Сформирован выпуск динамически управляемого межсетевого экрана firewalld 2.2, реализованного в форме обвязки над пакетными фильтрами nftables и iptables. Firewalld запускается в виде фонового процесса, позволяющего динамически изменять правила пакетного фильтра через D-Bus, без необходимости перезагрузки правил пакетного фильтра и без разрыва установленных соединений. Проект уже применяется во многих дистрибутивах Linux, включая RHEL 7+, Fedora 18+ и SUSE/openSUSE 15+. Код firewalld написан на языке Python и распространяется под лицензией GPLv2...Подробнее: https://www.opennet.me/opennews/art.shtml?num=61530
Люблю этот файрвол. Простой как сапог, как полено. Именно таким и должен быть файрвол для здоровых людей, ведущих активный образ жизни (не за канпуктерами то бишь).
Всё хорошо, только первое что делается в новых инсталляциях:
systemctl disable firewalld
Зачем? О_о
Потому что используется nftables/iptables, зачем же ещё. Это как с селинуксом.
SELinux отлично настраивается
если бы, убиться проще.
и вообще лишь бы аппармор не пользоваться.
Суицид не выход. Надо просто немного почитать документацию на SELinux. Все чичтать не надо, достаточно понимать 10% чтобы держаться на воде и все будет хорошо.
Или пользоваться другим. AppArmor, например.
Нет AppArmor )
"
$ rsync mirror.yandex.ru::ubuntu-releases/24.04/{SHA256SUMS,ubuntu-24.04-desktop-amd64.iso} ./
$ skipping non-regular file "ubuntu-24.04-desktop-amd64.iso"
"
Отлично настраиваются миллионы вещей в мире. Это не значит, что их надо все настраивать.
У вас роутер случаем не зуксель? Почему-то сразу об этом подумал.
Надо. Ты просто ленивый.
Ну я сам как-нибудь решу, чё мне настраивать. И в индустрии люди грамотные разберутся без указаний.
> SELinux отлично настраивается... автором ПО.
А если автор не настроил, то будет много поисковой деятельности, чтобы выловить всё, к чему обращается это ПО.
Что делает SELinux бесполезным, неприменимым.
> Потому что используется nftables/iptables, зачем же ещё. Это как с селинуксом.Глупостями занимаются люди. Не умеют готовить просто.
Профит от firewalld не очевиден, поэтому и занимаются. Проверенные решения для которых уже есть ансибл скрипты и гигатонны мануалов предоставляют такую же функциональность. Так что все логично.
Господи. Ему уже хорошо так больше 10 лет - давно и документация, и скрипты, и мануалы в наличии, но нет. "Лошадь себя еще покажет! - а в этой вашей фигне с колесами не понятно, куды овес класть..."
так 42й аноним и не говорил, что нет скриптов или мануалов. Просто профит от применения firewalld непонятен, особенно если человек уже давно написал нужный конфиг или имеет нужные скрипты.Разве что тебя устраивает дефолт или у тебя куча всего nftables и iptables и ты хочешь "универсальный" подход
> так 42й аноним и не говорил, что нет скриптов или мануалов. Просто
> профит от применения firewalld непонятен, особенно если человек уже давно написал
> нужный конфиг или имеет нужные скрипты.
> Разве что тебя устраивает дефолт или у тебя куча всего nftables и
> iptables и ты хочешь "универсальный" подходУфффф... Firewalld если что - старше nftables, а iptables и вовсе уже не устанавливоемое по дефолту legacy - и вот нахрена такой геморрой на саппорте? Нет, если вы с дивана nm выпилили, net-tools установили и ifconfig'ом сеть конфигуряете, чтобы четвертьвековые скрипты не менять - то я такой подход немного даже уважаю, но всё-таки нет)
Не надо подменять правду на свои заблуждения. Nftables появился в ядре 3.13, а это 2014 год.
Firewalld - рабочий релиз лишь в 2015.
Nftables/iptables самодостаточны. Firewalld - всего лишь надстройка над nftables/iptables. О чем вообще говорить?
Поделка, упрощающая жизнь домохозяйкам, не более.
> Не надо подменять правду на свои заблуждения. Nftables появился в ядре 3.13,
> а это 2014 год.
> Firewalld - рабочий релиз лишь в 2015.
> Nftables/iptables самодостаточны. Firewalld - всего лишь надстройка над nftables/iptables.
> О чем вообще говорить?
> Поделка, упрощающая жизнь домохозяйкам, не более.Ухтыжлапочка! А что там по дефолту в FC18 в 2013 году воткнуто было не напомнишь? В 2015 firewalld на github мигрировал - но об этом ясно-понятно в репе информации нет и что там раньше было - ты не нашел, с чем я тебя и поздравляю :).
Что до nftables per se - то из стадии "ненужное ненужно в active developement" оно добралось до production ready в виде дефолта в дистрибутивах хорошо если году к двадцатому...
> А что там по дефолту в FC18 в 2013 году воткнуто было не напомнишь?а поддержка nftables в firewalld вышла из "technology preview" в 2018?
