The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Раздел полезных советов: Отключение Firewalld и возвращение ..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Раздел полезных советов: Отключение Firewalld и возвращение ..."  +/
Сообщение от auto_tips (??) on 26-Ноя-15, 09:58 
Использование применяемой по умолчанию в RHEL/CentOS 7 надстройки Firewalld не всегда очевидно, поэтому бывает удобнее вернуться к классическим скриптам работы с пакетным фильтром.

Установим классические сервисы для работы с iptables:

   yum install -y iptables-services

Настраиваем правила фильтрации в файлах /etc/sysconfig/iptables и /etc/sysconfig/iptables-config, например, можно сохранить текущие  правила firewalld:

   iptables-save > /etc/sysconfig/iptables

Завершаем работу firewalld и запускаем сервисы iptables:

   systemctl stop firewalld && systemctl start iptables

Проверяем, что используются новые правила:

   iptables -S
   iptables -L

Для восстановления резервной копии типовых правил с другой машины  можно воспользоваться командой iptables-restore:

   cat iptables.backup| iptables-restore -t
   service iptables save (или /usr/libexec/iptables/iptables.init save)

для возвращения настроек из /etc/sysconfig/iptables:

   systemctl reload iptables

Если всё нормально убираем активацию Firewalld при загрузке и запрещаем ручной запуск:

   systemctl disable firewalld
   systemctl mask firewalld

Активируем включение сервисов iptables при загрузке:

   systemctl enable iptables


URL:
Обсуждается: https://www.opennet.ru/tips/info/2926.shtml

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по ответам | RSS]

1. "Отключение Firewalld и возвращение к iptables в RHEL/CentOS 7"  –1 +/
Сообщение от Аноним (??) on 26-Ноя-15, 09:58 
Я правильно понимаю, что firewalld лучше подходит для десктопа, iptables - для сервера?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Отключение Firewalld и возвращение к iptables в RHEL/CentOS 7"  +/
Сообщение от _KUL (ok) on 26-Ноя-15, 12:34 
Есть хорошие GUI'и для айпи-таблиц, которые очень удобны для десктопов.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Отключение Firewalld и возвращение к iptables в RHEL/CentOS 7"  +/
Сообщение от Return76 on 26-Ноя-15, 13:21 
> Есть хорошие GUI'и для айпи-таблиц, которые очень удобны для десктопов.

А можно примеры этих самых GUI?

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Отключение Firewalld и возвращение к iptables в RHEL/CentOS 7"  +/
Сообщение от Аноним (??) on 26-Ноя-15, 13:48 
firewalld подходит для влажных фантазий его изобретателей, для реальной жизни лучше iptables
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

5. "Отключение Firewalld и возвращение к iptables в RHEL/CentOS 7"  +/
Сообщение от Аноним (??) on 26-Ноя-15, 15:57 
У них разный принцип конфигурирования. iptables привычней, firewalld проще. --permanent в f-d мне очень нравится. Зоны f-d - пока не понял, зачем они мне; для перемещаемого между разными сетями компьютера(ноута, планшета), наверно. Кроме синтаксиса конфигурирования и зон, есть еще какие-нибудь отличительные черты?
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

7. "Отключение Firewalld и возвращение к iptables в RHEL/CentOS 7"  +/
Сообщение от manofring email on 26-Ноя-15, 16:16 
Для firewalld хейторов пишу, firewalld это не часть systemd так что как говорят овчаркам фууу, типа не трогать. Зоны это преднастроеные профили, в каждом профиле указано какие сервисы в нем доступны, т.е. если у вас сервер в dmz, указываете соответсввующую зону и вот вам счастие...ну если вы полный нуб. Firewalld проще и понятнее iptables раз в 100, дауны которые не осиливают его не осилят iptables, доказано. Не нада на меня наезжаеть, у меня Убунта, но firewalld мне нравится. Кстати в нем есть готовые правила для порт-форвардинга, Маскарадинга причем это делается 2-3 командами и понятнее чем в iptables. И да, кстати системд это тоже вещь.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "Отключение Firewalld и возвращение к iptables в RHEL/CentOS 7"  +/
Сообщение от manofring email on 26-Ноя-15, 16:22 
> У них разный принцип конфигурирования. iptables привычней, firewalld проще. --permanent
> в f-d мне очень нравится. Зоны f-d - пока не понял,
> зачем они мне; для перемещаемого между разными сетями компьютера(ноута, планшета), наверно.
> Кроме синтаксиса конфигурирования и зон, есть еще какие-нибудь отличительные черты?

Ну если вы постоянно перемещаетесь вам проще иметь reject зону на вашем интерфейсе, интересный подход, особо если учесть что скорее всего ноут цепляется по вафле, а если RJ45, то вашему порту придет капец и довольно быстро. А че есть планшеты на федоре/ЦентОС/Рхел/ОралкЛинукс/СайтификЛинукс - просвятите?
Вы тока тока положили каменный топор(перешли на firewalld) и опять за старое(iptables привычней)?

