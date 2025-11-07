|
|1.1, сисадмин (?), 09:21, 07/11/2025 [ответить] [﹢﹢﹢] [ · · · ]
|+2 +/–
|
> firewall-cmd --reload
Ага, в случае с nftables не работает.
Только systemctl restart firewalld.service.
|
|
|
|2.14, Аноним (14), 11:09, 07/11/2025 [^] [^^] [^^^] [ответить]
|+/–
|
Что ты ожидаешь от тех, кто в третьем десятилетии 21 века до сих пор не умеет в строки?
> Максимальный размер имён правил увеличен с 17 до 128 символов
|
|1.2, Shellpeck (?), 09:24, 07/11/2025 [ответить] [﹢﹢﹢] [ · · · ]
|+7 +/–
|
firewalld - бесполезное нагромождение.
Разработчики позиционируют его как реализацию концепции Zonebased Firewall.\
При этом Zonebased firewall предназначен для систем с более, чем 1 интерфейсом.
идея заключается в описании зон с включением туда соответствующих интерфейсов
и правил взаимодействия между зонами, что упрощает и ускоряет разработку правил firewall.
Идея firewalld заключается в том, чтобы оградить неокрепшую психику от "сложных правил nftables".
В документации к firewalld вплоть до 9 верссии RHEL разработчики указывали, что firewalld
не подходит для маршрутизаторов и сложных инсталляций. С 10 версии скромно указывают, что
это подходит не для всех случаев.
Zero trust - не, не слышали, у нас default policy accept.
По факту же в настройках firewalld не найти механизмов описания правил взаимодействия зон друг с другом,
а типичное применение firewalld подразумевает простое открытие или блокирование входящих
соединений на локальные порты системы. Если требуется организовать полноценные списки доступа
для входящих соединений от хостов/сетей источников на определённые локальные порты, то добро
пожаловать в rich rules - т.е. изучайте nftables, но сначала изучите синтаксис firewalld.
При этом firewald лишает вас счётчиков, а нагромождение цепочек и бесполезных правил обфусцирует
путь прохождения пакета. Т.е. отладка и оптимизация правил по использованию становится практически невозможной.
Вы думаете, "изобретатели" firewalld написали нему что-то вроде packet-tracer/capture? Держите карман шире.
Фактически же firewalld можно заменить конструкцией, покрывающей большинство применений firewalld:
define IF_INT = { eth0 }
table ip filter {
set tcp_ports {
type inet_service
flags interval
elements = { 22, 80, 443 }
}
set udp_ports {
type inet_service
flags interval
elements = { 53, 123 }
}
chain INPUT {
type filter hook forward priority filter; policy drop;
iif "lo" accept
ct state vmap { established : accept, related : accept, invalid : drop }
iif $IF_INT ct state new tcp dport @tcp_ports counter accept
iif $IF_INT ct state new udp dport @udp_ports counter accept
icmp type timestamp-request counter drop
ip protocol icmp counter accept
}
}
При этом порты можно добавить командой:
nft add element filter tcp_ports '{2}'
удалить:
nft delete element filter tcp_ports '{2}'
Просмотреть:
nft list set filter tcp_ports
Посмотреть все правила:
nft list ruleset
Сложно?
Сравните это с монструозным firewalld. Ради этого стоило его городить?
Выводы:
1. firewalld - нефункционален,
2. firewalld - вреден,
3. Не умеете nftables - "не доверяйте ребёнку мужскую работу".
nftables - это мощный, функциональный и точный инструмент, который стоит изучать,
а не прятать за кучу нагромождений, которая ничего не может, а только мешает.
firewalld не привнёс ничего нового, а "с водой выплеснул и ребёнка".
|
|
|
|2.3, Аноним (3), 09:43, 07/11/2025 [^] [^^] [^^^] [ответить]
|+/–
|
Те, кому требуется более сложная настройка межсетевого экрана, могут отказаться от firewalld и использовать только nftables. Однако большинству пользователей будет удобнее настраивать межсетевой экран через графический интерфейс firewall-config. Этот инструмент отлично подходит для простых задач, таких как открытие bittorrent-lsd.
|
|
|
|3.6, Аноним (6), 09:58, 07/11/2025 [^] [^^] [^^^] [ответить]
|+2 +/–
|
Такое ощущение, что разработчики не знали, куда ещё можно пухтон пристроить.
|
|2.5, Аноним (5), 09:56, 07/11/2025 [^] [^^] [^^^] [ответить]
|+1 +/–
|
Спасибо. Вот за такие крупицы мудрости опытных людей - я и люблю опеннет.
|
|2.8, leap42 (ok), 10:03, 07/11/2025 [^] [^^] [^^^] [ответить]
|+1 +/–
|
К сожалению докер не поддерживает пока nftables. Если по работе нужно - приходится сидеть на firewalld 🤷♂️
|
|2.10, Ан333ним (?), 10:46, 07/11/2025 [^] [^^] [^^^] [ответить]
|+1 +/–
|
Какой смысл обвинять надстройку для нубов в том, что она не подходит для продвинутых пользователей.
|
|
|
|2.13, Жироватт (ok), 11:05, 07/11/2025 [^] [^^] [^^^] [ответить]
|+/–
|
Это монитор, стоящий между двумя доброкачественными рыбалочными сетками. На нем рыбу отрисовывают. И газету, для заворачивания.
|
|1.11, Аноним (14), 10:59, 07/11/2025 [ответить] [﹢﹢﹢] [ · · · ]
|+/–
|
> реализованного в форме обвязки над пакетными фильтрами nftables и iptables
И чем оно отличается от 100500 других "фаерволов"?
|
|
|
|2.12, Аноним (14), 11:05, 07/11/2025 [^] [^^] [^^^] [ответить]
|+/–
|
ufw default deny incoming
ufw allow ssh
как-то куда проще, чем сабж.
|