>> А что там по дефолту в FC18 в 2013 году воткнуто было не напомнишь?
> а поддержка nftables в firewalld вышла из "technology preview" в 2018?А хз если честно. В rhel оно в районе 8.2 доехало, чотам в федоре было не особо интересно. В debian вроде в buster nftables дефолтом стал - как раз 2020 вроде.
А что так сразу домохозяйкам?
Мне вот поначалу (давным давно) очень даже зашёл gtk-iptables.
Так на это и бы расчет, что домохозяйкам зайдёт.
А ты всё ещё настраиваешь файрвол заклинаниями из командной строки? И как там твой локалхост? Надёжно закрыт тридцатью слоями боевой магии? Тем временем примерно все коммерческие ngfw данным давно через гуи настраиваются (например Cisco ASA 5550 с 2013 года - EoL и в ней тогда уже был gui).
> Уфффф... Firewalld если что - старше nftablesтак профит в том, что он старше?
> и вот нахрена такой геморрой на саппорте?
или профит в поддержке легаси? так старые скрипты никуда не девались, а легаси свое отжило и было заменено
> Нет, если вы с дивана nm выпилили, net-tools установили и ifconfig'ом сеть конфигуряете, чтобы четвертьвековые скрипты не менять
так обновили скрипты — заменили iptables на nft, заодно обновили правила под новые возможности. Надо было выбрать firewalld вместо nft чтобы что? В надежде, что он переживет nft и автоматом конвертирует правила под новый фаервол?
Не-не-не. Вот почему с iptables на nftables мигрировать окнорм (и не надо про автоматику, да?) - а на firewalld "этажискрыптыправить, а у нас лапки!"?
А так да, без достаточно серьёзных "why not" надо было в районе 7ой центоси на дефолт дистрибутива переходить.
> Не-не-не. Вот почему с iptables на nftables мигрировать окнормЗаменили бы iptables на firewalld — тоже было бы норм, но он без iptables/nftables не работает.
> а на firewalld "этажискрыптыправить, а у нас лапки!"?
да не лапки, просто непонятно зачем (ну вот не сталкивался я с таким, где он прям нужен, молод еще)
>> Не-не-не. Вот почему с iptables на nftables мигрировать окнорм
> Заменили бы iptables на firewalld — тоже было бы норм, но он
> без iptables/nftables не работает.
>> а на firewalld "этажискрыптыправить, а у нас лапки!"?
> да не лапки, просто непонятно зачем (ну вот не сталкивался я с
> таким, где он прям нужен, молод еще)"Нет, если вы с дивана nm выпилили, net-tools установили и ifconfig'ом сеть конфигуряете, чтобы четвертьвековые скрипты не менять - то я такой подход немного даже уважаю, но всё-таки нет)"(Ц)
ок, убедил. Ушел ставить нетплан, снап или чего там сейчас еще "по дефолту" в дистрибутивах
Ээээ, пжди - что значит "ставить", оно ж по дефолту! Или ты эта... посносить успел?!
Так чо ж это я - угадал насчет ifcofig'а, получается? Дела...
> Или ты эта... посносить успел?!а снап уже и в центоси дефолт?! ну раз мы все про неё да про неё
> Так чо ж это я - угадал насчет ifcofig'а, получается?
не, systemd-networkd в основном и пара nm. В дебиане нет firewalld в дефолте
>> Или ты эта... посносить успел?!
> а снап уже и в центоси дефолт?! ну раз мы все про
> неё да про неё
>> Так чо ж это я - угадал насчет ifcofig'а, получается?
> не, systemd-networkd в основном и пара nm. В дебиане нет firewalld в
> дефолтеКакая-то шизофрения, простите. Ещё раз - выбираете дистрибутив и используете _его_ дефолтный тулинг, если у вас нет ОЧЕНЬ серьёзных причин делать иначе.
Ну и да, почему networkd/nm - это жеж сколько скрЫптов переписать пришлось? Сидели бы на devuan'е - горя не знали...
Да хоть 100 лет, непонятно зачем он нужен, когда есть такие же решения, под которые есть _уже_ вся обвязка. Чтобы что?
> Да хоть 100 лет, непонятно зачем он нужен, когда есть такие же
> решения, под которые есть _уже_ вся обвязка. Чтобы что?"Нет, если вы с дивана nm выпилили, net-tools установили и ifconfig'ом сеть конфигуряете, чтобы четвертьвековые скрипты не менять - то я такой подход немного даже уважаю, но всё-таки нет)"(Ц)
Не, финт ушами не пройдет) Firewalld не является обязательным элементом и не несёт никакой добавленной стоимости. Так что это вы с дивана нам тут вещаете, пока вам говорят бест практис в индустрии.
> Не, финт ушами не пройдет) Firewalld не является обязательным элементом и не
> несёт никакой добавленной стоимости. Так что это вы с дивана нам
> тут вещаете, пока вам говорят бест практис в индустрии.А ip по сравнению с ifconfig - является и несёт? А nm по сравнению с ifcfg-eth0?
> А ip по сравнению с ifconfig - является и несёт?ifconfig на момент его закапывания имел проблемы с отображением настроек сделанных через ip и пр.
