Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Выпуск межсетевого экрана firewalld 2.3.0 "	+/–
Сообщение от opennews (??), 05-Ноя-24, 23:11
Сформирован выпуск динамически управляемого межсетевого экрана firewalld 2.3, реализованного в форме обвязки над пакетными фильтрами nftables и iptables. Firewalld запускается в виде фонового процесса, позволяющего динамически изменять правила пакетного фильтра через D-Bus, без необходимости перезагрузки правил пакетного фильтра и без разрыва установленных соединений. Проект уже применяется во многих дистрибутивах Linux, включая RHEL 7+, Fedora 18+ и SUSE/openSUSE 15+. Код firewalld написан на языке Python и распространяется под лицензией GPLv2... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=62183
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по времени | RSS]

21. "Выпуск межсетевого экрана firewalld 2.3.0 "	+1 +/–
Сообщение от Аноним (21), 06-Ноя-24, 07:59
Для тех кто не понимает зачем нужна эта прослойка... iptables и nftables работают с цепочками обработки пакетов в модуле netfilter, а этот файрволл порождает гуманитарную абстракцию работающую в сочетании с NetworkManager, которая смотрит на: - сервисы, - зоны, - интерфейсы и соединения NM В сочетании с возможностью задавать конфигурацию через D-Bus и полностью декларативным форматом конфигурации он является рабочим решением для организации файрволла на конечном сервере, на котором не меняются сетевые параметры. Мы жертвуем гибкостью netfilter в угоду удобства оркестрации под конкретный набор задач. Ну, то есть, если вам нужно сделать виртуальный файрволл+роутер то firewalld нужно будет удалить, потому что он будем мешать. UFW, кстати, - это то же самое, только сильно упрощенное и более подходящее для рабочих станций и виртуальных серверов с одним сетевым интерфейсом.
Ответить | Правка | Наверх | Cообщить модератору

	25. "Выпуск межсетевого экрана firewalld 2.3.0 "	–1 +/–
	Сообщение от мяв (?), 06-Ноя-24, 09:39
	nftables тоже вполне себе декларативный. посмотрите синтаксис .nft файлов. потому, реальным плюсом является только предоставление dbus-интерфейса.
	Ответить | Правка | Наверх | Cообщить модератору

	36. "Выпуск межсетевого экрана firewalld 2.3.0 "	+/–
	Сообщение от Соль земли (?), 06-Ноя-24, 11:06
	Я бы сказал проще - вводит понятие зоны. По факту это отдельные цепочки правил iptables. Пакет попадает в зону, например, в зависимости от IP источника.
	Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

1. "Выпуск межсетевого экрана firewalld 2.3.0 "	+11 +/–
Сообщение от Аноним (1), 05-Ноя-24, 23:11
Субъективно очень неудобная штука. После ufw команды firewall-cmd, казалось, объявили принципу наименьшего удивления войну
Ответить | Правка | Наверх | Cообщить модератору

	12. "Выпуск межсетевого экрана firewalld 2.3.0 "	+/–
	Сообщение от Аноним (12), 06-Ноя-24, 01:19
	Я даже не понял, почему она в RedHat-based Distros нужна, с одной стороны не сильно упрощает, с другой стороны на серверах вызывает инциденты в неожиданных местах.
	Ответить | Правка | Наверх | Cообщить модератору

	18. "Выпуск межсетевого экрана firewalld 2.3.0 "	+/–
	Сообщение от мяв (?), 06-Ноя-24, 04:20
	потому что там до определенного момента был iptables и fwd жизнь действительно упрощал, при том, предоставляя чуть больше возможностей, чем "открыть/закрыить портек", в отличии oт ufw. а если сейчас его выкинуть - перестанет наполную мощность работать nm и прочий дистрибутивный стек, у админов сломаются конфиги и они расхотят платить за подписку.
	Ответить | Правка | Наверх | Cообщить модератору

	31. "Выпуск межсетевого экрана firewalld 2.3.0 "	+/–
	Сообщение от Аноним (31), 06-Ноя-24, 10:43
	Упрощает, в смысле - простота хуже воровства. Когда нужно сделать что-то чуть более сложное - всё усложняется на порядки. А если надо отладить - это становится закатом Солнца вручную. Была бы эта штука критической важности, то имело бы свою инфраструктуру, интегрированную в ядро, а не мешало работать с nftables.
	Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

	20. "Выпуск межсетевого экрана firewalld 2.3.0 "	–1 +/–
	Сообщение от 1001й глаз (?), 06-Ноя-24, 07:51
	Ага, хренакс "firewall-cmd --remove --service=ssh" и не зайти на сервер даже из локальной сети.
	Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

	29. "Выпуск межсетевого экрана firewalld 2.3.0 "	+/–
	Сообщение от Nureke (?), 06-Ноя-24, 10:09
	С чего это вдруг а кто будет делать "firewall-cmd --reload"
	Ответить | Правка | Наверх | Cообщить модератору

	39. "Выпуск межсетевого экрана firewalld 2.3.0 "	+/–
	Сообщение от Star_Hobbit (ok), 06-Ноя-24, 13:53
	а зачем? правило ж в риалтайм добавили - без --permanent
	Ответить | Правка | Наверх | Cообщить модератору

2. "Выпуск межсетевого экрана firewalld 2.3.0 "	+/–
Сообщение от Аноним (2), 05-Ноя-24, 23:18
>при создании правил отталкивается не от IP-адресов, сетевых интерфейсов и номеров портов, а от названий служб Дайте угадаю, вы ведь ни разу не пользовались "firewall-cmd"? Как бы, никто не запрещает вам создавать правила\открывать порты tcp\udp напрямую. И даже больше - можно создавать "рич правла", прямо в формате iptables\nftables. Просто для упрощения, есть некий предустановленный список сервисов(с умолчательными портами), а вы в новости вывели это прям как некую аксиому.
Ответить | Правка | Наверх | Cообщить модератору

	35. "Выпуск межсетевого экрана firewalld 2.3.0 "	+/–
	Сообщение от Аноним (31), 06-Ноя-24, 10:51
	"Рич-правила" это то, против чего создавался firewalld, то ради чего была принесена в жертву отладка пакетов. Не говоря о том, что помимо синтаксиса nftables надо еще учить синтаксис firewalld. И это выдвигается как достоинство firewalld? В таком свете firewalld - это лишняя сущность.
	Ответить | Правка | Наверх | Cообщить модератору

3. "Выпуск межсетевого экрана firewalld 2.3.0 "	–2 +/–
Сообщение от Аноним (3), 05-Ноя-24, 23:33
Необходимость создания "упрощающих прослоек" -- показатель непрофессионализма проектирования nftables. Или их правильнее называть narcotables?
Ответить | Правка | Наверх | Cообщить модератору

	6. "Выпуск межсетевого экрана firewalld 2.3.0 "	+1 +/–
	Сообщение от Аноним (2), 06-Ноя-24, 00:01
	ну, справедливости ради, синтаксис iptables
	Ответить | Правка | Наверх | Cообщить модератору

	7. "Выпуск межсетевого экрана firewalld 2.3.0 "	+1 +/–
	Сообщение от Аноним (2), 06-Ноя-24, 00:02
	тоже с первого раза не всякий осилит. А там, как мы помним, важны всякие чейны в определенной последовательности, иначе работать не будет.
	Ответить | Правка | Наверх | Cообщить модератору

	13. "Выпуск межсетевого экрана firewalld 2.3.0 "	–1 +/–
	Сообщение от WE (?), 06-Ноя-24, 02:38
	во-первых императивное описание конфигурации это как бы лет 15 уже не рекомендованный метод, поэтому для систем оркестрации желателен демон. И он достаточно не простой, по сравнению с утилиткой ufw. во-вторых синтаксис у nftables действительно упоротый, как-то читаемо там только в json.
	Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

	15. "Выпуск межсетевого экрана firewalld 2.3.0 "	+/–
	Сообщение от мяв (?), 06-Ноя-24, 04:01
	в чем упоротый? вот в iptables - да, грусть, даже на дебиан fwd ставила. когда nftables появился - начала руками конфиги писать, проблем нет. читается, можно сказкть, как текст, за исключением некоторых моментов.
	Ответить | Правка | Наверх | Cообщить модератору

	22. "Выпуск межсетевого экрана firewalld 2.3.0 "	–1 +/–
	Сообщение от anonim11 (?), 06-Ноя-24, 08:21
	ну,вот не надо ля-ля, синтаксис nft после iptables просто мрак и тлен. а что качаемо firewalld - ненужно оно, вот от слова совсем.
	Ответить | Правка | Наверх | Cообщить модератору

	26. "Выпуск межсетевого экрана firewalld 2.3.0 "	+/–
	Сообщение от мяв (?), 06-Ноя-24, 09:40
	в чем тлен, еще раз спрашиваю? по-моему, норм.
	Ответить | Правка | Наверх | Cообщить модератору

	28. "Выпуск межсетевого экрана firewalld 2.3.0 "	+/–
	Сообщение от anonim11 (?), 06-Ноя-24, 10:00
	лапша, а не удобоваримый синтаксис, вот в чём. открыть или закрыть порт - может и норм, но вот вешать всякие коннтраки и коннлимиты через этот жесон - ну, его, спасибо, лучше мы как нибудь дидовскими чейнами и таблицами разрулим.
	Ответить | Правка | Наверх | Cообщить модератору

	33. "Выпуск межсетевого экрана firewalld 2.3.0 "	+/–
	Сообщение от Аноним (31), 06-Ноя-24, 10:45
	Да не осилил он, вот и плюётся. Ему важно херачить, а не получить результат. Отладка ему не нужна.
	Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору

	17. "Выпуск межсетевого экрана firewalld 2.3.0 "	+1 +/–
	Сообщение от мяв (?), 06-Ноя-24, 04:08
	праильно, даешь жирные парсеры, юзерское апи и сервисоонованные биндинги прям в ядро! мало нам lpe в nftable'вском апи, даешь исполнение на уровне ядра через дырявый парсер конфигов!!
	Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

4. "Выпуск межсетевого экрана firewalld 2.3.0 "	–5 +/–
Сообщение от Аноним (4), 05-Ноя-24, 23:54
Безопасный фаерволл на python управляемый через D-Bus? Что может пойти не так..
Ответить | Правка | Наверх | Cообщить модератору

	5. "Выпуск межсетевого экрана firewalld 2.3.0 "	+3 +/–
	Сообщение от Аноним (2), 06-Ноя-24, 00:00
	это не совсем файрволл - это скорее управляющая прослойка НАД файрволлом.
	Ответить | Правка | Наверх | Cообщить модератору

	8. "Выпуск межсетевого экрана firewalld 2.3.0 "	+1 +/–
	Сообщение от Аноним (2), 06-Ноя-24, 00:05
	или же, если говорить правильней - просто еще один уровень абстракции. Для чего он создан? Для упрощения. Никто вам не запрещает писать напрямую правила iptables\nftables!
	Ответить | Правка | Наверх | Cообщить модератору

	9. "Выпуск межсетевого экрана firewalld 2.3.0 "	+1 +/–
	Сообщение от Аноним (9), 06-Ноя-24, 00:34
	Почему ты все время отправляешь по два сообщения вместо одного?
	Ответить | Правка | Наверх | Cообщить модератору

	14. "Выпуск межсетевого экрана firewalld 2.3.0 "	+2 +/–
	Сообщение от тпаываы (?), 06-Ноя-24, 02:42
	мту маленький, не влезает
	Ответить | Правка | Наверх | Cообщить модератору

	16. "Выпуск межсетевого экрана firewalld 2.3.0 "	+/–
	Сообщение от мяв (?), 06-Ноя-24, 04:03
	и для предоставления адекватного апи. в современном мире никто бинари дергать не будет, чтобы правила посмотреть/добавить/убрать. к ним зачастую даже доступа не будет, будет к пиру на шине.
	Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

	19. "Выпуск межсетевого экрана firewalld 2.3.0 "	–1 +/–
	Сообщение от Алексей (??), 06-Ноя-24, 07:23
	API есть - libnftnl, только это не то что curl-ом дергают. HTTP API это лишь одна из разновидностей. Бинари дергать - а в современном мире и не такую дичь творят - запускают curl из python. Зато не на bash!?!
	Ответить | Правка | Наверх | Cообщить модератору

	24. "Выпуск межсетевого экрана firewalld 2.3.0 "	+1 +/–
	Сообщение от мяв (?), 06-Ноя-24, 09:38
	какое http api? Вы вообще о чем? >libnftnl это библиотека .. апи - это когда запрос на сокет шлешь и за тебя все делают .. не когда твое приложение в системные кишки лезет рулить
	Ответить | Правка | Наверх | Cообщить модератору

	34. "Выпуск межсетевого экрана firewalld 2.3.0 "	–1 +/–
	Сообщение от Аноним (31), 06-Ноя-24, 10:48
	Это как в автомобиле рулевое колесо заменить на джойстик - проще, но нефункционально.
	Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

37. "Выпуск межсетевого экрана firewalld 2.3.0 "	+/–
Сообщение от Аноним (37), 06-Ноя-24, 13:14
Подскажите пожалуйста, как проще всего на локальном ПК запретить все сетевые соединения, после чего разрешить через белый список ходить в интернет только браузеру, медиаплееру, чатику и пакетному менеджеру? Чем проще тем лучше.
Ответить | Правка | Наверх | Cообщить модератору

	38. "Выпуск межсетевого экрана firewalld 2.3.0 "	+1 +/–
	Сообщение от Аноним (38), 06-Ноя-24, 13:30
	Portmaster. Не знаю, насколько это просто, но оно работает.
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема