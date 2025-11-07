firewalld - бесполезное нагромождение.

Разработчики позиционируют его как реализацию концепции Zonebased Firewall.\

При этом Zonebased firewall предназначен для систем с более, чем 1 интерфейсом.

идея заключается в описании зон с включением туда соответствующих интерфейсов

и правил взаимодействия между зонами, что упрощает и ускоряет разработку правил firewall.

Идея firewalld заключается в том, чтобы оградить неокрепшую психику от "сложных правил nftables".

В документации к firewalld вплоть до 9 верссии RHEL разработчики указывали, что firewalld

не подходит для маршрутизаторов и сложных инсталляций. С 10 версии скромно указывают, что

это подходит не для всех случаев.

Zero trust - не, не слышали, у нас default policy accept.

По факту же в настройках firewalld не найти механизмов описания правил взаимодействия зон друг с другом,

а типичное применение firewalld подразумевает простое открытие или блокирование входящих

соединений на локальные порты системы. Если требуется организовать полноценные списки доступа

для входящих соединений от хостов/сетей источников на определённые локальные порты, то добро

пожаловать в rich rules - т.е. изучайте nftables, но сначала изучите синтаксис firewalld.

При этом firewald лишает вас счётчиков, а нагромождение цепочек и бесполезных правил обфусцирует

путь прохождения пакета. Т.е. отладка и оптимизация правил по использованию становится практически невозможной.

Вы думаете, "изобретатели" firewalld написали нему что-то вроде packet-tracer/capture? Держите карман шире.

Фактически же firewalld можно заменить конструкцией, покрывающей большинство применений firewalld:

define IF_INT = { eth0 }

table ip filter {

set tcp_ports {

type inet_service

flags interval

elements = { 22, 80, 443 }

}

set udp_ports {

type inet_service

flags interval

elements = { 53, 123 }

}

chain INPUT {

type filter hook forward priority filter; policy drop;

iif "lo" accept

ct state vmap { established : accept, related : accept, invalid : drop } iif $IF_INT ct state new tcp dport @tcp_ports counter accept

iif $IF_INT ct state new udp dport @udp_ports counter accept icmp type timestamp-request counter drop

ip protocol icmp counter accept

}

}

При этом порты можно добавить командой:

nft add element filter tcp_ports '{2}'

удалить:

nft delete element filter tcp_ports '{2}'

Просмотреть:

nft list set filter tcp_ports

Посмотреть все правила:

nft list ruleset Сложно? Сравните это с монструозным firewalld. Ради этого стоило его городить?

Выводы:

1. firewalld - нефункционален,

2. firewalld - вреден,

3. Не умеете nftables - "не доверяйте ребёнку мужскую работу".

nftables - это мощный, функциональный и точный инструмент, который стоит изучать,

а не прятать за кучу нагромождений, которая ничего не может, а только мешает.

firewalld не привнёс ничего нового, а "с водой выплеснул и ребёнка".

