TL; DR W przypadku nowych instalacji na serwerze CentOS powinienem używać zapory ogniowej, czy po prostu ją wyłączyć i wrócić do używania /etc/sysconfig/iptables
?
firewalld i iptables służą do podobnych celów. Oba wykonują filtrowanie pakietów - ale jeśli dobrze to rozumiem, firewalld nie opróżnia całego zestawu reguł przy każdej zmianie.
Wiem dużo o iptables, ale bardzo mało o firewalld.
W Fedorze i RHEL / CentOS - tradycyjna konfiguracja iptables została wykonana /etc/sysconfig/iptables
. W przypadku zapory ogniowej konfiguracja trwa /etc/firewalld/
i jest zbiorem plików XML. Wydaje się, że Fedora zmierza w kierunku zapory ogniowej jako zamiennika tej starszej konfiguracji. Rozumiem, że firewalld używa iptables pod maską, ale ma również swój własny interfejs wiersza poleceń i format pliku konfiguracyjnego, jak wyżej - o tym mówię, jeśli chodzi o używanie jednego kontra drugiego.
Czy istnieje jakaś konkretna konfiguracja / scenariusz, do którego najlepiej pasuje każda z nich? W przypadku NetworkMangaer kontra sieć wydaje się, że chociaż NetworkManager mógł być zamiennikiem skryptów sieciowych, z powodu braku obsługi mostka sieciowego i kilku innych rzeczy, wiele osób po prostu nie używa go w konfiguracjach serwerów w wszystko. Wydaje się więc, że istnieje ogólna koncepcja „użyj NetworkManagera, jeśli korzystasz z Linuksa desktop/gui
, i sieci, jeśli korzystasz z serwera”. Właśnie to wybrałem po przeczytaniu różnych postów - ale przynajmniej daje wskazówki co do praktycznego wykorzystania tych rzeczy - przynajmniej w ich obecnym stanie.
Ale robiłem to samo z firewalld, po prostu wyłączałem go i używałem iptables. (Prawie zawsze instaluję Linux na serwerze, a nie na komputerze). Czy firewalld jest skutecznym zamiennikiem dla iptables i czy powinienem go używać na wszystkich nowych systemach?
iptables
. To tylko narzędzie front-end, jeśli spłukuje stoły, bo tak powiedziałeś.Odpowiedzi:
Ponieważ
firewalld
jest oparty na konfiguracji XML, niektórzy mogą pomyśleć, że łatwiej jest skonfigurować zaporę w sposób programowy. Można to osiągnąćiptables
równie dobrze, ale w inny sposób, który nie jest XML. Jeśli znasz już sposóbiptables
działania, dlaczego chcesz migrować całą konfiguracjęfirewalld
?Jeśli zastanowisz się nad swoim największym
iptables
zestawem reguł zapory, jak często uważasz, że skorzystałbyś z dynamicznego aspektufirewalld
? W większości przypadków wydajnośćiptables
nigdy nie jest problemem. W większości przypadków, w których wydajnośćiptables
jest problemem, można to naprawić za pomocąipset
opartych na źródłach / docelowych zestawów adresów IP.To inna debata, czy powinieneś używać NetworkManager.
źródło
iptables
jest w tym przypadku nieistotna, ponieważ powolność nastąpi niezależnie od tego, czy reguły są wstawiane zafirewalld
pomocąiptables
narzędzia, czy bezpośrednio .