The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход/выход
слежка
RSS


"Выпуск межсетевого экрана firewalld 2.2.0 "
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Выпуск межсетевого экрана firewalld 2.2.0 "  +/
Сообщение от opennews (??), 11-Июл-24, 22:42 
Сформирован выпуск динамически управляемого межсетевого экрана firewalld 2.2, реализованного в форме обвязки над пакетными фильтрами nftables и iptables. Firewalld запускается в виде фонового процесса, позволяющего динамически изменять правила пакетного фильтра через D-Bus, без необходимости перезагрузки правил пакетного фильтра и без разрыва установленных соединений. Проект уже применяется во многих дистрибутивах Linux, включая RHEL 7+, Fedora 18+ и SUSE/openSUSE 15+. Код firewalld написан на языке Python и распространяется под лицензией GPLv2...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=61530

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Выпуск межсетевого экрана firewalld 2.2.0 "  +/
Сообщение от Аноним (1), 11-Июл-24, 22:42 
Люблю этот файрвол. Простой как сапог, как полено. Именно таким и должен быть файрвол для здоровых людей, ведущих активный образ жизни (не за канпуктерами то бишь).
Ответить | Правка | Наверх | Cообщить модератору

2. "Выпуск межсетевого экрана firewalld 2.2.0 "  +13 +/
Сообщение от Аноним (2), 11-Июл-24, 22:51 
Всё хорошо, только первое что делается в новых инсталляциях:
systemctl disable firewalld
Ответить | Правка | Наверх | Cообщить модератору

3. "Выпуск межсетевого экрана firewalld 2.2.0 "  +2 +/
Сообщение от noc101 (ok), 11-Июл-24, 22:53 
Зачем? О_о
Ответить | Правка | Наверх | Cообщить модератору

4. "Выпуск межсетевого экрана firewalld 2.2.0 "  –6 +/
Сообщение от Аноним (4), 11-Июл-24, 22:56 
Потому что используется nftables/iptables, зачем же ещё. Это как с селинуксом.
Ответить | Правка | Наверх | Cообщить модератору

8. "Выпуск межсетевого экрана firewalld 2.2.0 "  +5 +/
Сообщение от Dima (??), 11-Июл-24, 23:33 
SELinux отлично настраивается
Ответить | Правка | Наверх | Cообщить модератору

23. "Выпуск межсетевого экрана firewalld 2.2.0 "  –4 +/
Сообщение от Аноним (23), 12-Июл-24, 05:06 
если бы, убиться проще.
и вообще лишь бы аппармор не пользоваться.
Ответить | Правка | Наверх | Cообщить модератору

41. "Выпуск межсетевого экрана firewalld 2.2.0 "  +1 +/
Сообщение от Аноним (41), 12-Июл-24, 09:21 
Суицид не выход. Надо просто немного почитать документацию на SELinux. Все чичтать не надо, достаточно понимать 10% чтобы держаться на воде и все будет хорошо.
Ответить | Правка | Наверх | Cообщить модератору

77. "Выпуск межсетевого экрана firewalld 2.2.0 "  +/
Сообщение от Аноним (77), 12-Июл-24, 12:21 
Или пользоваться другим. AppArmor, например.
Ответить | Правка | Наверх | Cообщить модератору

96. "Выпуск межсетевого экрана firewalld 2.2.0 "  –1 +/
Сообщение от Аноним (96), 12-Июл-24, 15:16 
Нет AppArmor )
"
$ rsync mirror.yandex.ru::ubuntu-releases/24.04/{SHA256SUMS,ubuntu-24.04-desktop-amd64.iso} ./
$ skipping non-regular file "ubuntu-24.04-desktop-amd64.iso"
"
Ответить | Правка | Наверх | Cообщить модератору

42. "Выпуск межсетевого экрана firewalld 2.2.0 "  +2 +/
Сообщение от Аноним (42), 12-Июл-24, 09:27 
Отлично настраиваются миллионы вещей в мире. Это не значит, что их надо все настраивать.
Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

48. "Выпуск межсетевого экрана firewalld 2.2.0 "  +/
Сообщение от Аноним (48), 12-Июл-24, 10:07 
У вас роутер случаем не зуксель? Почему-то сразу об этом подумал.
Ответить | Правка | Наверх | Cообщить модератору

62. "Выпуск межсетевого экрана firewalld 2.2.0 "  –1 +/
Сообщение от Соль земли (?), 12-Июл-24, 10:43 
Надо. Ты просто ленивый.
Ответить | Правка | К родителю #42 | Наверх | Cообщить модератору

102. "Выпуск межсетевого экрана firewalld 2.2.0 "  –2 +/
Сообщение от Аноним (102), 12-Июл-24, 16:59 
Ну я сам как-нибудь решу, чё мне настраивать. И в индустрии люди грамотные разберутся без указаний.
Ответить | Правка | Наверх | Cообщить модератору

147. "Выпуск межсетевого экрана firewalld 2.2.0 "  +/
Сообщение от Аноним (147), 16-Июл-24, 10:36 
> SELinux отлично настраивается

... автором ПО.