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

10. "Отключение Firewalld и возвращение к iptables в RHEL/CentOS 7"  +/
Сообщение от Аноним (??) on 26-Ноя-15, 17:50 
iptables вместо firewalld может понадобиться, если захочется поставить fial2ban, он ток с iptables умеет работать
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "Отключение Firewalld и возвращение к iptables в RHEL/CentOS 7"  +/
Сообщение от manofring email on 26-Ноя-15, 18:41 
> iptables вместо firewalld может понадобиться, если захочется поставить fial2ban, он ток
> с iptables умеет работать

с firewalld можно свой fial2bun написать, примитивный конечно, с этим я согласен. Ручками много правил придумывать, опять таки файл2бан для нубов которые не паряца, виндоусюзеры его любят ставить на свои впс с мегасупер сайтами на джумле и то не все.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "Раздел полезных советов: Отключение Firewalld и возвращение ..."  +/
Сообщение от manofring email on 26-Ноя-15, 18:46 
А не проще скопировать все ваши новые правила в скрипт который rich rules в firewalld добавит? И правила старые и фаер текущий?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

13. "Отключение Firewalld и возвращение к iptables в RHEL/CentOS 7"  +/
Сообщение от Хренморжовый on 26-Ноя-15, 20:14 
gufw, не совсем для iptables, но самое удобное что есть для десктопа)
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

14. "Отключение Firewalld и возвращение к iptables в RHEL/CentOS 7"  +/
Сообщение от фцв on 26-Ноя-15, 21:27 
firewalld в fail2ban поддерживается
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

15. "Отключение Firewalld и возвращение к iptables в RHEL/CentOS 7"  +/
Сообщение от Добрый Дохтур on 27-Ноя-15, 14:31 
Пока firewalld - это кусок дурнопахнущей субстанции шоколадного цвета.
При этом он не умеет ipset со всеми вытекающими(и тоже дурно пахнущими) последствиями.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

16. "Отключение Firewalld и возвращение к iptables в RHEL/CentOS 7"  –1 +/
Сообщение от nftables on 29-Ноя-15, 15:54 
а кто юзал nftables?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

18. "Отключение Firewalld и возвращение к iptables в RHEL/CentOS 7"  +2 +/
Сообщение от pavlinux (ok) on 30-Ноя-15, 03:51 
> для нубов которые не паряца, виндоусюзеры

прорвало что ли? Ну тогда Розенталя для начала почитай. А то сам дебилом выглядишь  

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

19. "Отключение Firewalld и возвращение к iptables в RHEL/CentOS 7"  +/
Сообщение от Аноним (??) on 30-Ноя-15, 14:45 
Ура! Ждём статью про Systemd и журнал. Уверен что понадобится серьёзная пересборка всего, чтобы появились /etc/init.d/*
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

20. "Отключение Firewalld и возвращение к iptables в RHEL/CentOS 7"  +/
Сообщение от Продавец_кирпичиков_из_говна on 30-Ноя-15, 17:37 
> iptables вместо firewalld может понадобиться, если захочется поставить fial2ban, он ток
> с iptables умеет работать

Да ты шо, а поцаны то и не знають.
https://fedoraproject.org/wiki/Fail2ban_with_FirewallD

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

21. "Отключение Firewalld и возвращение к iptables в RHEL/CentOS 7"  +1 +/
Сообщение от Красные Глаза (ok) on 01-Дек-15, 00:33 
Умеет он все, через direct rules. Читай документацию, "линуксоид".
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

22. "Отключение Firewalld и возвращение к iptables в RHEL/CentOS 7"  +/
Сообщение от Аноним (??) on 01-Дек-15, 10:02 
Понятно, ты нам, братишкам, просто покушать принёс
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

23. "Отключение Firewalld и возвращение к iptables в RHEL/CentOS 7"  +/
Сообщение от Аноним (??) on 03-Дек-15, 00:10 
В чем прикол сравнивать ipt и надстройку для управления ipt?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

25. "Отключение Firewalld и возвращение к iptables в RHEL/CentOS 7"  –2 +/
Сообщение от pofigist on 06-Дек-15, 16:12 
О да, разумеется фаервол с зонным подходом плохо подходит для сервера, но хорошо - для десктопа. А то что его как iptables не надо каждый раз перезапускать при добавлении/изменении правила - делает его плохим выбором для сервера...
Кратко - firewalld первый в линаксах фаервал, который хоть отдаленно похож на такие современные решения как zbfw...
Гуй говорите не нужен? Я не хочу вас господа разочаровывать, но при планировании и развертование фаервола, прикрывающего не тлько гордый локалхост, а целую сеть - он необходим. Даже такие закоренелые поклонники командной строки как кошководы, когда речь заходит о фаерволе - сдаются и испольуют гуй...
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

27. "Отключение Firewalld и возвращение к iptables в RHEL/CentOS 7"  +/
Сообщение от Аноним (??) on 14-Дек-15, 20:25 
Бесполезная софтина. Дает сделать полторы элементарных вещи, да и то непрозрачно для юзера.
Декстопный фаервол должен интерактивно блокировать отдельные приложения и т д. Все еще нет, да.
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

28. "Отключение Firewalld и возвращение к iptables в RHEL/CentOS 7"  +/
Сообщение от Аноним (??) on 15-Дек-15, 04:11 
> Вы тока тока положили каменный топор(перешли на firewalld)

firewalld - лишь довесок к топору iptables. из лиан и шкурки гадюки. доступность для самых маленьких - единственное "достоинство". ну и возможности под стать.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

29. "Отключение Firewalld и возвращение к iptables в RHEL/CentOS 7"  +/
Сообщение от Аноним (??) on 15-Дек-15, 04:23 
> кошководы, когда речь заходит о фаерволе - сдаются и испольуют гуй...

