firewalld vs iptables - коли використовувати [закрито]


29

TL; DR На нових установках сервера CentOS я повинен використовувати firewalld або просто відключити його та повернутися до використання /etc/sysconfig/iptables?


firewalld та iptables служать подібним цілям. Обидва роблять фільтрацію пакетів, але якщо я правильно це розумію, firewalld не омиває весь набір правил кожного разу, коли відбувається зміна.

Я знаю багато про iptables, але дуже мало про firewalld.

У Fedora та RHEL / CentOS - традиційна конфігурація iptables була виконана в /etc/sysconfig/iptables. З firewalld його конфігурація живе /etc/firewalld/і являє собою набір файлів XML. Здається, Fedora рухається до firewalld як заміну цієї застарілої конфігурації. Я розумію, що firewalld використовує iptables під кришкою, але у нього також є власний інтерфейс командного рядка та формат файлу конфігурації, як зазначено вище - про що я маю на увазі використання одного та іншого.

Чи є певна конфігурація / сценарій, для яких найкраще підходить кожен із них? У випадку з NetworkMangaer vs мережею, схоже, що, хоча NetworkManager може бути призначений як заміна мережевих скриптів, через відсутність підтримки мережевого мосту та кілька інших речей, багато людей просто не використовують його в налаштуваннях сервера на всі. Тож, мабуть, існує загальне поняття "використовувати NetworkManager, якщо ти в Linux desktop/gui, і мережу, якщо ти працюєш на сервері". Це саме те, що я підбираю під час читання різних дописів - але це принаймні дає керівництво щодо того, що є корисним для цих речей - принаймні, як вони стоять у своєму нинішньому стані.

Але я робив це саме з firewalld і просто вимикав його та використовував натомість iptables. (Я майже завжди встановлюю Linux на сервер, не для використання на робочому столі). Чи є firewalld ефективною заміною iptables і чи потрібно я просто його використовувати у всіх нових системах?


10
Firewalld використовує iptables під ними.
user9517 підтримує GoFundMonica

Звичайно, і це має сенс. Але очевидно, є велика різниця між тим, як ви зберігаєте свій конфігурацію та який інструмент ви використовуєте - iptables vs firewall-cmd, / etc / sysconfig / iptables vs /etc/firewalld/…/*.xml Я перегляну це питання трохи, щоб зробити це зрозумілішим.
bgp

Немає необхідності "промивати весь набір правил щоразу, коли з'являється шанс" iptables. Це просто інструмент переднього кінця, якщо він промиває таблиці, це тому, що ви йому це сказали.
геп

Для уточнення я маю на увазі "перезапуск iptables служби", що призводить до видалення та повторного додавання правил. (Хоча це все ще не впливає на стан з'єднання, що добре.) Ви, звичайно, можете просто запустити команду iptables з командного рядка, щоб змінити окремі правила - але я, як правило, намагаюся зберегти все в / etc / sysconfig / iptables і використовуйте команду "service", щоб дотримуватися конвенції, запропонованої інструментами, наданими дистрибутивом.
bgp

Відповіді:


12

Оскільки firewalldґрунтується на конфігурації XML, деякі можуть подумати, що налаштувати брандмауер простіше програмно. Цього можна досягти iptablesтак само, але іншим способом, який не є XML. Якщо ви вже знайомі з тим, як iptablesпрацює, чому б ви перемістили всю свою конфігурацію firewalld?

Якщо ви вважаєте свій найбільший iptablesнабір правил брандмауера, як часто, на вашу думку, ви отримаєте користь від динамічного аспекту firewalld? У більшості випадків ефективність роботи iptablesніколи не є проблемою. У більшості випадків, коли ефективність iptablesпроблеми може бути виправлена ​​за допомогою ipsetIP-наборів на основі джерела / призначення.

Це зовсім інші дискусії щодо того, чи слід використовувати NetworkManager чи ні.


3
Ефективність роботи iptablesв цьому випадку не має значення, оскільки повільність відбуватиметься незалежно від того, вставляти правила через інструмент firewalldчи безпосередньо з ним iptables.
геп
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.