А если автор не настроил, то будет много поисковой деятельности, чтобы выловить всё, к чему обращается это ПО.

Что делает SELinux бесполезным, неприменимым.

Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

15. "Выпуск межсетевого экрана firewalld 2.2.0 "  +/
Сообщение от noc101 (ok), 12-Июл-24, 01:20 
> Потому что используется nftables/iptables, зачем же ещё. Это как с селинуксом.

Глупостями занимаются люди. Не умеют готовить просто.

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

43. "Выпуск межсетевого экрана firewalld 2.2.0 "  +/
Сообщение от Аноним (42), 12-Июл-24, 09:29 
Профит от firewalld не очевиден, поэтому и занимаются. Проверенные решения для которых уже есть ансибл скрипты и гигатонны мануалов предоставляют такую же функциональность. Так что все логично.
Ответить | Правка | Наверх | Cообщить модератору

47. "Выпуск межсетевого экрана firewalld 2.2.0 "  +/
Сообщение от User (??), 12-Июл-24, 09:42 
Господи. Ему уже хорошо так больше 10 лет - давно и документация, и скрипты, и мануалы в наличии, но нет. "Лошадь себя еще покажет! - а в этой вашей фигне с колесами не понятно, куды овес класть..."
Ответить | Правка | Наверх | Cообщить модератору

56. "Выпуск межсетевого экрана firewalld 2.2.0 "  +/
Сообщение от Аноним (56), 12-Июл-24, 10:28 
так 42й аноним и не говорил, что нет скриптов или мануалов. Просто профит от применения firewalld непонятен, особенно если человек уже давно написал нужный конфиг или имеет нужные скрипты.

Разве что тебя устраивает дефолт или у тебя куча всего nftables и iptables и ты хочешь "универсальный" подход

Ответить | Правка | Наверх | Cообщить модератору

63. "Выпуск межсетевого экрана firewalld 2.2.0 "  +/
Сообщение от User (??), 12-Июл-24, 10:48 
> так 42й аноним и не говорил, что нет скриптов или мануалов. Просто
> профит от применения firewalld непонятен, особенно если человек уже давно написал
> нужный конфиг или имеет нужные скрипты.
> Разве что тебя устраивает дефолт или у тебя куча всего nftables и
> iptables и ты хочешь "универсальный" подход

Уфффф... Firewalld если что - старше nftables, а iptables и вовсе уже не устанавливоемое по дефолту legacy - и вот нахрена такой геморрой на саппорте? Нет, если вы с дивана nm выпилили, net-tools установили и ifconfig'ом сеть конфигуряете, чтобы четвертьвековые скрипты не менять - то я такой подход немного даже уважаю, но всё-таки нет)

Ответить | Правка | Наверх | Cообщить модератору

69. "Выпуск межсетевого экрана firewalld 2.2.0 "  +/
Сообщение от Аноним (69), 12-Июл-24, 11:23 
Не надо подменять правду на свои заблуждения. Nftables появился в ядре 3.13, а это 2014 год.
Firewalld - рабочий релиз лишь в 2015.
Nftables/iptables самодостаточны. Firewalld - всего лишь надстройка над nftables/iptables. О чем вообще говорить?
Поделка, упрощающая жизнь домохозяйкам, не более.
Ответить | Правка | Наверх | Cообщить модератору

74. "Выпуск межсетевого экрана firewalld 2.2.0 "  +/
Сообщение от User (??), 12-Июл-24, 12:00 
> Не надо подменять правду на свои заблуждения. Nftables появился в ядре 3.13,
> а это 2014 год.
> Firewalld - рабочий релиз лишь в 2015.
> Nftables/iptables самодостаточны. Firewalld - всего лишь надстройка над nftables/iptables.
> О чем вообще говорить?
> Поделка, упрощающая жизнь домохозяйкам, не более.

Ухтыжлапочка! А что там по дефолту в FC18 в 2013 году воткнуто было не напомнишь? В 2015 firewalld на github мигрировал - но об этом ясно-понятно в репе информации нет и что там раньше было - ты не нашел, с чем я тебя и поздравляю :).
Что до nftables per se - то из стадии "ненужное ненужно в active developement" оно добралось до production ready в виде дефолта в дистрибутивах хорошо если году к двадцатому...

Ответить | Правка | Наверх | Cообщить модератору

84. "Выпуск межсетевого экрана firewalld 2.2.0 "  +/
Сообщение от Аноним (56), 12-Июл-24, 12:50 
> А что там по дефолту в FC18 в 2013 году воткнуто было не напомнишь?

а поддержка nftables в firewalld вышла из "technology preview" в 2018?

Ответить | Правка | Наверх | Cообщить модератору

97. "Выпуск межсетевого экрана firewalld 2.2.0 "  +/
Сообщение от User (??), 12-Июл-24, 15:18 
>> А что там по дефолту в FC18 в 2013 году воткнуто было не напомнишь?
> а поддержка nftables в firewalld вышла из "technology preview" в 2018?

А хз если честно. В rhel оно в районе 8.2 доехало, чотам в федоре было не особо интересно. В debian вроде в buster nftables дефолтом стал - как раз 2020 вроде.

Ответить | Правка | Наверх | Cообщить модератору

81. "Выпуск межсетевого экрана firewalld 2.2.0 "  +1 +/
Сообщение от Anm (?), 12-Июл-24, 12:43 
А что так сразу домохозяйкам?
Мне вот поначалу (давным давно) очень даже зашёл gtk-iptables.

https://gtk-iptables.sourceforge.net/screenshots.html

Ответить | Правка | К родителю #69 | Наверх | Cообщить модератору

123. "Выпуск межсетевого экрана firewalld 2.2.0 "  –1 +/
Сообщение от Аноним (69), 13-Июл-24, 11:24 
Так на это и бы расчет, что домохозяйкам зайдёт.
Ответить | Правка | Наверх | Cообщить модератору

141. "Выпуск межсетевого экрана firewalld 2.2.0 "  +/
Сообщение от Аноним (141), 15-Июл-24, 07:41 
А ты всё ещё настраиваешь файрвол заклинаниями из командной строки? И как там твой локалхост? Надёжно закрыт тридцатью слоями боевой магии? Тем временем примерно все коммерческие ngfw данным давно через гуи настраиваются (например Cisco ASA 5550 с 2013 года - EoL и в ней тогда уже был gui).
Ответить | Правка | Наверх | Cообщить модератору

82. "Выпуск межсетевого экрана firewalld 2.2.0 "  +/
Сообщение от Аноним (56), 12-Июл-24, 12:43 
> Уфффф... Firewalld если что - старше nftables

так профит в том, что он старше?

> и вот нахрена такой геморрой на саппорте?

или профит в поддержке легаси? так старые скрипты никуда не девались, а легаси свое отжило и было заменено

> Нет, если вы с дивана nm выпилили, net-tools установили и ifconfig'ом сеть конфигуряете, чтобы четвертьвековые скрипты не менять

так обновили скрипты — заменили iptables на nft, заодно обновили правила под новые возможности. Надо было выбрать firewalld вместо nft чтобы что? В надежде, что он переживет nft и автоматом конвертирует правила под новый фаервол?

Ответить | Правка | К родителю #63 | Наверх | Cообщить модератору

98. "Выпуск межсетевого экрана firewalld 2.2.0 "  +1 +/
Сообщение от User (??), 12-Июл-24, 15:24 
Не-не-не. Вот почему с iptables на nftables мигрировать окнорм (и не надо про автоматику, да?) - а на firewalld "этажискрыптыправить, а у нас лапки!"?
А так да, без достаточно серьёзных "why not" надо было в районе 7ой центоси на дефолт дистрибутива переходить.
Ответить | Правка | Наверх | Cообщить модератору

100. "Выпуск межсетевого экрана firewalld 2.2.0 "  +/
Сообщение от Аноним (56), 12-Июл-24, 15:58 
> Не-не-не. Вот почему с iptables на nftables мигрировать окнорм

Заменили бы iptables на firewalld — тоже было бы норм, но он без iptables/nftables не работает.

> а на firewalld "этажискрыптыправить, а у нас лапки!"?