> А nm по сравнению с ifcfg-eth0?разве что на десктопе/ноутбуке
>> А ip по сравнению с ifconfig - является и несёт?
> ifconfig на момент его закапывания имел проблемы с отображением настроек сделанных через
> ip и пр.Так не пользуйтесь ip - и проблем с отображением не будет, делов-то. Еще и скрЫпты четвертьвековой давности менять не придется.
>> А nm по сравнению с ifcfg-eth0?
> разве что на десктопе/ноутбукеНу, т.е. на серверах - вы ifcfg и дергаете?
> А ip по сравнению с ifconfig - является и несёт?внезапно, да. Это прямой интерфейс к механизмам ядра, а не прослойка поверх прокладки.
Причем это _другой_ интерфейс (ifconfig потому только до сих пор и жив, что в теории очень очень теоретически может оказаться где-то такое суперуникальное ведро что там сэкономили целых полтора килобайта и ip не работает в принципе) и в старый запихать все параметры которыми оно управляет - не то чтоб совсем невозможно, но выйдет неописуемо уродливо, см. freebsd.
> А nm по сравнению с ifcfg-eth0?
оверинжинеренная хрень для любителей дрисктопов. (в отличие от firewalld который действительно упрощает конфигурацию простых случаев, это - набор костылей и подпорок для альтернативно-одаренных не могущих в конфиги, эту самую конфигурацию делающий максимально неудобной для всех остальных).
К счастью, редхат пока сохранил ifcfg, а убунта вообще нашла обходной путь (таки добавив прослойку к прокладке, но та действительно упрощает настройку и причем не только тривиальных конфигураций)
>> А ip по сравнению с ifconfig - является и несёт?
> внезапно, да. Это прямой интерфейс к механизмам ядра, а не прослойка поверх
> прокладки.Для _программиста_ возможно - а для пользователя не все ли равно, "прослойка", "прокладка" или аж прям прямой интерфейс к? Нет, есть конечно сыроеды, которые в борьбе с вот этим всем к плодам матери-земли непосредственно приникают - но кагбээ...
> Причем это _другой_ интерфейс (ifconfig потому только до сих пор и жив,
> что в теории очень очень теоретически может оказаться где-то такое суперуникальное
> ведро что там сэкономили целых полтора килобайта и ip не работает
> в принципе) и в старый запихать все параметры которыми оно управляет
> - не то чтоб совсем невозможно, но выйдет неописуемо уродливо, см.
> freebsd.Ну вот как раз во фре - вполне даже ничего вышло. В линуксьях да, уродливо - но они _в принципе_ в дизайн (Даже cli-утилит) не способны - куды не глянь. Хоть в iptables, хоть в git... ip по сравнению с linux'овывм ifcofig'ом получше конечно - но тоже такоэ.
>> А nm по сравнению с ifcfg-eth0?
> оверинжинеренная хрень для любителей дрисктопов. (в отличие от firewalld который действительно
> упрощает конфигурацию простых случаев, это - набор костылей и подпорок для
> альтернативно-одаренных не могущих в конфиги, эту самую конфигурацию делающий максимально
> неудобной для всех остальных).Ну вот кто бы спорил... networkd кстати малость даже получше смотрится ).
> К счастью, редхат пока сохранил ifcfg, а убунта вообще нашла обходной путь
> (таки добавив прослойку к прокладке, но та действительно упрощает настройку и
> причем не только тривиальных конфигураций)Дблин. Ну что вы так к прослойкам-к-прокладке относитесь? Машина небось с АКПП и гидроусилителем руля - или вот сцепление без синхронизатора и рулить реечкой? Вполне нормально netplan получился - тот случай, когда "дополнительный" уровень абстракции не "лишний".
> Для _программиста_ возможно - а для пользователя не все ли равноА пользуемому и не надо задавать такие вопросы. Пусть дальше смотрит свой тик-ток.
Он все равно ни тем ни другим не пользуем.
> Ну вот как раз во фре - вполне даже ничего вышло.
наоборот, во фре вышло редкостное г-но с нерегулярным синтаксисом, в котором сам чорт ногу сломит, миллионом параметров (потому что специфичное для разных драйверов и разных сетей попытались затолкать в одну команду) которые невозможно запомнить, и man-"страничкой" на пару тыщ строк.
Отдельно рекомендую к почитанию прекрасную идею с local0, угадай что он сегодня означает.Причем если в линуксе еще можно предположить что ifconfig может пригодиться для совместимости с какими-нибудь замшелыми скриптами 80х годов прошлого века, ему постарались сохранить тот самый синтаксис, то во фре и совместимости давным-давно нет, и вменяемости нет.
> Дблин. Ну что вы так к прослойкам-к-прокладке относитесь? Машина небось с АКПП
акпп не является прослойкой к прокладкам. Это принципиально другая конструкция _вместо_. А вот "роботизированные" коробки с сухим сцеплением "за что-то" все очень не любят. Затодешовенькие, поэтому что-то с нормальным гидравлическим автоматом сейчас - сильно поискать, а скоро их вообще не будет.
>> Потому что используется nftables/iptables, зачем же ещё. Это как с селинуксом.
> Глупостями занимаются люди. Не умеют готовить просто.Как по памяти написать анти-DDoS правило... С хорошим логгированием, чтобы в логи не чрезмерно часто записывало... С переключениями на лету.
Ищут простых решений сложных ситуаций. Но такой софт если хороший, то будет сложен как ЛибреОФис, например. Либо будет тяжёлый в настройке. Либо будет уметь кроме HTTP и ICMP, да и только.
>>> Потому что используется nftables/iptables, зачем же ещё. Это как с селинуксом.
>> Глупостями занимаются люди. Не умеют готовить просто.
> Как по памяти написать анти-DDoS правило... С хорошим логгированием, чтобы в логи
> не чрезмерно часто записывало... С переключениями на лету.
> Ищут простых решений сложных ситуаций. Но такой софт если хороший, то будет
> сложен как ЛибреОФис, например. Либо будет тяжёлый в настройке. Либо будет
> уметь кроме HTTP и ICMP, да и только.Точно также как и везде.
Это, наверное, такой вид садо-мазохизма. Установить сервис, а потом сделать ему systemctl disable... На вопрос - А зачем устанавливал, ответа, думаю, не последует. А может устанавливать под дулом пистолета заставляют?
Эх, сейчас бы научится читать и понимать прочитанное...
Наверное потому что в рхел, центос и пр. оно ставится по умолчанию, не?
Вы дали ответ для человека-разумного. Автор поста, на который Вы ответили, из другой эволюционной ветки гоминоидов.
firewalld используется в CentOS, а там по умолчанию все новые пакеты ставятся disabled
Ну вот правильно же выше написали: "А может устанавливать под дулом пистолета заставляют?"
Пакеты, которые не были установлены в системе, конечно, disabled. А все предустановленные, включая firewalld, конечно, enabled.
Я бы ещё от systemctl избавился. Просто не ставлю его.
В первом предложения использовано будущее время - заявляются намерения. Во второй используется прошедшее - дается описание свершившимся фактам.
Вы осознаёте то, что пишите?
Вам требуется разжевать на полстранички?
Ты на своей собственной дженту или ещё какой слаке можешь как угодно развлекаться.
И правильно делают.
Еще одна правильная "настройка":
apt purge firewalld / dnf remove firewalldЭтот "велосипед" с квадратными колёсами, у которого ещё и "руль" спрятан. Как там трассировать пакеты по правилам? Для более менее гибкой настройки оно переизобретает всё то, что уже есть в nftables, но без счётчиков и прочих плюшек. За ради почему? Зачем тогда учить два синтаксиса, если можно просто один раз изучить nftables и собрать на нём хоть чёрта лысого без всяких жирных демоном на пухтоне?
Одно у тебя для настройки и чтобы правила не слетали, а с другого собирай статистику сколько влезет если так нужно. Никто nft list ruleset у тебя не отбирает.
"ruleset" может быть очень сложен, после автогенератора правил, учитывающего все возможные случаи и удобства неизвестного заранее пользователя. А тогда "nft list ruleset" НЕполезен из-за монструозности правил автогенератора.Keep it simple. Или придётся городить второй Apple, до размера которого сабжу как до соседней планеты.
Абсолютно уродский и непонятный интерфейс.1) В какой зоне я сейчас нахожусь? ХЗ.
2) Как посмотреть правила для определенной зоны? ХЗ.
3) Где посмотреть текущие правила? ХЗ.
4) Что такое permanent и runtime правила и вообще зачем это надо? ХЗ.Откройте Windows Firewall - да, одна тупая страница со всеми правилами и всё понятно.
1) --get-default-zone что бы узнать зону по умолчанию, а вообще это интерфейсы в разных зонах, если их больше одного
2) --zone={имя зоны} --list-all
3) --list-all - для дефолтной, --list-all-zone - для всех зон
4) правила которые сохранятся или не сохранятся при перезапуске сервиса (или перезагрузке системы). зачем сбрасывать правило при рестарте, ну как минимум можно все настроить, проверить, и только после этого сохранить как постоянные.
Чувак, да я сам с нуля накатал правила что для iptables, что для nftables. Там всё чётко и понятно и нет гор мусора. Не надо мне эту пар*шу непонятную.Оно нелогично и слишком сложно, точка. Сделали для якобы упрощения, а получилось в итоге хуже.
Ещё раз, глянь на Windows Firewall и сразу станет очевидно, что там делали для людей, а в Линуксе надмозги сделали для надмозгов.
Единственно, недавно понял, что правила для ip6 немного неправильные (раньше работали) - после 15 минут отладки всё заработало, после чего IPv6 отключил к чертям, ибо оно несовместимо с VPN. Трафик течёт. Конечно, можно изгаляться и отключать IPv6 после подключения к VPN, но это может нечаянно сломаться с любой момент, поэтому к чёрту.
>Оно нелогично и слишком сложно, точкаНе осилил, ясно. Сразу бы с этого начал.
Золотые слова бро! ППКС
В виндовс файрвол настраивается и используется интуитивно, отличный инструмент, образец как надо делать что то для обычных пользователей.
Те у кого настройка чего либо (не работа) это хобби/работа это отдельная тема.
Что за ерунда с несовместимостью ipv6 и VPN? Может маршрутизацию просто настроить?
Файрвол для здоровых людей должен выглядеть так
https://gitflic.ru/project/don_venchenzo/gshorewall
Такая же фигня как firewalld.Не должно быть у менеджера сетевых правил "интерфеса", точка.
Вы создаёте правила и говорите, либо оно для всех, либо для одного.
Всё это должно быть в одном понятном списке:
https://i.sstatic.net/soWUR.png
Вот это предельно ясно и понятно и можно отсортировать любым способом.
Если картинка не открывается, можно посмотреть здесь:https://security.stackexchange.com/questions/163557/why-the-...
Берете vim и ручками пишите в файл rules ваши правила.
> Не должно быть у менеджера сетевых правил "интерфеса", точка.Так их и нет в firewalld. Есть правила зоны.
> Вы создаёте правила и говорите, либо оно для всех, либо для одного.
Ну, то есть либо ты открываешь порт "со всех доступных сторон", либо не открываешь совсем? Я понимаю, что идея что компьютер может исполнять роль гранчиного фаервола на стыке двух и более сетей - дикая, для этого нужно D-Linkпокупать, да?
> Вот это предельно ясно и понятно и можно отсортировать любым способом.
А уж компьютер без гуя вообще от лукавого? "New-NetFirewallRule -DisplayName "Allow HTTP" -Protocol TCP -LocalPort 80 -Action Allow" сильно проще и удобнее.
> Я понимаю, что идея что компьютер может исполнять роль гранчиного фаервола на стыке двух
> и более сетей - дикая, для этого нужно D-Linkпокупать, да?для этого достаточно правил форварда. Отдельных совершенно от правил доступа.
И таки единственое неоспоримое достоинство линукса - что у него уже 25 лет они - отдельны.
(фиредырды таки успешно сводит и это к х-ю - поскольку файрволом как раз и не является)У вендыпоганой для этого надо было покупать isa, который сперва превратили в tmg (обло, озорно, стозевно и cepит под себя) а потом со словами "брр, что это за х-ню мы породили?!" тем чем породили, тем и убили. Причем это точно были не руки. Теперь таки надо покупать - дырлинк. С linoops но без firewalld (последнее неточно). MS слилась.
> А уж компьютер без гуя вообще от лукавого? "New-NetFirewallRule -DisplayName "Allow HTTP"
> -Protocol TCP -LocalPort 80 -Action Allow" сильно проще и удобнее.а он уже был открыт. Приятного тебе развлечения безгуя выяснять, каким из стапитисот возможных способов, если ты заранее не знаешь как называется это правило и сколько их.
И это только пакетный фильтр локалхоста. Попробовал бы ты поадминить tmg.
У нас весь отдел (включая и меня, вроде как не должно было касаться, но вот) три дня бухал, рвал баяны и жег фейерверки когда мы эту хтонь сумели заменить на железки. (и свалить их обслуживание на сетевое подразделение, хахахаха, жалкие неудачники)
> gshorewallПрочитал как "КошерВолл". Подумал, что надо бы ещё и "ХаляльВолл" придумать.
И что бы они конфликтовали, если на одну машину поставишь.
Питон. 🤦♂️
Расскажи про свой бизнес-кейс, в котором сабж на питоне обладает непреодолимыми недостатками.
А что лучше? Rust/JavaScript/Java/Ruby/Perl?
Раст конечно, т.к. безопасная работа с памятью обеспечивается в Rust во время компиляции через проверку ссылок, отслеживание владения объектами, учёт времени жизни объектов (области видимости) и оценку корректности доступа к памяти во время выполнения кода. Rust также предоставляет средства для защиты от целочисленных переполнений, требует обязательной инициализации значений переменных перед использованием, лучше обрабатывает ошибки в стандартной библиотеке, применяет концепцию неизменяемости (immutable) ссылок и переменных по умолчанию, предлагает сильную статическую типизацию для минимизации логических ошибок.
Звучит как рекламный буллщит. Например, обязательная инициализация много где. А вот документация в коде со вставками выполняемого кода, такое нигде не видел.
> Звучит как рекламный буллщит.это третий абзац отсюда https://www.opennet.me/opennews/art.shtml?num=61362
точнее из любой новости про раст
FreePascal
Bash
Сервисы удобная штука
Он что есть, что нет, как и UFW.
Точно подмечено. Что ожидать от псевдофайрвола, который не использует ip-адреса, но зато позволяет открыть проходной двор по названию службы? И нужна ли вообще эта нелепая прокладка между командной строкой и iptables/nftables.
systemctl stop firewalld - это безальтернативное действие.
> не использует ip-адресаЧто, не дочитал до ipset? Ну бывает…
Укажи мне, где в тексте новости сказано про ipset. Или видишь то, чего нет, включая белочек? Ну бывает.
Бывает другое, что не все что есть в софте написано в новости про обновление версии. А то боюсь представить, как ты сильно расстраиваешься с каждой новости по обновлению ядра, ведь новые драйвера появляются на одну версию и потом пропадают, да?)
Специалист по обновлению драйверов? :)
Зачем людям, знающим iptables/nftables читать руководства для домохозяек?
> Специалист по обновлению драйверов? :)
> Зачем людям, знающим iptables/nftables читать руководства для домохозяек?затем что ты только что нес дезинформацию, что "там нет адресов" про утилиту "для домохозяек".
А теперь хочешь чтобы кто-то поверил что ты что-то знаешь кроме iptables/nftables/кунфу/джиу-джитсу и еще десятка страшных слов.
> Точно подмечено. Что ожидать от псевдофайрвола, который не использует ip-адресаа если найду?!
firewall-cmd --zone=ssh-access --add-source=127.0.0.0/8
(да, это феерично криво, и ломает его интеграцию с nm, но так - можно)> И нужна ли вообще эта нелепая прокладка между командной строкой и iptables/nftables.
судя по тому что ты ниасилил даже ман прочитать - таким вот точно нужна. Потому что удержать в голове весь миллион кракозябов конфига nft ты точно не сможешь и какую-то фигню нагородишь.
> firewall-cmd --zone=ssh-access --add-source=127.0.0.0/8А точно ли есть какой-то смысл в сей поделке, когда вариант:
iptables -p 6 --dport 22 -s 127/8 -j ACCEPT
и короче и сразу в байт-код, минуя прокладку в виде firewalld?Если только польза нумерофобам, которым не удержать в голове номера портов, но при этом тарабарщина вида "zone=ssh-access" вызывает какие-то ассоциативные ряды.
> А точно ли есть какой-то смысл в сей поделке, когда вариант:
> iptables -p 6 --dport 22 -s 127/8 -j ACCEPT
> и короче и сразу в байт-код,и сразу не работает.
Поправил, не благодари.
iptables -p 6 --dport 22 -s 127/8 -j ACCEPT
iptables v1.8.7 (legacy): no command specified
Try `iptables -h' or 'iptables --help' for more information.И вот так у вас - всьо.
А когда ты все это исправишь чтоб оно хотя бы запускалось - тебя ждет следующий этап. После двух десятков вот таких заклинаний - попробуй что-то исправить.
Отдельно - набранных не тобой, а тем, другим васяном.Это еще нулевой уровень. Первый - а теперь то же самое но помимо васянов там постарался дыркер (и будет - после тебя) - и надо ничего ему не сломать.
Идея firewalld (помимо независимости от конкретной реализации ядерного файрвола, что само по себе неплохо) - в том что тебе не обязательно знать что там до тебя понакуролесили другие васяны, чтобы добавить еще один сервис к сотне имеющихся (причем после тебя третий васян может включить и выключить его на нужных интерфейсах, не лазя внутрь). Потому что по сути (помимо утилиты с печальным синтаксисом) это фиксация допустимого набора правил и того что этим правилам положено делать, а что нет.
Ну оно немнозецько уе6@нски полуцилося... ну это как всегда. Вендофиревал требует для своей реализации другую ядерную, его скосплеить все равно не выйдет.
Нет. firewalld или ufw - по умолчанию закрыты, как ipfw. Поэтому приучают открывать только нужное.
Если в установке по умолчанию в Убунте посмотреть список портов, на которых кто-то слушает, то там будут всякие DHCP, mdns, domain, ipp и может быть еще что-то. Эти вещи как-то приписаны в фаервол? Или каждый порт надо будет добавлять руками?
Дефолтные правила должны мейнтейнеры пакетов добавлять в свои пакеты сами. Возможно они там есть но это не факт, в убунте же ufw.
Тебе религия запрещает написать ufw show?
и зачем ему 'ufw' is not recognized as an internal or external command,
operable program or batch file ?А устанавливать убунту ради посмотреть ответ на этот вопрос - да, может и не позволять, дело долгое, нервотрепное, а до начала шаббата уже меньше пол-дня.
Но забавно что здешние горе-фанаты шва6одки не знают ответ.
> Firewalld запускается в виде фонового процесса, позволяющего динамически изменять правила пакетного фильтра через D-Bus, без необходимости перезагрузки правил пакетного фильтра и без разрыва установленных соединенийБла-бла-бла. Типа, какая крутая штукенция, но при этом тут же указаны dbus и код на питоне. Да лучше без фонового процесса, без d-bus и питона, но с разрывом соединений. Лучше заново коннект установить, чтоб этот треш в системе иметь
> лучше без фонового процессаIPC организовывается фоновыми процессами.
> без d-bus
D-Bus -- важнейший компонент десктопного (и не только) линукса. Смирись. Да и реализовывать свой собственный нескучный IPC уже не круто.
> и питона
Питон в данном случае не мешает.
> IPC организовывается фоновыми процессами.нет, он организовывается механизмами в ядре линукс (сокеты, системные вызовы)
Механизмами ядра организовывается транспортный уровень. Прикладной уровень организовывается таки (фоновыми) процессами в пользовательском пространстве.
Необязательно. Если я создал сокет для соединения с mysql, то для этого не нужен ещё один процесс.
> динамически изменять правила пакетного фильтра через D-Bus, без необходимости перезагрузки правил
> пакетного фильтра и без разрыва установленных соединений"Шеф, может скажем им?"
> Бла-бла-бла. Типа, какая крутая штукенция, но при этом тут же указаны dbus и код на питоне.
не имеющие ни малейшего отношения к тому что выше процитировано. Вот вообще.
Кстати, и про имена сервисов в общем-то то же самое. iptables прекрасно может в getservicebyname без дерьмобасов и пихонов.А в целом лучше не говорить. Улыбаемся и машем.
Не понимаю почему тебя здесь не любят. Правильно же все говоришь
> Не понимаю почему тебя здесь не любят. Правильно же все говоришь"вот за это и не любят"
Сам себя не похвалишь - никто не похвалит. :)
Дык необходимость в "похвалят" с возрастом сильно снижается ... :)А постит он обидную правду исключительно из вредности характера, впрочем как и я, к примеру :-)
> без необходимости перезагрузки правил пакетного фильтра и без разрыва установленных соединенийЭто умеет любой фаервол. Например, ipfw.
> а от названий служб
смузи-программисты на питоне наконец-то узнали про /etc/services ?
> для закрытия SSH - "firewall-cmd --remove --service=ssh"
И? А активные коннекты при этом продолжат работать? Ведь тут без разрыва установленных соединений - это типа киллер-фича
>> для закрытия SSH - "firewall-cmd --remove --service=ssh"
> И? А активные коннекты при этом продолжат работать? Ведь тут без разрыва
> установленных соединений - это типа киллер-фичаПросто добавь --reload
>>> для закрытия SSH - "firewall-cmd --remove --service=ssh"
>> И? А активные коннекты при этом продолжат работать? Ведь тут без разрыва
>> установленных соединений - это типа киллер-фича
> Просто добавь --reloadне поможет. reload это про другое.
Там --panic как раз для таких случаев предусмотрен... не, я не знаю как ты собираешься дальше восстанавливать себе доступ. Но в целом это ровно что ты и хотел - ведь ты не оговорил что обрубая активные коннекты надо оставить доступ для тебя, любимого. И в команде только "закрытие ssh", без исключений.
да да, крутая штукенция не умеющая закрывать доступ на уровне отдельных приложений.
Ну как же, ведь они доросли в 2024-ом, что добавили owner. Каждому приложению свой owner, как в Android, и будет Вам счастье.
В 2024 уже есть готовый opensnitch и конструктор eBPF. А вот кому нужен этот firewalld, когда порт можно легко открыть одной командой в консоли или строчкой в конфиге с помощью штатного nftables? Причем без Python, DBUS, регистрации и СМС. Загадка.
> В 2024 уже есть готовый opensnitch и конструктор eBPF. А вот кому
> нужен этот firewalld, когда порт можно легко открыть одной командой в
> консоли или строчкой в конфиге с помощью штатного nftables?Контейнерным движкам, например, чтобы сетью через библиотеку рулить.
Так это не к firewall претензия, а камень в огород модели безопасности Linux. Или вам две охапки костылей подавай? Так один opensnitch у нас уже есть - так нужный так нужный, что нафиг никому не нужный судя по его отсутствию в дефолтах дистрибутивов...
>...камень в огород модели безопасности Linux.Если я правильно понимаю, то ты знаешь где модель безопасности хороша?
Скажи, будь добр, где?
>>...камень в огород модели безопасности Linux.
> Если я правильно понимаю, то ты знаешь где модель безопасности хороша?
> Скажи, будь добр, где?Прям "хороша" - вряд-ли, но сильно-сильно-афффигеть-как-сильно лучше - знаю. Предполагаю, что и ты знаешь... Но ни за что не ПРИзнаешь).
А что тут признавать? Голословные утверждения админов локалхоста?
> А что тут признавать? Голословные утверждения админов локалхоста?Действительно. Ведь каждый не-админ не-локалхоста твёрдо знает, что ничего лучшего, чем реализованная в ядре linux'а модель безопасности нет и быть не может вот просто по тому, что. Сияющий (злые языки клевещут, что местами конечно "зияющий" - но кто из не-админов не-локалхоста их слушает?) идеал достигнут - нет предмета обсуждения.
ну ты же понимаешь что в שtable api nonsense ни одно жевтоне не пострадало бы, если бы в skbuf (или что оно там через фиревал таскает) добавили лишнее поле "pid" и заставили бы conntrack его заполнять.Модель осталась бы той же. И для других костыликов это сто раз делали.
> Так один opensnitch у нас уже есть - так нужный так нужный, что нафиг никому не нужный
Потому что копирует именно ненужное какввенде.
(при этом в венде-то работает, но эту часть так просто не скопировать)
>если бы в skbuf (или что оно там через фиревал таскает) добавили лишнее поле "pid"А для chain FORWARD куда добавить? В заголовок IP ещё одно поле? :)
а какое отношение фовард имеет к локальным процессам и юзерам?
> а какое отношение фовард имеет к локальным процессам и юзерам?Виртуалки, контейнеры. Из того, что первое на ум приходит.
>> а какое отношение фовард имеет к локальным процессам и юзерам?
> Виртуалки, контейнеры. Из того, что первое на ум приходит.в контейнере нет настоящего forward, это такой скрытый от юзера input (причем у ip есть связнаная с этим неприятная фича... э... не будем снабжать ненужным знанием местных "специалистов", пусть дальше думают что DROP в forward их от чегототам защитит). Чисто технически - в этом случае все работает точно так же.
Виртуалка - отдельная операционная система, и должна иметь собственный input фильтр, разумеется, если тебе хочется поуправлять на уровне отдельных процессов.
>добавили лишнее поле "pid" и заставили бы conntrack его заполнятьВроде кто то делал уже.
Но это не сосем то - pid разный на каждом перезапуске. Другой токен нужен, и тут ... внезапно винда вперде! :)
Ну и всякое делойтное что сидит на линуксе и делает вид что оно НЕ :) И кстати - ложат (кладут?) на GPL с особым цынизмом, они вам софт не поставляют, а ведро не под AGPL.
> Но это не сосем то - pid разный на каждом перезапуске.ну это же ж - мы его запускали, мы ведь запускали, ГА?!
Т.е. обертку для отслеживания именного своего pid я и на баше напишу, это как раз все просто.
(ну а изменения в продукт вторичный от rhbm+microsoft, норовящий запускать бинарники по своему усмотрению, пусть вносит соответствующий сотрудник microsoft, на зарплате)
Подкинули констант - всё, новая версия!
Человеческий сетевой экран с контролем отдельных приложений и соеднинений?
> Человеческий сетевой экран с контролем отдельных приложений и соеднинений?ручным? Нет, это нечеловеческий.
> в виде обвязки над iptablesА чем iptables не устраивает без всяких обвязок?
Хотя бы тем, что в Шляпе, начиная с версии 8 (а стало быть во всех ее многочисленных клонах) нету никакого iptables. nftables там
> Хотя бы тем, что в Шляпе, начиная с версии 8 (а стало
> быть во всех ее многочисленных клонах) нету никакого iptables. nftables тамУже нигде нет никакого iptables, даже на олдстейбле дебиана. Есть какой-то слой совместимости, который транслирует команды и правила iptables в понятные nftables. Все, кто "пользуется iptables" используют именно его.
> Уже нигде нет никакого iptables, даже на олдстейбле дебиана. Есть какой-то слойА если найду?
> совместимости, который транслирует команды и правила iptables в понятные nftables. Все,
только он не работает, поэтому пользоваться им невозможно. Модные современные тяпляперы ведь не имеют привычки ничего доделывать нормально, хвост задрал, навалил кучку и убежал по веткам дальше.
> кто "пользуется iptables" используют именно его.
Разумеется, нет.
Те кого пользуют - тех да, они ничего и не заметят, им и не видно что х-й в оппе сменился.
cat /etc/*ease
PRETTY_NAME="Debian GNU/Linux 11 (bullseye)"lsmod
Module Size Used by
ipt_REJECT 16384 2
nf_reject_ipv4 16384 1 ipt_REJECT
xt_tcpudp 20480 12
xt_state 16384 0
xt_conntrack 16384 2
iptable_filter 16384 1
xt_nat 16384 1
iptable_nat 16384 1lrwxrwxrwx 1 root root 25 Feb 16 2023 /etc/alternatives/iptables -> /usr/sbin/iptables-legacy
сильно сомневаюсь что в 12м что-то радикально изменится.
Пока в ведре не доломают окончательно.
Да нифига не так. Есть модули netfilter x_tables и nf_tables, которые прекрасно поддерживаются на ядре 6.10, и могут сосуществовать. Есть утилиты для взаимодействия с модулем x_tables - iptables, и nf_tables - nftables и iptables-nft.
А дальше пользуетесь тем, что знаете. Чего не хватает - доустанавливаете.
Статичный пакет проходит через оба модуля, приоритет отдается запрету. Маскарадный пакет обрабатывается в приоритете модулей.
Приоритет модулей устанавливается числом. Если память не изменяет, у nf_tables это 0, у x_tables - то ли -1, или -100.
> Да нифига не так. Есть модули netfilter x_tables и nf_tables, которые прекрасно
> поддерживаются на ядре 6.10, и могут сосуществовать. Есть утилиты для взаимодействия
> с модулем x_tables - iptables, и nf_tables - nftables и iptables-nft.не переживай, это - ненадолго. Тяпляперам спать мешает мысль о том что они еще что-то работающее не доломали окончательно.
В современном KDE есть графический файрволл в меню настроек - это обвязка над чем? Над firewalld?
Насколько я помню, морда к firewalld есть только одна и она была на gtk.
Впрочем, если ты имел в виду https://invent.kde.org/plasma/plasma-firewall, пишут, что работает с UFW или Firewalled, действительно