так они виндовые мышевозилы. а из гуя не получится сделать сложные конфигурацию. на все возможности айпитаблеса галочки не нарисуешь. попробуй из гуя порткнок сделать и расскажи как получилось.

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

30. "Отключение Firewalld и возвращение к iptables в RHEL/CentOS 7"  +/
Сообщение от Аноним (??) on 15-Дек-15, 04:24 
> Умеет он все, через direct rules.

напрямую покомандовать айпитаблезом можно и без него. кусок питонятины который лишь генерирует правила iptables'у - штука странная и бесполезная.

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

31. "Отключение Firewalld и возвращение к iptables в RHEL/CentOS 7"  +/
Сообщение от Аноним (??) on 15-Дек-15, 05:01 
> с firewalld можно свой fial2bun написать, примитивный конечно,

не хватало кусок питона держать для генерации правил айпитаблеса.

> Ручками много правил придумывать, опять таки файл2бан для нубов которые не паряца,

правильно, ненубы сделают порткнок и банить станет некого, а у нубов их аналитика на питоне застрянет при нашествии ботнета. и не спасет вас fail2ban от распределенного брута.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

32. "Отключение Firewalld и возвращение к iptables в RHEL/CentOS 7"  +/
Сообщение от Аноним (??) on 15-Дек-15, 05:03 
ваш ник очень уместен в вашем сообщении.
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

33. "Отключение Firewalld и возвращение к iptables в RHEL/CentOS 7"  +/
Сообщение от Аноним (??) on 15-Дек-15, 05:12 
> всего, чтобы появились /etc/init.d/*

юниты systemd хранятся в другом каталоге.

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

34. "Отключение Firewalld и возвращение к iptables в RHEL/CentOS 7"  +/
Сообщение от pofigist email on 15-Дек-15, 07:51 
Возможности iptables? Не смешите мои тапочки - нет у него никаких достойных возможностей, да и модель дурацкая, типовая для примитивного персонального фаервола, но с традиционными для линакса ненужными усложнениями. Зачем мне знать все стадии обработки пакета ядром для написания правила? Глупость и непонятно зачем нужно - правильно спроектированный фаервол этого не требует, есть интерфейс, на нем есть входящий и исходящий трафик - от этого и танцуем. firewalld пытается хоть как-то исправить сей недостаток - получается плохо, но хорошо что хоть кто-то понимает что это необходимо сделать и пытается.
Про невменяемость синтаксиса iptables давно жодят легенды. Сравни его с синтаксисом полноценных фаерволов типа asa или zbfw и ужаснись. firewalld опять же пытается это исправить...
А на счет мышковозил - посмешил. Почти все на кошках удобней делать из консоли. Все кроме фаерволов. Просто пойми ты, гордый админ локалхоста, полноценный фаервол прикрывающий полноценную сеть - это действительно сложно. И без графического представления, группировки и т.д. - очень тяжко. Я понимаю что в своем линаксе ты просто не видел полноценных конфигураций - их в нем просто невозможно сделать, но ты просто поверь. Или возьми GNS и поэксперементируй...
Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

35. "Отключение Firewalld и возвращение к iptables в RHEL/CentOS 7"  +/
Сообщение от manofring email on 17-Дек-15, 13:55 
Троль пришел
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

36. "Отключение Firewalld и возвращение к iptables в RHEL/CentOS 7"  +/
Сообщение от ak (??) on 31-Дек-15, 09:03 
> Даже такие закоренелые поклонники командной строки как кошководы, когда речь заходит
> о фаерволе - сдаются и испольуют гуй...

Надо же, не знал. Запишу себе, а то как-то не хочется из моды выходить. ;)

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

37. "Отключение Firewalld и возвращение к iptables в RHEL/CentOS 7"  +/
Сообщение от ak (??) on 31-Дек-15, 09:06 
> и не спасет вас fail2ban от распределенного брута.

Чот у меня прям день открытий на OpenNet.

Правда, что ли, не спасёт? Серьёзно? А что, сломается? Или в F2B логика проверки распределённости брута встроена, и если она говорит, что брут распределённый, то пишем в логушку "А-А-А-А-А-А!!!" и зовём abort() ?-)

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

38. "Отключение Firewalld и возвращение к iptables в RHEL/CentOS 7"  +/
Сообщение от badmilkman (ok) on 12-Янв-16, 10:59 
> Зачем мне знать все стадии обработки пакета ядром для написания правила?

Например, чтобы компетентные "советы" локалхостерам давать

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру