то правила не буду, Аноним (76), 04:16 , 10-Ноя-24, (76)

Дайте угадаю, вы ведь ни разу не пользовались firewall-cmd Как бы, никто не за, Аноним (2), 23:18 , 05-Ноя-24, (2) +1

Рич-правила это то, против чего создавался firewalld, то ради чего была принес, Аноним (31), 10:51 , 06-Ноя-24, (35) +1

зачем 99 админов достаточно знать пяток команд firewall-cmd из всего списка h, Аноним (40), 15:22 , 06-Ноя-24, (41) +1

И не говорите, ужасный синтаксис То ли дело, json поправил и перезалил Ничего,, Аноним (31), 16:01 , 06-Ноя-24, (44)
Достаточно одного квалифицированного админа, а не десятка девособак , Аноним (31), 22:46 , 07-Ноя-24, (68)

квалифицированные не хотят мараться об nft, нах. (?), 11:36 , 09-Ноя-24, (75)

проблема ваших поделок именно в том, что у вас ВСЕ примеры - не самые лучшие с , нах. (?), 11:36 , 09-Ноя-24, (74)

Необходимость создания упрощающих прослоек -- показатель непрофессионализма пр, Аноним (3), 23:33 , 05-Ноя-24, (3) –1

ну, справедливости ради, синтаксис iptables, Аноним (2), 00:01 , 06-Ноя-24, (6)

тоже с первого раза не всякий осилит А там, как мы помним, важны всякие чейны в , Аноним (2), 00:02 , 06-Ноя-24, (7) +1

Так и зампием - девособаки не умеют в пакетные фильтры , Аноним (31), 17:21 , 06-Ноя-24, (48)

во-первых императивное описание конфигурации это как бы лет 15 уже не рекомендов, WE (?), 02:38 , 06-Ноя-24, (13)

в чем упоротый вот в iptables - да, грусть, даже на дебиан fwd ставила когда nft, мяв (?), 04:01 , 06-Ноя-24, (15)

ну,вот не надо ля-ля, синтаксис nft после iptables просто мрак и тлен а что кач, anonim11 (?), 08:21 , 06-Ноя-24, (22) +1

в чем тлен, еще раз спрашиваю по-моему, норм , мяв (?), 09:40 , 06-Ноя-24, (26)

лапша, а не удобоваримый синтаксис, вот в чём открыть или закрыть порт - может и, anonim11 (?), 10:00 , 06-Ноя-24, (28) +1
Да не осилил он, вот и плюётся Ему важно херачить, а не получить результат Отл, Аноним (31), 10:45 , 06-Ноя-24, (33)

Ну, как бы это сказать У iptables _ВООБЩЕ_ нет синтаксиса - есть пачка флагов, User (??), 08:05 , 07-Ноя-24, (58)

праильно, даешь жирные парсеры, юзерское апи и сервисоонованные биндинги прям в , мяв (?), 04:08 , 06-Ноя-24, (17) +1
Прошу не обобщать и не путать с профнепригодностью неосиляторов , Аноним (31), 17:18 , 06-Ноя-24, (47)
странно, что тебя минусуют nftables действительно заставляет рыдать , Мухорчатый (?), 20:44 , 06-Ноя-24, (52)
Всё it построено на прослойках Ты же программы пишешь не в опкодах процессора , Анониссимус (?), 00:01 , 07-Ноя-24, (56)

Безопасный фаерволл на python управляемый через D-Bus Что может пойти не так , Аноним (4), 23:54 , 05-Ноя-24, (4) –5

это не совсем файрволл - это скорее управляющая прослойка НАД файрволлом , Аноним (2), 00:00 , 06-Ноя-24, (5) +3

или же, если говорить правильней - просто еще один уровень абстракции Для чего о, Аноним (2), 00:05 , 06-Ноя-24, (8) +1

Почему ты все время отправляешь по два сообщения вместо одного , Аноним (9), 00:34 , 06-Ноя-24, (9) +1

мту маленький, не влезает, тпаываы (?), 02:42 , 06-Ноя-24, (14) +4

мое увлажнение Вам сразу видно руку мастера , Аноним (40), 15:24 , 06-Ноя-24, (42)

и для предоставления адекватного апи в современном мире никто бинари дергать не , мяв (?), 04:03 , 06-Ноя-24, (16)

API есть - libnftnl, только это не то что curl-ом дергают HTTP API это лишь одн, Алексей (??), 07:23 , 06-Ноя-24, (19) –1

какое http api Вы вообще о чем это библиотека апи - это когда запрос на соке, мяв (?), 09:38 , 06-Ноя-24, (24) +2

Это как в автомобиле рулевое колесо заменить на джойстик - проще, но нефункциона, Аноним (31), 10:48 , 06-Ноя-24, (34) –1

Подскажите пожалуйста, как проще всего на локальном ПК запретить все сетевые сое, Аноним (37), 13:14 , 06-Ноя-24, (37) +2

Portmaster Не знаю, насколько это просто, но оно работает , Аноним (38), 13:30 , 06-Ноя-24, (38)

Это же контроль порта, а не приложения , Аноним (31), 21:47 , 06-Ноя-24, (55) +1

Запускать в отдельных namespace и рулить пакетным фильтром в каждом namespace , Аноним (31), 16:09 , 06-Ноя-24, (45) +2

А никак нельзя так чтобы просто в конфиге прописать пути к нужным бинарникам, а , Аноним (50), 18:14 , 06-Ноя-24, (50) +1

Пути пишутся в cgrules dТогда их после запуска даже вручную cgrulesengd перенесё, Аноним (62), 17:14 , 07-Ноя-24, (65)

Он прочил чем проще , а не грабельно-костыльное минное поле, Мухорчатый (?), 20:46 , 06-Ноя-24, (53)

Другая альтернатива - контейнеры namespaces - будут проще и легче Ему надо кон, Аноним (31), 21:47 , 06-Ноя-24, (54) –1

Запускать в отдельных cgroup net_cls По net_cls в nftables есть селектор , Аноним (62), 17:10 , 07-Ноя-24, (64)

opensnitch, Аноним (51), 19:15 , 06-Ноя-24, (51) +3
а зачем троян всё равно в браузере, медиаплейере и чатике, а вместо пакетного м, Аноним (60), 09:35 , 07-Ноя-24, (60) –1

SElinux , Аноним (31), 22:48 , 07-Ноя-24, (69)
Затем чтобы в интернет ходили только те приложения, которым это явно разрешено, , Аноним (73), 14:01 , 08-Ноя-24, (73)

Можно ли как-то прикрутить BPF к нему для увеличения производительности , Самый Лучший Гусь (?), 16:35 , 06-Ноя-24, (46)

Чем производительность nftables не устраивает , Аноним (31), 17:23 , 06-Ноя-24, (49)

Сообщения [Сортировка по времени | RSS]

21. "Выпуск межсетевого экрана firewalld 2.3.0 " +4 +/–

Сообщение от Аноним (21), 06-Ноя-24, 07:59

Для тех кто не понимает зачем нужна эта прослойка...
iptables и nftables работают с цепочками обработки пакетов в модуле netfilter, а этот файрволл порождает гуманитарную абстракцию работающую в сочетании с NetworkManager, которая смотрит на:
- сервисы,
- зоны,
- интерфейсы и соединения NM
В сочетании с возможностью задавать конфигурацию через D-Bus и полностью декларативным форматом конфигурации он является рабочим решением для организации файрволла на конечном сервере, на котором не меняются сетевые параметры.
Мы жертвуем гибкостью netfilter в угоду удобства оркестрации под конкретный набор задач. Ну, то есть, если вам нужно сделать виртуальный файрволл+роутер то firewalld нужно будет удалить, потому что он будем мешать.
UFW, кстати, - это то же самое, только сильно упрощенное и более подходящее для рабочих станций и виртуальных серверов с одним сетевым интерфейсом.

Ответить | Правка | Наверх | Cообщить модератору

25. "Выпуск межсетевого экрана firewalld 2.3.0 " –1 +/–

Сообщение от мяв (?), 06-Ноя-24, 09:39

nftables тоже вполне себе декларативный.
посмотрите синтаксис .nft файлов.
потому, реальным плюсом является только предоставление dbus-интерфейса.

Ответить | Правка | Наверх | Cообщить модератору

66. "Выпуск межсетевого экрана firewalld 2.3.0 " +/–

Сообщение от Максим Тисаев (-), 07-Ноя-24, 21:52

Кто может подсказать - в современных версиях KDE прямо в "Параметрах системы" есть графический файрвол. Там под капотом firewalld или что-то еще?

Ответить | Правка | Наверх | Cообщить модератору

36. "Выпуск межсетевого экрана firewalld 2.3.0 " +/–

Сообщение от Соль земли (?), 06-Ноя-24, 11:06

Я бы сказал проще - вводит понятие зоны. По факту это отдельные цепочки правил iptables. Пакет попадает в зону, например, в зависимости от IP источника.

Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

62. "Выпуск межсетевого экрана firewalld 2.3.0 " +/–

Сообщение от Аноним (62), 07-Ноя-24, 17:04

Как он определяет на каком порту работает сервис?

Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

63. "Выпуск межсетевого экрана firewalld 2.3.0 " +1 +/–

Сообщение от нейм (?), 07-Ноя-24, 17:08

через пачку предустановленных xml, которые ты можешь дополнить своими кастомными вариантами

Ответить | Правка | Наверх | Cообщить модератору

70. "Выпуск межсетевого экрана firewalld 2.3.0 " +/–

Сообщение от Аноним (62), 08-Ноя-24, 06:34

Откуда они могут знать, на каком порту мне нужно запускать сервисы?
Ну, а вручную xml писать какое-то сомнительное удовольствие, даже по сравнению с nft.

Ответить | Правка | Наверх | Cообщить модератору

72. "Выпуск межсетевого экрана firewalld 2.3.0 " +/–

Сообщение от нейм (?), 08-Ноя-24, 10:08

> Откуда они могут знать, на каком порту мне нужно запускать сервисы?
Если ты запускаешь сферический http сервер, порты очевидны и дефолтные прописаны (а точнее - вероятнее даже просто протянуты http/https протоколы). Хочешь нестандартную настройку — пишешь сам. Про полную поддержку любых сервисов никто и не говорил.
> Ну, а вручную xml писать какое-то сомнительное удовольствие, даже по сравнению с nft.
Да, полная хрень, каждый раз плююсь.

Ответить | Правка | Наверх | Cообщить модератору

1. "Выпуск межсетевого экрана firewalld 2.3.0 " +12 +/–

Сообщение от Аноним (1), 05-Ноя-24, 23:11

Субъективно очень неудобная штука. После ufw команды firewall-cmd, казалось, объявили принципу наименьшего удивления войну

Ответить | Правка | Наверх | Cообщить модератору

12. "Выпуск межсетевого экрана firewalld 2.3.0 " +/–

Сообщение от Аноним (12), 06-Ноя-24, 01:19

Я даже не понял, почему она в RedHat-based Distros нужна, с одной стороны не сильно упрощает, с другой стороны на серверах вызывает инциденты в неожиданных местах.

Ответить | Правка | Наверх | Cообщить модератору

18. "Выпуск межсетевого экрана firewalld 2.3.0 " +/–

Сообщение от мяв (?), 06-Ноя-24, 04:20

потому что там до определенного момента был iptables и fwd жизнь действительно упрощал, при том, предоставляя чуть больше возможностей, чем "открыть/закрыить портек", в отличии oт ufw.
а если сейчас его выкинуть - перестанет наполную мощность работать nm и прочий дистрибутивный стек, у админов сломаются конфиги и они расхотят платить за подписку.

Ответить | Правка | Наверх | Cообщить модератору

31. "Выпуск межсетевого экрана firewalld 2.3.0 " +1 +/–

Сообщение от Аноним (31), 06-Ноя-24, 10:43

Упрощает, в смысле - простота хуже воровства. Когда нужно сделать что-то чуть более сложное - всё усложняется на порядки. А если надо отладить - это становится закатом Солнца вручную. Была бы эта штука критической важности, то имело бы свою инфраструктуру, интегрированную в ядро, а не мешало работать с nftables.

Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

57. "Выпуск межсетевого экрана firewalld 2.3.0 " +/–

Сообщение от User (??), 07-Ноя-24, 07:56

Если вы на серверах руками делаете на fw что-то "более сложное" - скорее всего, вы делаете полную бнопню, извините. А вот с автоматикой, которая делает это "более сложное" - всякими доскерами, куберами, cni и тэ дэ firewalld, в отличие от handmade-портянок - не конфликтует.

Ответить | Правка | Наверх | Cообщить модератору

67. "Выпуск межсетевого экрана firewalld 2.3.0 " +/–

Сообщение от Аноним (31), 07-Ноя-24, 22:45

Девособаки - неосиляторы? Планировать надо от требований ИБ, а не против них. А firewalld - это имитация.
Если уж на то пошло, то нужно юзать коммерческий настоящий фаервол для виртуализированных сред в целях микросегментации сетей, а не эту игрушку. У нее черным по белому в доке написано - для рабочих станций и простых инсталляций.

Ответить | Правка | Наверх | Cообщить модератору

71. "Выпуск межсетевого экрана firewalld 2.3.0 " –1 +/–

Сообщение от User (??), 08-Ноя-24, 07:52

> Девособаки - неосиляторы? Планировать надо от требований ИБ, а не против них.
> А firewalld - это имитация.
> Если уж на то пошло, то нужно юзать коммерческий настоящий фаервол для
> виртуализированных сред в целях микросегментации сетей, а не эту игрушку. У
> нее черным по белому в доке написано - для рабочих станций
> и простых инсталляций.
Угу. Firewalld, сталбыть, имитация, а bashпортянко (Шоб уж совсем-Ъ!) с правилами в legacy-синтаксисе, делающая "чуть более сложное"(ТМ) (Главное потом суметь "смежникам"(ТМ) доказать, чтоэтонеты - ну или быстро-быстро поправить, а потом уже "доказать"(ТМ)) - самая что ни на есть "информационная безопасность"(ТМ) и есть, ясно-понятно.

Ответить | Правка | Наверх | Cообщить модератору

20. "Выпуск межсетевого экрана firewalld 2.3.0 " +/–

Сообщение от 1001й глаз (?), 06-Ноя-24, 07:51

Ага, хренакс "firewall-cmd --remove --service=ssh" и не зайти на сервер даже из локальной сети.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

29. "Выпуск межсетевого экрана firewalld 2.3.0 " –1 +/–

Сообщение от Nureke (?), 06-Ноя-24, 10:09

С чего это вдруг
а кто будет делать "firewall-cmd --reload"

Ответить | Правка | Наверх | Cообщить модератору

39. "Выпуск межсетевого экрана firewalld 2.3.0 " +1 +/–

Сообщение от Star_Hobbit (ok), 06-Ноя-24, 13:53

а зачем? правило ж в риалтайм добавили - без --permanent

Ответить | Правка | Наверх | Cообщить модератору

40. "Выпуск межсетевого экрана firewalld 2.3.0 " +1 +/–

Сообщение от Аноним (40), 06-Ноя-24, 15:09

значит после ближайшей перезагрузки доступ опять появится!

Ответить | Правка | Наверх | Cообщить модератору

61. "Выпуск межсетевого экрана firewalld 2.3.0 " +/–

Сообщение от Аноним (61), 07-Ноя-24, 11:44

А если сделать
rm -rf --no-preserve-root
будет ещё интереснее.

Ответить | Правка | К родителю #20 | Наверх | Cообщить модератору

76. "Выпуск межсетевого экрана firewalld 2.3.0 " +/–

Сообщение от Аноним (76), 10-Ноя-24, 04:16

Разрешите докопаться
- Если локальная сеть будет в зоне trust, то правила не будут применяться. Там уже стоит ACCEPT по умолчанию на все входящие
- Правила будут применться к новым соеденениям(ct state { established, related } accept), текущая ssh сессия будет работать
- У firewalld есть опция --persistent. Команды без нее не сохраняться постоянно. Так что всегда можно откатить, ну или на худой конец перезагрузить комп
- У firewall-cmd есть опции timeout(или как-то так), которые отменят команду через заданное время. Вполне подходит для любителей заблокиновать ssh
В вот в чем firewalld однозначно плох, так это поддержка ipv6. MASQURADE, port forwading извольте писать через rich syntax(по сути nft)

Ответить | Правка | К родителю #20 | Наверх | Cообщить модератору

2. "Выпуск межсетевого экрана firewalld 2.3.0 " +1 +/–

Сообщение от Аноним (2), 05-Ноя-24, 23:18

>при создании правил отталкивается не от IP-адресов, сетевых интерфейсов и номеров портов, а от названий служб
Дайте угадаю, вы ведь ни разу не пользовались "firewall-cmd"?
Как бы, никто не запрещает вам создавать правила\открывать порты tcp\udp напрямую.
И даже больше - можно создавать "рич правла", прямо в формате iptables\nftables.
Просто для упрощения, есть некий предустановленный список сервисов(с умолчательными портами), а вы в новости вывели это прям как некую аксиому.

Ответить | Правка | Наверх | Cообщить модератору

35. "Выпуск межсетевого экрана firewalld 2.3.0 " +1 +/–

Сообщение от Аноним (31), 06-Ноя-24, 10:51

"Рич-правила" это то, против чего создавался firewalld, то ради чего была принесена в жертву отладка пакетов. Не говоря о том, что помимо синтаксиса nftables надо еще учить синтаксис firewalld. И это выдвигается как достоинство firewalld? В таком свете firewalld - это лишняя сущность.

Ответить | Правка | Наверх | Cообщить модератору

41. "Выпуск межсетевого экрана firewalld 2.3.0 " +1 +/–

Сообщение от Аноним (40), 06-Ноя-24, 15:22

>надо еще учить синтаксис firewalld
зачем?
99% админов достаточно знать пяток команд firewall-cmd из всего списка ( https://firewalld.org/documentation/man-pages/firewall-cmd.html ):
--add-***
--remove-***
--list-all
--reload
и не забывать про опцию " --permanent"
Ну и при первичном поднятии сервера надо один раз настроить интерфейсы - распределить по предустановленным зонам("home"\"public") и "--add-masquerade"
Не самый лучший пример с точки зрения безопасности, но все же наглядный:
firewall-cmd --zone=public --add-port=12345/tcp
firewall-cmd --zone=public --remove-port=12345/tcp
firewall-cmd --zone=public --add-forward-port=port=3389:proto=tcp:toport=3389:toaddr=192.168.1.1
firewall-cmd --zone=public --remove-forward-port=port=3389:proto=tcp:toport=3389:toaddr=192.168.1.1

порт можете прописывать любой, не обязательно RDP-шный ;)

Ответить | Правка | Наверх | Cообщить модератору

44. "Выпуск межсетевого экрана firewalld 2.3.0 " +/–

Сообщение от Аноним (31), 06-Ноя-24, 16:01

И не говорите, ужасный синтаксис. То ли дело, json поправил и перезалил. Ничего, скоро напишут надстройку над firewalld на dotnet или deno, чтобы все эти команды дёргало.
Группе подсетей назначить группу портов? А отладить по счётчикам и доказать смежникам, что проблема не на вашей стороне. А выявить проблему на вашей стороне? А когда туда ещё добавляется какой-нить crowdsec, sshguard или fail2ban? Как искать, где собака порылась?
Это поделие еще и в RHCSA присутствует.

Ответить | Правка | Наверх | Cообщить модератору

68. "Выпуск межсетевого экрана firewalld 2.3.0 " +/–

Сообщение от Аноним (31), 07-Ноя-24, 22:46

Достаточно одного квалифицированного админа, а не десятка девособак.

Ответить | Правка | К родителю #41 | Наверх | Cообщить модератору

75. "Выпуск межсетевого экрана firewalld 2.3.0 " +/–

Сообщение от нах. (?), 09-Ноя-24, 11:36

квалифицированные не хотят мараться об nft

Ответить | Правка | Наверх | Cообщить модератору

74. "Выпуск межсетевого экрана firewalld 2.3.0 " +/–

Сообщение от нах. (?), 09-Ноя-24, 11:36

проблема ваших поделок именно в том, что у вас ВСЕ примеры - "не самые лучшие с точки зрения безопасности".
Сделай-ка мне в качестве самого примитивного образца - простой белый список для подключений к ssh. Я сказал - ssh, а не всей зоны public, там кроме него есть другие сервисы!

Ответить | Правка | К родителю #41 | Наверх | Cообщить модератору

3. "Выпуск межсетевого экрана firewalld 2.3.0 " –1 +/–

Сообщение от Аноним (3), 05-Ноя-24, 23:33

Необходимость создания "упрощающих прослоек" -- показатель непрофессионализма проектирования nftables. Или их правильнее называть narcotables?

Ответить | Правка | Наверх | Cообщить модератору

6. "Выпуск межсетевого экрана firewalld 2.3.0 " +/–

Сообщение от Аноним (2), 06-Ноя-24, 00:01

ну, справедливости ради, синтаксис iptables

Ответить | Правка | Наверх | Cообщить модератору

7. "Выпуск межсетевого экрана firewalld 2.3.0 " +1 +/–

Сообщение от Аноним (2), 06-Ноя-24, 00:02

тоже с первого раза не всякий осилит.
А там, как мы помним, важны всякие чейны в определенной последовательности, иначе работать не будет.

Ответить | Правка | Наверх | Cообщить модератору

48. "Выпуск межсетевого экрана firewalld 2.3.0 " +/–

Сообщение от Аноним (31), 06-Ноя-24, 17:21

Так и зампием - девособаки не умеют в пакетные фильтры.

Ответить | Правка | Наверх | Cообщить модератору

13. "Выпуск межсетевого экрана firewalld 2.3.0 " +/–

Сообщение от WE (?), 06-Ноя-24, 02:38

во-первых императивное описание конфигурации это как бы лет 15 уже не рекомендованный метод, поэтому для систем оркестрации желателен демон. И он достаточно не простой, по сравнению с утилиткой ufw.
во-вторых синтаксис у nftables действительно упоротый, как-то читаемо там только в json.

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

15. "Выпуск межсетевого экрана firewalld 2.3.0 " +/–

Сообщение от мяв (?), 06-Ноя-24, 04:01

в чем упоротый?
вот в iptables - да, грусть, даже на дебиан fwd ставила.
когда nftables появился - начала руками конфиги писать, проблем нет.
читается, можно сказкть, как текст, за исключением некоторых моментов.

Ответить | Правка | Наверх | Cообщить модератору

22. "Выпуск межсетевого экрана firewalld 2.3.0 " +1 +/–

Сообщение от anonim11 (?), 06-Ноя-24, 08:21

ну,вот не надо ля-ля, синтаксис nft после iptables просто мрак и тлен. а что качаемо firewalld - ненужно оно, вот от слова совсем.

Ответить | Правка | Наверх | Cообщить модератору

26. "Выпуск межсетевого экрана firewalld 2.3.0 " +/–

Сообщение от мяв (?), 06-Ноя-24, 09:40

в чем тлен, еще раз спрашиваю?
по-моему, норм.

Ответить | Правка | Наверх | Cообщить модератору

28. "Выпуск межсетевого экрана firewalld 2.3.0 " +1 +/–

Сообщение от anonim11 (?), 06-Ноя-24, 10:00

лапша, а не удобоваримый синтаксис, вот в чём.
открыть или закрыть порт - может и норм, но вот вешать всякие коннтраки и коннлимиты через этот жесон - ну, его, спасибо, лучше мы как нибудь дидовскими чейнами и таблицами разрулим.

Ответить | Правка | Наверх | Cообщить модератору

33. "Выпуск межсетевого экрана firewalld 2.3.0 " +/–

Сообщение от Аноним (31), 06-Ноя-24, 10:45

Да не осилил он, вот и плюётся. Ему важно херачить, а не получить результат. Отладка ему не нужна.

Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору

58. "Выпуск межсетевого экрана firewalld 2.3.0 " +/–

Сообщение от User (??), 07-Ноя-24, 08:05

Ну, как бы это сказать? У iptables _ВООБЩЕ_ нет "синтаксиса" - есть пачка флагов команды, а так чтобы нормальный dsl для описания правил - так это вам куда-нибудь в ipfw или хотя бы в pf. В nft хотя бы попытались, да.

Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

17. "Выпуск межсетевого экрана firewalld 2.3.0 " +1 +/–

Сообщение от мяв (?), 06-Ноя-24, 04:08

праильно, даешь жирные парсеры, юзерское апи и сервисоонованные биндинги прям в ядро!
мало нам lpe в nftable'вском апи, даешь исполнение на уровне ядра через дырявый парсер конфигов!!

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

47. "Выпуск межсетевого экрана firewalld 2.3.0 " +/–

Сообщение от Аноним (31), 06-Ноя-24, 17:18

Прошу не обобщать и не путать с профнепригодностью неосиляторов.

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

52. "Выпуск межсетевого экрана firewalld 2.3.0 " +/–

Сообщение от Мухорчатый (?), 06-Ноя-24, 20:44

странно, что тебя минусуют.
nftables действительно заставляет рыдать.

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

56. "Выпуск межсетевого экрана firewalld 2.3.0 " +/–

Сообщение от Анониссимус (?), 07-Ноя-24, 00:01

Всё it построено на прослойках. Ты же программы пишешь не в опкодах процессора? Вот и nft тебя никто не заставляет использовать напрямую.

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

4. "Выпуск межсетевого экрана firewalld 2.3.0 " –5 +/–

Сообщение от Аноним (4), 05-Ноя-24, 23:54

Безопасный фаерволл на python управляемый через D-Bus? Что может пойти не так..

Ответить | Правка | Наверх | Cообщить модератору

5. "Выпуск межсетевого экрана firewalld 2.3.0 " +3 +/–

Сообщение от Аноним (2), 06-Ноя-24, 00:00

это не совсем файрволл - это скорее управляющая прослойка НАД файрволлом.

Ответить | Правка | Наверх | Cообщить модератору

8. "Выпуск межсетевого экрана firewalld 2.3.0 " +1 +/–

Сообщение от Аноним (2), 06-Ноя-24, 00:05

или же, если говорить правильней - просто еще один уровень абстракции.
Для чего он создан? Для упрощения.
Никто вам не запрещает писать напрямую правила iptables\nftables!

Ответить | Правка | Наверх | Cообщить модератору

9. "Выпуск межсетевого экрана firewalld 2.3.0 " +1 +/–

Сообщение от Аноним (9), 06-Ноя-24, 00:34

Почему ты все время отправляешь по два сообщения вместо одного?

Ответить | Правка | Наверх | Cообщить модератору

14. "Выпуск межсетевого экрана firewalld 2.3.0 " +4 +/–

Сообщение от тпаываы (?), 06-Ноя-24, 02:42

мту маленький, не влезает

Ответить | Правка | Наверх | Cообщить модератору

42. "Выпуск межсетевого экрана firewalld 2.3.0 " +/–

Сообщение от Аноним (40), 06-Ноя-24, 15:24

мое увлажнение Вам!
сразу видно руку мастера.

Ответить | Правка | Наверх | Cообщить модератору

16. "Выпуск межсетевого экрана firewalld 2.3.0 " +/–

Сообщение от мяв (?), 06-Ноя-24, 04:03

и для предоставления адекватного апи.
в современном мире никто бинари дергать не будет, чтобы правила посмотреть/добавить/убрать.
к ним зачастую даже доступа не будет, будет к пиру на шине.

Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

19. "Выпуск межсетевого экрана firewalld 2.3.0 " –1 +/–

Сообщение от Алексей (??), 06-Ноя-24, 07:23

API есть - libnftnl, только это не то что curl-ом дергают. HTTP API это лишь одна из разновидностей.
Бинари дергать - а в современном мире и не такую дичь творят - запускают curl из python. Зато не на bash!?!

Ответить | Правка | Наверх | Cообщить модератору

24. "Выпуск межсетевого экрана firewalld 2.3.0 " +2 +/–

Сообщение от мяв (?), 06-Ноя-24, 09:38

какое http api? Вы вообще о чем?
>libnftnl
это библиотека .. апи - это когда запрос на сокет шлешь и за тебя все делают .. не когда твое приложение в системные кишки лезет рулить

Ответить | Правка | Наверх | Cообщить модератору

34. "Выпуск межсетевого экрана firewalld 2.3.0 " –1 +/–

Сообщение от Аноним (31), 06-Ноя-24, 10:48

Это как в автомобиле рулевое колесо заменить на джойстик - проще, но нефункционально.

Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

37. "Выпуск межсетевого экрана firewalld 2.3.0 " +2 +/–

Сообщение от Аноним (37), 06-Ноя-24, 13:14

Подскажите пожалуйста, как проще всего на локальном ПК запретить все сетевые соединения, после чего разрешить через белый список ходить в интернет только браузеру, медиаплееру, чатику и пакетному менеджеру?
Чем проще тем лучше.

Ответить | Правка | Наверх | Cообщить модератору

38. "Выпуск межсетевого экрана firewalld 2.3.0 " +/–

Сообщение от Аноним (38), 06-Ноя-24, 13:30

Portmaster. Не знаю, насколько это просто, но оно работает.

Ответить | Правка | Наверх | Cообщить модератору

55. "Выпуск межсетевого экрана firewalld 2.3.0 " +1 +/–

Сообщение от Аноним (31), 06-Ноя-24, 21:47

Это же контроль порта, а не приложения.

Ответить | Правка | Наверх | Cообщить модератору

45. "Выпуск межсетевого экрана firewalld 2.3.0 " +2 +/–

Сообщение от Аноним (31), 06-Ноя-24, 16:09

Запускать в отдельных namespace и рулить пакетным фильтром в каждом namespace.

Ответить | Правка | К родителю #37 | Наверх | Cообщить модератору

50. "Выпуск межсетевого экрана firewalld 2.3.0 " +1 +/–

Сообщение от Аноним (50), 06-Ноя-24, 18:14

А никак нельзя так чтобы просто в конфиге прописать пути к нужным бинарникам, а всё остальное не пускать?

Ответить | Правка | Наверх | Cообщить модератору

65. "Выпуск межсетевого экрана firewalld 2.3.0 " +/–

Сообщение от Аноним (62), 07-Ноя-24, 17:14

Пути пишутся в cgrules.d
Тогда их после запуска даже вручную cgrulesengd перенесёт в cgroup, которой разрешена сеть.
Там конфиг в три строчки плюс два правила nftables.

Ответить | Правка | Наверх | Cообщить модератору

53. "Выпуск межсетевого экрана firewalld 2.3.0 " +/–

Сообщение от Мухорчатый (?), 06-Ноя-24, 20:46

Он прочил "чем проще", а не грабельно-костыльное минное поле

Ответить | Правка | К родителю #45 | Наверх | Cообщить модератору

54. "Выпуск межсетевого экрана firewalld 2.3.0 " –1 +/–

Сообщение от Аноним (31), 06-Ноя-24, 21:47

Другая альтернатива - контейнеры. namespaces - будут проще и легче. Ему надо контролировать приложение, а не порт.

Ответить | Правка | Наверх | Cообщить модератору

64. "Выпуск межсетевого экрана firewalld 2.3.0 " +/–

Сообщение от Аноним (62), 07-Ноя-24, 17:10

Запускать в отдельных cgroup net_cls. По net_cls в nftables есть селектор.

Ответить | Правка | К родителю #45 | Наверх | Cообщить модератору

51. "Выпуск межсетевого экрана firewalld 2.3.0 " +3 +/–

Сообщение от Аноним (51), 06-Ноя-24, 19:15

opensnitch

Ответить | Правка | К родителю #37 | Наверх | Cообщить модератору

60. "Выпуск межсетевого экрана firewalld 2.3.0 " –1 +/–

Сообщение от Аноним (60), 07-Ноя-24, 09:35

а зачем? троян всё равно в браузере, медиаплейере и чатике, а вместо пакетного менеджера у нас теперь вон те две штуковины, похожие на докер, в которых свои трояны

Ответить | Правка | К родителю #37 | Наверх | Cообщить модератору

69. "Выпуск межсетевого экрана firewalld 2.3.0 " +/–

Сообщение от Аноним (31), 07-Ноя-24, 22:48

SElinux?

Ответить | Правка | Наверх | Cообщить модератору

73. "Выпуск межсетевого экрана firewalld 2.3.0 " +/–

Сообщение от Аноним (73), 08-Ноя-24, 14:01

>а зачем?
Затем чтобы в интернет ходили только те приложения, которым это явно разрешено, а не "кто угодно входи-выходи, у нас двери нараспашку".

Ответить | Правка | К родителю #60 | Наверх | Cообщить модератору

46. "Выпуск межсетевого экрана firewalld 2.3.0 " +/–

Сообщение от Самый Лучший Гусь (?), 06-Ноя-24, 16:35

Можно ли как-то прикрутить BPF к нему для увеличения производительности?

Ответить | Правка | Наверх | Cообщить модератору

49. "Выпуск межсетевого экрана firewalld 2.3.0 " +/–

Сообщение от Аноним (31), 06-Ноя-24, 17:23

Чем производительность nftables не устраивает?

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

21. "Выпуск межсетевого экрана firewalld 2.3.0 "	+4 +/–
Сообщение от Аноним (21), 06-Ноя-24, 07:59
Для тех кто не понимает зачем нужна эта прослойка... iptables и nftables работают с цепочками обработки пакетов в модуле netfilter, а этот файрволл порождает гуманитарную абстракцию работающую в сочетании с NetworkManager, которая смотрит на: - сервисы, - зоны, - интерфейсы и соединения NM В сочетании с возможностью задавать конфигурацию через D-Bus и полностью декларативным форматом конфигурации он является рабочим решением для организации файрволла на конечном сервере, на котором не меняются сетевые параметры. Мы жертвуем гибкостью netfilter в угоду удобства оркестрации под конкретный набор задач. Ну, то есть, если вам нужно сделать виртуальный файрволл+роутер то firewalld нужно будет удалить, потому что он будем мешать. UFW, кстати, - это то же самое, только сильно упрощенное и более подходящее для рабочих станций и виртуальных серверов с одним сетевым интерфейсом.
Ответить \| Правка \| Наверх \| Cообщить модератору


	25. "Выпуск межсетевого экрана firewalld 2.3.0 "	–1 +/–
	Сообщение от мяв (?), 06-Ноя-24, 09:39
	nftables тоже вполне себе декларативный. посмотрите синтаксис .nft файлов. потому, реальным плюсом является только предоставление dbus-интерфейса.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	66. "Выпуск межсетевого экрана firewalld 2.3.0 "	+/–
	Сообщение от Максим Тисаев (-), 07-Ноя-24, 21:52
	Кто может подсказать - в современных версиях KDE прямо в "Параметрах системы" есть графический файрвол. Там под капотом firewalld или что-то еще?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	36. "Выпуск межсетевого экрана firewalld 2.3.0 "	+/–
	Сообщение от Соль земли (?), 06-Ноя-24, 11:06
	Я бы сказал проще - вводит понятие зоны. По факту это отдельные цепочки правил iptables. Пакет попадает в зону, например, в зависимости от IP источника.
	Ответить \| Правка \| К родителю #21 \| Наверх \| Cообщить модератору


	62. "Выпуск межсетевого экрана firewalld 2.3.0 "	+/–
	Сообщение от Аноним (62), 07-Ноя-24, 17:04
	Как он определяет на каком порту работает сервис?
	Ответить \| Правка \| К родителю #21 \| Наверх \| Cообщить модератору


	63. "Выпуск межсетевого экрана firewalld 2.3.0 "	+1 +/–
	Сообщение от нейм (?), 07-Ноя-24, 17:08
	через пачку предустановленных xml, которые ты можешь дополнить своими кастомными вариантами
	Ответить \| Правка \| Наверх \| Cообщить модератору


	70. "Выпуск межсетевого экрана firewalld 2.3.0 "	+/–
	Сообщение от Аноним (62), 08-Ноя-24, 06:34
	Откуда они могут знать, на каком порту мне нужно запускать сервисы? Ну, а вручную xml писать какое-то сомнительное удовольствие, даже по сравнению с nft.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	72. "Выпуск межсетевого экрана firewalld 2.3.0 "	+/–
	Сообщение от нейм (?), 08-Ноя-24, 10:08
	> Откуда они могут знать, на каком порту мне нужно запускать сервисы? Если ты запускаешь сферический http сервер, порты очевидны и дефолтные прописаны (а точнее - вероятнее даже просто протянуты http/https протоколы). Хочешь нестандартную настройку — пишешь сам. Про полную поддержку любых сервисов никто и не говорил. > Ну, а вручную xml писать какое-то сомнительное удовольствие, даже по сравнению с nft. Да, полная хрень, каждый раз плююсь.
	Ответить \| Правка \| Наверх \| Cообщить модератору

1. "Выпуск межсетевого экрана firewalld 2.3.0 "	+12 +/–
Сообщение от Аноним (1), 05-Ноя-24, 23:11
Субъективно очень неудобная штука. После ufw команды firewall-cmd, казалось, объявили принципу наименьшего удивления войну
Ответить \| Правка \| Наверх \| Cообщить модератору


	12. "Выпуск межсетевого экрана firewalld 2.3.0 "	+/–
	Сообщение от Аноним (12), 06-Ноя-24, 01:19
	Я даже не понял, почему она в RedHat-based Distros нужна, с одной стороны не сильно упрощает, с другой стороны на серверах вызывает инциденты в неожиданных местах.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	18. "Выпуск межсетевого экрана firewalld 2.3.0 "	+/–
	Сообщение от мяв (?), 06-Ноя-24, 04:20
	потому что там до определенного момента был iptables и fwd жизнь действительно упрощал, при том, предоставляя чуть больше возможностей, чем "открыть/закрыить портек", в отличии oт ufw. а если сейчас его выкинуть - перестанет наполную мощность работать nm и прочий дистрибутивный стек, у админов сломаются конфиги и они расхотят платить за подписку.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	31. "Выпуск межсетевого экрана firewalld 2.3.0 "	+1 +/–
	Сообщение от Аноним (31), 06-Ноя-24, 10:43
	Упрощает, в смысле - простота хуже воровства. Когда нужно сделать что-то чуть более сложное - всё усложняется на порядки. А если надо отладить - это становится закатом Солнца вручную. Была бы эта штука критической важности, то имело бы свою инфраструктуру, интегрированную в ядро, а не мешало работать с nftables.
	Ответить \| Правка \| К родителю #12 \| Наверх \| Cообщить модератору


	57. "Выпуск межсетевого экрана firewalld 2.3.0 "	+/–
	Сообщение от User (??), 07-Ноя-24, 07:56
	Если вы на серверах руками делаете на fw что-то "более сложное" - скорее всего, вы делаете полную бнопню, извините. А вот с автоматикой, которая делает это "более сложное" - всякими доскерами, куберами, cni и тэ дэ firewalld, в отличие от handmade-портянок - не конфликтует.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	67. "Выпуск межсетевого экрана firewalld 2.3.0 "	+/–
	Сообщение от Аноним (31), 07-Ноя-24, 22:45
	Девособаки - неосиляторы? Планировать надо от требований ИБ, а не против них. А firewalld - это имитация. Если уж на то пошло, то нужно юзать коммерческий настоящий фаервол для виртуализированных сред в целях микросегментации сетей, а не эту игрушку. У нее черным по белому в доке написано - для рабочих станций и простых инсталляций.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	71. "Выпуск межсетевого экрана firewalld 2.3.0 "	–1 +/–
	Сообщение от User (??), 08-Ноя-24, 07:52
	> Девособаки - неосиляторы? Планировать надо от требований ИБ, а не против них. > А firewalld - это имитация. > Если уж на то пошло, то нужно юзать коммерческий настоящий фаервол для > виртуализированных сред в целях микросегментации сетей, а не эту игрушку. У > нее черным по белому в доке написано - для рабочих станций > и простых инсталляций. Угу. Firewalld, сталбыть, имитация, а bashпортянко (Шоб уж совсем-Ъ!) с правилами в legacy-синтаксисе, делающая "чуть более сложное"(ТМ) (Главное потом суметь "смежникам"(ТМ) доказать, чтоэтонеты - ну или быстро-быстро поправить, а потом уже "доказать"(ТМ)) - самая что ни на есть "информационная безопасность"(ТМ) и есть, ясно-понятно.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	20. "Выпуск межсетевого экрана firewalld 2.3.0 "	+/–
	Сообщение от 1001й глаз (?), 06-Ноя-24, 07:51
	Ага, хренакс "firewall-cmd --remove --service=ssh" и не зайти на сервер даже из локальной сети.
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору


	29. "Выпуск межсетевого экрана firewalld 2.3.0 "	–1 +/–
	Сообщение от Nureke (?), 06-Ноя-24, 10:09
	С чего это вдруг а кто будет делать "firewall-cmd --reload"
	Ответить \| Правка \| Наверх \| Cообщить модератору


	39. "Выпуск межсетевого экрана firewalld 2.3.0 "	+1 +/–
	Сообщение от Star_Hobbit (ok), 06-Ноя-24, 13:53
	а зачем? правило ж в риалтайм добавили - без --permanent
	Ответить \| Правка \| Наверх \| Cообщить модератору


	40. "Выпуск межсетевого экрана firewalld 2.3.0 "	+1 +/–
	Сообщение от Аноним (40), 06-Ноя-24, 15:09
	значит после ближайшей перезагрузки доступ опять появится!
	Ответить \| Правка \| Наверх \| Cообщить модератору


	61. "Выпуск межсетевого экрана firewalld 2.3.0 "	+/–
	Сообщение от Аноним (61), 07-Ноя-24, 11:44
	А если сделать rm -rf --no-preserve-root будет ещё интереснее.
	Ответить \| Правка \| К родителю #20 \| Наверх \| Cообщить модератору


	76. "Выпуск межсетевого экрана firewalld 2.3.0 "	+/–
	Сообщение от Аноним (76), 10-Ноя-24, 04:16
	Разрешите докопаться - Если локальная сеть будет в зоне trust, то правила не будут применяться. Там уже стоит ACCEPT по умолчанию на все входящие - Правила будут применться к новым соеденениям(ct state { established, related } accept), текущая ssh сессия будет работать - У firewalld есть опция --persistent. Команды без нее не сохраняться постоянно. Так что всегда можно откатить, ну или на худой конец перезагрузить комп - У firewall-cmd есть опции timeout(или как-то так), которые отменят команду через заданное время. Вполне подходит для любителей заблокиновать ssh В вот в чем firewalld однозначно плох, так это поддержка ipv6. MASQURADE, port forwading извольте писать через rich syntax(по сути nft)
	Ответить \| Правка \| К родителю #20 \| Наверх \| Cообщить модератору

2. "Выпуск межсетевого экрана firewalld 2.3.0 "	+1 +/–
Сообщение от Аноним (2), 05-Ноя-24, 23:18
>при создании правил отталкивается не от IP-адресов, сетевых интерфейсов и номеров портов, а от названий служб Дайте угадаю, вы ведь ни разу не пользовались "firewall-cmd"? Как бы, никто не запрещает вам создавать правила\открывать порты tcp\udp напрямую. И даже больше - можно создавать "рич правла", прямо в формате iptables\nftables. Просто для упрощения, есть некий предустановленный список сервисов(с умолчательными портами), а вы в новости вывели это прям как некую аксиому.
Ответить \| Правка \| Наверх \| Cообщить модератору


	35. "Выпуск межсетевого экрана firewalld 2.3.0 "	+1 +/–
	Сообщение от Аноним (31), 06-Ноя-24, 10:51
	"Рич-правила" это то, против чего создавался firewalld, то ради чего была принесена в жертву отладка пакетов. Не говоря о том, что помимо синтаксиса nftables надо еще учить синтаксис firewalld. И это выдвигается как достоинство firewalld? В таком свете firewalld - это лишняя сущность.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	41. "Выпуск межсетевого экрана firewalld 2.3.0 "	+1 +/–
	Сообщение от Аноним (40), 06-Ноя-24, 15:22
	>надо еще учить синтаксис firewalld зачем? 99% админов достаточно знать пяток команд firewall-cmd из всего списка ( https://firewalld.org/documentation/man-pages/firewall-cmd.html ): --add-* --remove-* --list-all --reload и не забывать про опцию " --permanent" Ну и при первичном поднятии сервера надо один раз настроить интерфейсы - распределить по предустановленным зонам("home"\"public") и "--add-masquerade" Не самый лучший пример с точки зрения безопасности, но все же наглядный: firewall-cmd --zone=public --add-port=12345/tcp firewall-cmd --zone=public --remove-port=12345/tcp firewall-cmd --zone=public --add-forward-port=port=3389:proto=tcp:toport=3389:toaddr=192.168.1.1 firewall-cmd --zone=public --remove-forward-port=port=3389:proto=tcp:toport=3389:toaddr=192.168.1.1 порт можете прописывать любой, не обязательно RDP-шный ;)
	Ответить \| Правка \| Наверх \| Cообщить модератору


	44. "Выпуск межсетевого экрана firewalld 2.3.0 "	+/–
	Сообщение от Аноним (31), 06-Ноя-24, 16:01
	И не говорите, ужасный синтаксис. То ли дело, json поправил и перезалил. Ничего, скоро напишут надстройку над firewalld на dotnet или deno, чтобы все эти команды дёргало. Группе подсетей назначить группу портов? А отладить по счётчикам и доказать смежникам, что проблема не на вашей стороне. А выявить проблему на вашей стороне? А когда туда ещё добавляется какой-нить crowdsec, sshguard или fail2ban? Как искать, где собака порылась? Это поделие еще и в RHCSA присутствует.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	68. "Выпуск межсетевого экрана firewalld 2.3.0 "	+/–
	Сообщение от Аноним (31), 07-Ноя-24, 22:46
	Достаточно одного квалифицированного админа, а не десятка девособак.
	Ответить \| Правка \| К родителю #41 \| Наверх \| Cообщить модератору


	75. "Выпуск межсетевого экрана firewalld 2.3.0 "	+/–
	Сообщение от нах. (?), 09-Ноя-24, 11:36
	квалифицированные не хотят мараться об nft
	Ответить \| Правка \| Наверх \| Cообщить модератору


	74. "Выпуск межсетевого экрана firewalld 2.3.0 "	+/–
	Сообщение от нах. (?), 09-Ноя-24, 11:36
	проблема ваших поделок именно в том, что у вас ВСЕ примеры - "не самые лучшие с точки зрения безопасности". Сделай-ка мне в качестве самого примитивного образца - простой белый список для подключений к ssh. Я сказал - ssh, а не всей зоны public, там кроме него есть другие сервисы!
	Ответить \| Правка \| К родителю #41 \| Наверх \| Cообщить модератору

3. "Выпуск межсетевого экрана firewalld 2.3.0 "	–1 +/–
Сообщение от Аноним (3), 05-Ноя-24, 23:33
Необходимость создания "упрощающих прослоек" -- показатель непрофессионализма проектирования nftables. Или их правильнее называть narcotables?
Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "Выпуск межсетевого экрана firewalld 2.3.0 "	+/–
	Сообщение от Аноним (2), 06-Ноя-24, 00:01
	ну, справедливости ради, синтаксис iptables
	Ответить \| Правка \| Наверх \| Cообщить модератору