|
| 1.2, Аноним (2), 22:04, 14/10/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +11 +/– |
Мне не нравится firewall-cmd тем, что сложно создать сложное парвило. Например, открыть порт только для одного ip. rich rules сложно реализовали...
| | |
| |
| 2.3, Return76 (?), 22:22, 14/10/2019 [^] [^^] [^^^] [ответить]
| +17 +/– |
Ничего страшного... Остальным это не надо. Понимаете, надо упрощать! Порт ssh не стандартный? Для открытия порта надо сделать кнокинг? Это же так не стандартно и вообще никому не нужно. Ешьте что дали!
| | |
| |
| 3.19, Сейд (ok), 00:09, 15/10/2019 [^] [^^] [^^^] [ответить]
| +3 +/– |
 Тише, тише. Для этого в firewall-cmd нужно только удалить сервис ssh из используемой зоны, а остальное настраивается в /etc/knockd.conf:
Command = /bin/firewall-cmd --zone=public --add-rich-rule="rule family="ipv4" source address="%IP%" service name="ssh" accept"
Command = /bin/firewall-cmd --zone=public --remove-rich-rule="rule family="ipv4" source address="%IP%" service name="ssh" accept"
| | |
| |
| 4.49, fske (?), 07:58, 15/10/2019 [^] [^^] [^^^] [ответить]
| +11 +/– |
Чем ЭТО лучше простого iptables в конфиге? Тем что модномолодежно?
| | |
| |
| |
| 6.59, fske (?), 09:01, 15/10/2019 [^] [^^] [^^^] [ответить]
| +/– |
Причем тут systemd? А, ну если ты просто его хейтер, тогда это всё обьясняет
| | |
| |
| 7.62, супернуб (?), 09:18, 15/10/2019 [^] [^^] [^^^] [ответить]
| +6 +/– |
при том, что ещё (максимум) пару раз обновиться, и без systemd "огонь-стена" не будет заводится.
"Лягушек нужно варить медленно" (с)
| | |
|
|
|
| 4.111, Аноним (111), 18:43, 15/10/2019 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> add-rich-rule
как смотрится бохато!
> --add-rich-rule="rule family="ipv4"
вот только за тройные ковычки в cli поубивал бы.
| | |
| |
| 5.118, Сейд (ok), 23:33, 15/10/2019 [^] [^^] [^^^] [ответить]
| –1 +/– | |
Почему тройные?
--add-rich-rule=
"
rule family="ipv4" source address="%IP%" service name="ssh" accept
"
| | |
| |
| 6.123, трурль (?), 02:35, 16/10/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
Он пытался сказать «вложенные двойные».
От этого синтаксис менее yблюдочным не становится.
| | |
|
|
|
|
| 2.15, Сейд (ok), 23:58, 14/10/2019 [^] [^^] [^^^] [ответить]
| +1 +/– | |
firewall-cmd --permanent --zone=public --add-rich-rule='rule family="ipv4" source address="1.2.3.4/32" port protocol="tcp" port="4567" accept'
Не сложно.
| | |
| 2.129, Anonim (??), 14:36, 16/10/2019 [^] [^^] [^^^] [ответить]
| +/– | |
> Например, открыть порт только для одного ip
Это как раз таки просто сделано:
firewall-cmd --permanent --new-zone=test
firewall-cmd --permanent --zone=test --add-source=a.b.c.d/net
firewall-cmd --permanent --zone=test --add-port=tcp/22
firewall-cmd --reload
Определил зону. Внёс в неё нужные адреса или сети и открыл всё, что нужно.
Вот для того, чтобы сделать маршрутизатор firewall-cmd не удобен, да. И то простой проброс сделать просто.
| | |
| |
| 3.130, Michael Shigorin (ok), 14:50, 16/10/2019 [^] [^^] [^^^] [ответить]
| +2 +/– |
 >> Например, открыть порт только для одного ip
> Это как раз таки просто сделано:
Вчетверо проще, чем одной строчкой iptables, действительно.
| | |
|
|
| 1.4, Аноним (4), 22:26, 14/10/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +18 +/– |
Соединения и в iptables при перегрузке правил не рвались. Эка новация!
| | |
| |
| 2.104, Аноним (104), 16:22, 15/10/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
Подтверждаю. С фига ли им рваться если conntrack не сбрасывать.
| | |
|
| 1.5, Аноним (5), 22:36, 14/10/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +9 +/– | |
>через DBus
совсем озверели? сначала от dbus этой отвяжите, сделайте чтобы те у кого уже есть правила iptables не обламались, тогда можно подумать. systemd уже впилили всем на радость, бракоделы хреновы
| | |
| |
| 2.14, Аноним (14), 23:52, 14/10/2019 [^] [^^] [^^^] [ответить]
| +/– |
Ну firewalld пока что безболезненно выпиливается даже из шапки… Кажется… Надо бы проверить на всякий.
| | |
|
| 1.6, Stoned Jesus (?), 22:42, 14/10/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +19 +/– |
А может сразу уже поставить CentOS и не изображать разработку независимого дистрибутива? Ликвидность проекта Debian с каждым годом всё ближе и ближе к нулю.
| | |
| |
| 2.7, Аноним (7), 22:45, 14/10/2019 [^] [^^] [^^^] [ответить]
| +/– |
Ни для кого не новость, дебилиан берут исключительно по старой привычке. Проект совершенно скурвился.
| | |
| |
| |
| |
| 5.16, Аноним (16), 00:03, 15/10/2019 [^] [^^] [^^^] [ответить]
| +/– |
Ставьте в продакшен Manjaro, который не грузится после чистой установки, установки обновлений, перезагрузки. Сарказм.
| | |
|
| 4.63, супернуб (?), 09:21, 15/10/2019 [^] [^^] [^^^] [ответить]
| +/– |
ну пока ещё миксер (МХ) живёт на демьяне без s-d. Опть же - "диван". Хотя как по мне - последний глюкавее (первый тоже местами не подарок, но в целом народ пока "горит", а потому допиливают ореперативно. Опять же требования к железу нормальные)
| | |
| |
| 5.95, Аноним (95), 13:53, 15/10/2019 [^] [^^] [^^^] [ответить]
| +/– | |
>ну пока ещё миксер (МХ) живёт на демьяне без s-d.
каким образом у вас MX без systemd? Пробовал 18.3 c xfce стоит там systemd, более того, при попытке выпилить её, так же как и в Debian норовит с собой снести пол DE.
| | |
| |
| 6.97, супернуб (?), 14:26, 15/10/2019 [^] [^^] [^^^] [ответить] | +2 +/– | оно там по требованию - при желании можно в грубе выбрать и запуститься под ни... большой текст свёрнут, показать | | |
| |
| 7.106, Аноним (106), 16:27, 15/10/2019 [^] [^^] [^^^] [ответить] | +/– | Спасибо за разъяснение, поверю вас на слово, думал что там можно выпилить system... большой текст свёрнут, показать | | |
| |
| |
| 9.132, Аноним (132), 15:35, 16/10/2019 [^] [^^] [^^^] [ответить] | +/– | Приветствую, Михаил Я смотрел когда-то и в на Альт, но насколько я помню у вас ... большой текст свёрнут, показать | | |
|
|
| 7.131, Аноним (131), 15:15, 16/10/2019 [^] [^^] [^^^] [ответить] | +1 +/– | Насчёт 19 MX, они же вроде ещё даже RC вот меньше суток назад выкатили, а до это... большой текст свёрнут, показать | | |
|
|
|
|
| |
| |
| 5.28, ТвояТеща (?), 01:38, 15/10/2019 [^] [^^] [^^^] [ответить]
| +2 +/– |
Это ты уже додумал за меня и за меня решил. Но ничо ничо лелей себя и ной дальше.
| | |
|
|
|
| 2.22, Аноним (16), 00:16, 15/10/2019 [^] [^^] [^^^] [ответить]
| +/– | |
>А может сразу уже поставить CentOS и не изображать разработку независимого дистрибутива? Ликвидность проекта Debian с каждым годом всё ближе и ближе к нулю.
Почему нет кубунту и минт от центоса?
| | |
| |
| 3.23, Stoned Jesus (?), 00:24, 15/10/2019 [^] [^^] [^^^] [ответить]
| +3 +/– |
Может быть потому, что пользователи CentOS видят её исключительно через окно PuTTy и Terminal.app ???
| | |
| |
| 4.37, IRASoldier_registered (ok), 04:25, 15/10/2019 [^] [^^] [^^^] [ответить]
| +/– |
 Есть как минимум одно учреждение в РФ, причём очень государственное и таки даже стратегически важное (нет, не военные и не службисты), где CentOS успешно используют в качестве десктопа. И пока что не собираются отказываться от этой практики.
| | |
|
|
| |
| 3.96, Аноним (95), 14:00, 15/10/2019 [^] [^^] [^^^] [ответить]
| –2 +/– | |
>Независимый девуян.
он не независим, а таки очень зависит от Debain и от его инфраструктуры, а то что они там объявили про пересборку пакетов для отвязки от systemd, так они пересобирают, и отвязывают, но замещают довольно криво, т.е. нет такого качества, как было в Debian до переезда на system, десктопы девана производят впечатление васянской сборки, коих полно на рутрекуре, зато они громко борцунствуют на всевозможных форумах и прочих площадках, жаль только словестно.
Тогда как тот же antiX не пукая громко в лужу, собирает таки дистрибутив, где DE живёт без systemd вполне себе пролноценно, и да, именно DE, т.е. можно свободно установить xfce или mate из репов штатными средствами, с нужными компонентами и не надо будет никаких бубнов, чтобы это всё работало.
| | |
| |
| 4.100, супернуб (?), 14:39, 15/10/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
а разве последний xfce (4.14) уже не хочет что-то видеть там из sysd? Крыса времён 14й убунты (4.10?) точно не хотела, а новой же вроде нужно - или я что-то проспал?
Я даже не уверен, что LХDE уже может без этой наркоты, не говоря уже о том, что на третьем гноме сделано.
А так да - антикс штука, похоже, зачётная.
Кстати - нет ли кнопикс тоже с с sysd свалил (на какой-то knoppix-autoconfig)
ЗЫ. Пробовал на своём "диван" завести - "ниасилил"(tm). То тут не взлетает, то там отваливается - думаю, что из за старогоо "демьяна". У меня и на чистой-то половина не взлетат, а допиливать лень - я уже старенький и "у меня лапки"(с)
"И жить неохота и застрелиться лень"(с)
| | |
| |
| 5.108, Аноним (108), 16:40, 15/10/2019 [^] [^^] [^^^] [ответить] | +/– | Даже если крыса от разработчиков и позволяет не использовать systemd безальтерна... большой текст свёрнут, показать | | |
|
|
|
| 2.114, Гентушник (ok), 21:25, 15/10/2019 [^] [^^] [^^^] [ответить]
| +/– |
 Когда CentOS научиться обновляться до следующей версии, тогда и поговорим. А то сейчас даже винда(sic!) уже худо-бедно научилась обновляться с версии на версию (8->10), а центось всё никак не осилит.
| | |
|
| 1.9, Простой парень (?), 23:14, 14/10/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +5 +/– |
Куча програмок перестанет работать. Зачем оно мне? Чем дальше дебиан развивается, тем он дальше от своих пользователей. Мирок сам в себе.
| | |
| |
| 2.33, Аноним (33), 02:36, 15/10/2019 [^] [^^] [^^^] [ответить]
| +/– | |
ufw - надстройка над iptables. Его собираются вывести из предустановленных по умолчанию пакетов, но в репах оно остается.
Так что нет - ничего не поменяется
| | |
| |
| 3.125, rinat85 (?), 09:43, 16/10/2019 [^] [^^] [^^^] [ответить]
| +/– |
установил Debian 10.1 через netinstall, поставил кучу сервисов, докеров... после чего ufw появился только после apt install, не был предустановлен
| | |
|
|
| 1.21, Vitto74 (ok), 00:14, 15/10/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +14 +/– |
 Писать сложные правила по логике firewalld это просто ад. Rich rules по сути тот же iptables, но с надстройкой, которая только путаницу создает.
Попробовали настроить его для OpenVPN-сервера - вполне работоспособно, но через пару месяцев сами с трудом поняли, что и для чего сделано. Переделали по старинке - просто и понятно.
Единственное для чего применим и логичен firewalld это всевозможные гипервизоры - KVM, Virtuozzo, Kubernetus (Docker) и прочие. Сложные правила там бывают редко т.к. в большинстве случаев представляют собой список сетей из которых можно управлять сервером + зоны для различных VM или контейнеров.
Еще firewalld может пригодится, если правила часто меняются скриптами - если скриптов много то очень легко проморгать ситуацию, которая всё сломает.
Ставить по умолчанию firewalld я бы не стал, а сделал бы рекомендуемым при установке libvirt, docker и т.п.
| | |
| |
| 2.29, ТвояТеща (?), 01:40, 15/10/2019 [^] [^^] [^^^] [ответить]
| +4 +/– |
И вот он наш спаситель, первый кто не стал ныть а обьяснил на примере зачем нам это надо.
| | |
| |
| 3.32, НяшМяш (ok), 01:59, 15/10/2019 [^] [^^] [^^^] [ответить]
| –2 +/– |
 Редкий случай, когда в каментах нашёлся не просто пользователь онтопика, а пользователь линукса вообще...
| | |
|
| 2.31, Аноним (31), 01:57, 15/10/2019 [^] [^^] [^^^] [ответить]
| +/– |
Rich rules конечно не очень удобно сделано, вот ipset, zones и привязка сетевых интерфейсов к зонам очень удобна. Особенно когда на серваках интерфейсы с разными именами и особенно для управления системами упражнения конфигурациями.
Если нормально разобраться то в случае большого количества правил, firewalld гораздо нагляднее и удобнее чем по старинке.
Единственное, черезжопная работа проброса порта с одного сетевого интерфейса на другой той же машины. Да и сделать это можно только на половину.
| | |
| 2.75, Аноним (75), 10:10, 15/10/2019 [^] [^^] [^^^] [ответить]
| +/– | |
>Rich rules по сути тот же iptables, но с надстройкой, которая только путаницу создает.
firewalld может использовать в качестве бэкенда как iptables, таки и nftables. И именно для этого развели зоопарк со своим собственным, стремным вариантом синтаксиса правил. Лучше бы сразу определились :(
| | |
|
| |
| 2.42, Аноним (42), 06:49, 15/10/2019 [^] [^^] [^^^] [ответить]
| –9 +/– |
И это хорошо. Надо усиливать присутствие сд чтобы о башпортянках все забыли как о страшном сне.
| | |
| |
| 3.46, Онании (?), 07:37, 15/10/2019 [^] [^^] [^^^] [ответить]
| +/– |
А если не вызывать в каждой строчке внешние команды, а использовать встроенные возможности Bash по обработке строк, работе с массивами и т.д., то получается элитная портянка!
| | |
| |
| |
| 5.92, OpenEcho (?), 13:16, 15/10/2019 [^] [^^] [^^^] [ответить]
| –1 +/– |
Правильно глаголишь, true админы пишут на классическом sh/dash :)
Но боюсь Next-Nextу не понять...
| | |
| |
| 6.101, Michael Shigorin (ok), 14:40, 15/10/2019 [^] [^^] [^^^] [ответить]
| +/– | |
> Правильно глаголишь, true админы пишут на классическом sh/dash :)
dash сам по себе глючный ужас, увы.
> Но боюсь Next-Nextу не понять...
...в квадрате.
| | |
| 6.105, iPony129412 (?), 16:24, 15/10/2019 [^] [^^] [^^^] [ответить]
| +/– |
Это утёнку не понять чего-то. Потому что он считает что-то увиденноеb и привычное идеалом.
Вот и всё.
| | |
| 6.107, iPony129412 (?), 16:30, 15/10/2019 [^] [^^] [^^^] [ответить]
| –1 +/– |
Короче время идёт. Технологии меняются.
Не низменными остаются люди $CURRENT-1 технологии круче чем $CURRENT
Какому-то поколению не понять.
Ну и так же от фанатизма зависит, когда я пишу костыли на BASH, то я пишу костыли на BASH.
А для кого-то это прикосновение к мудрости древних друидов.
| | |
| |
| 7.110, OpenEcho (?), 18:05, 15/10/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Короче время идёт. Технологии меняются.
> Не низменными остаются люди $CURRENT-1 технологии круче чем $CURRENT
> Какому-то поколению не понять.
На чистом шеле пишут во основом для переносимости и самое главное для секъюрности(т.к. "о великий баш" имеет сетевую поддержку, что очень любят зacранцы-кулхакеры и первое что они делают при успешном хаке, так это - реверс шел на свою тачку через баш, ибо баш везде(почти)), а также потому что, - это работало, работает и будет работать одинаково сквозь десятилетия, независимо от типа используемого юникса, а не из-за закостенолости и не желания учить что то новое...
Но это приходит к сожалению только с годами...
| | |
|
|
|
|
| 3.98, Andrey Mitrofanov_N0 (??), 14:34, 15/10/2019 [^] [^^] [^^^] [ответить]
| +2 +/– |
> И это хорошо. Надо усиливать присутствие сд чтобы о башпортянках все забыли
> как о страшном сне.
Судя по твоим стонам, ты баш ещё в трёх поколениях вспоминать будешь.
Уже записался на лоботомию (Право Забыть), или сначала других зазываешь?
| | |
|
|
| 1.38, Аноним (38), 04:56, 15/10/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Жаль, что пока нет годного мануала по nftable на русском, может кто напишет?
| | |
| |
| 2.127, Аноним (127), 14:30, 16/10/2019 [^] [^^] [^^^] [ответить]
| +/– |
Его и на английском-то нет. Хочешь понять, как оно работает или не работает - сиди и кури сорцы. Причём самое поганое - не только юзерспейсной утилиты, но и собственно /net/netfilter в ядре.
| | |
|
| 1.39, Аноним (40), 06:25, 15/10/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– | |
>например, для открытия доступа к SSH нужно выполнить "firewall-cmd --add --service=ssh", для закрытия SSH - "firewall-cmd --remove --service=ssh"
А откуда ему знать на каком порту работает ssh?
| | |
| |
| |
| 3.135, Аноним (135), 18:55, 16/10/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
# cat /etc/ssh/sshd_config | grep 'Port'
Port 22022
# cat /etc/services | grep 'ssh'
ssh 22/tcp # SSH Remote Login Protocol
| | |
|
|
| 1.41, Аноним (40), 06:30, 15/10/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +5 +/– | |
> Для управления межсетевым экраном используется утилита firewall-cmd, которая при создании правил отталкивается не от IP-адресов, сетевых интерфейсов и номеров портов, а от названий служб
Все-таки каждый должен заниматься своим делом. Зачет фраерволу знать именя служб и прочее. Лишнее наслоение, которое нужно отчечь бритвой Оккама.
| | |
| |
| 2.44, Аноним (44), 07:17, 15/10/2019 [^] [^^] [^^^] [ответить]
| +2 +/– |
Модно и молодёжно... кстати заделать комплексные правила в firewalld увы нельзя....
| | |
| 2.74, Аноним (75), 10:05, 15/10/2019 [^] [^^] [^^^] [ответить]
| –1 +/– |
А это и не имена служб вовсе, это просто поименованные шаблоны правил, которые для удобства назвали именами служб.
Нормальный application firewall в линуксе по-прежнему недоступен.
| | |
|
| 1.55, ryoken (ok), 08:24, 15/10/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +5 +/– |
 FirewallD вроде как из красношляпы родом? Опять впердоливание всякого ???
| | |
| |
| 2.85, Owlet (?), 11:51, 15/10/2019 [^] [^^] [^^^] [ответить]
| –2 +/– | |
> FirewallD вроде как из красношляпы родом? Опять впердоливание всякого ??
Ну пишите сами, а не ждите, пока красношляпа вам напишет.
| | |
| |
| 3.90, ryoken (ok), 13:05, 15/10/2019 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Ну пишите сами, а не ждите, пока красношляпа вам напишет.
А мне и iptables как-то жить не мешает. И даже (хипстерам назло) - SysVInit! :D
| | |
|
|
| 1.67, Нанобот (ok), 09:40, 15/10/2019 [ответить] [﹢﹢﹢] [ · · · ]
| –5 +/– |
 кто-нибуть потом обязательно запилит свой недодистр "debian без nftables"
| | |
| 1.73, Аноним (73), 10:00, 15/10/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– | |
Я буду просто редактировать /etc/nftables.conf. Это покрывает 100% моих потребностей.
А firewalld удалять или вырубать.
| | |
| 1.81, Аноним (79), 11:29, 15/10/2019 [ответить] [﹢﹢﹢] [ · · · ] | +2 +/– | Ничего не имею против firewalld, удобная обвязка, но мне вот что не с ней не пон... большой текст свёрнут, показать | | |
| |
| 2.84, Michael Shigorin (ok), 11:34, 15/10/2019 [^] [^^] [^^^] [ответить]
| +/– |
> Нахрена нужна обвязка над iptables, для работы с которой пользователю
> (в этом случае администратору, но всё равно он выступает как пользователь)
> нужно знать сразу несколько синтаксисов и firewalld и iptables,
> а теперь еще и nftables.
Типичный результат разработки контингентом, который планирует жарку слона, ощупав хвост, увы...
| | |
|
| 1.109, jalavan (ok), 16:50, 15/10/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
 Пусть базовая поставка Debian будет какой угодно, главное чтобы можно было его настроить, как необходимо под себя.
| | |
| 1.113, Гентушник (ok), 21:22, 15/10/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
Использование firewalld для меня обычно заканчивалось пачкой rich rule и просмотром выхлопа iptables-save, т.к. нифига не понятно что он там наколбасил на самом деле.
В общем лишняя прослойка которая в основном только усложняет жизнь, а не
упрощает.
Nftables одобряю.
| | |
| 1.138, Аноним (138), 12:21, 24/02/2021 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Что интересно, ФИО предлагателя firewalld не упомянули. Скрывается, мерзавец.
| | |
|