да не лапки, просто непонятно зачем (ну вот не сталкивался я с таким, где он прям нужен, молод еще)

Ответить | Правка | Наверх | Cообщить модератору

108. "Выпуск межсетевого экрана firewalld 2.2.0 "  +/
Сообщение от User (??), 12-Июл-24, 19:20 
>> Не-не-не. Вот почему с iptables на nftables мигрировать окнорм
> Заменили бы iptables на firewalld — тоже было бы норм, но он
> без iptables/nftables не работает.
>> а на firewalld "этажискрыптыправить, а у нас лапки!"?
> да не лапки, просто непонятно зачем (ну вот не сталкивался я с
> таким, где он прям нужен, молод еще)

"Нет, если вы с дивана nm выпилили, net-tools установили и ifconfig'ом сеть конфигуряете, чтобы четвертьвековые скрипты не менять - то я такой подход немного даже уважаю, но всё-таки нет)"(Ц)

Ответить | Правка | Наверх | Cообщить модератору

111. "Выпуск межсетевого экрана firewalld 2.2.0 "  +/
Сообщение от Аноним (56), 12-Июл-24, 19:38 
ок, убедил. Ушел ставить нетплан, снап или чего там сейчас еще "по дефолту" в дистрибутивах
Ответить | Правка | К родителю #108 | Наверх | Cообщить модератору

114. "Выпуск межсетевого экрана firewalld 2.2.0 "  +/
Сообщение от User (??), 12-Июл-24, 20:09 
Ээээ, пжди - что значит "ставить", оно ж по дефолту! Или ты эта... посносить успел?!
Так чо ж это я - угадал насчет ifcofig'а, получается? Дела...
Ответить | Правка | К родителю #111 | Наверх | Cообщить модератору

117. "Выпуск межсетевого экрана firewalld 2.2.0 "  +/
Сообщение от Аноним (56), 12-Июл-24, 23:18 
> Или ты эта... посносить успел?!

а снап уже и в центоси дефолт?! ну раз мы все про неё да про неё

> Так чо ж это я - угадал насчет ifcofig'а, получается?

не, systemd-networkd в основном и пара nm. В дебиане нет firewalld в дефолте

Ответить | Правка | К родителю #114 | Наверх | Cообщить модератору

119. "Выпуск межсетевого экрана firewalld 2.2.0 "  +/
Сообщение от User (??), 13-Июл-24, 08:24 
>> Или ты эта... посносить успел?!
> а снап уже и в центоси дефолт?! ну раз мы все про
> неё да про неё
>> Так чо ж это я - угадал насчет ifcofig'а, получается?
> не, systemd-networkd в основном и пара nm. В дебиане нет firewalld в
> дефолте

Какая-то шизофрения, простите. Ещё раз - выбираете дистрибутив и используете _его_ дефолтный тулинг, если у вас нет ОЧЕНЬ серьёзных причин делать иначе.

Ну и да, почему networkd/nm - это жеж сколько скрЫптов переписать пришлось? Сидели бы на devuan'е - горя не знали...

Ответить | Правка | К родителю #117 | Наверх | Cообщить модератору

103. "Выпуск межсетевого экрана firewalld 2.2.0 "  +/
Сообщение от Аноним (102), 12-Июл-24, 17:01 
Да хоть 100 лет, непонятно зачем он нужен, когда есть такие же решения, под которые есть _уже_ вся обвязка. Чтобы что?
Ответить | Правка | К родителю #47 | Наверх | Cообщить модератору

107. "Выпуск межсетевого экрана firewalld 2.2.0 "  +/
Сообщение от User (??), 12-Июл-24, 19:18 
> Да хоть 100 лет, непонятно зачем он нужен, когда есть такие же
> решения, под которые есть _уже_ вся обвязка. Чтобы что?

"Нет, если вы с дивана nm выпилили, net-tools установили и ifconfig'ом сеть конфигуряете, чтобы четвертьвековые скрипты не менять - то я такой подход немного даже уважаю, но всё-таки нет)"(Ц)

Ответить | Правка | Наверх | Cообщить модератору

116. "Выпуск межсетевого экрана firewalld 2.2.0 "  +/
Сообщение от Аноним (4), 12-Июл-24, 22:41 
Не, финт ушами не пройдет) Firewalld не является обязательным элементом и не несёт никакой добавленной стоимости. Так что это вы с дивана нам тут вещаете, пока вам говорят бест практис в индустрии.
Ответить | Правка | Наверх | Cообщить модератору

118. "Выпуск межсетевого экрана firewalld 2.2.0 "  +/
Сообщение от User (??), 13-Июл-24, 08:21 
> Не, финт ушами не пройдет) Firewalld не является обязательным элементом и не
> несёт никакой добавленной стоимости. Так что это вы с дивана нам
> тут вещаете, пока вам говорят бест практис в индустрии.

А ip по сравнению с ifconfig - является и несёт? А nm по сравнению с ifcfg-eth0?

Ответить | Правка | Наверх | Cообщить модератору

127. "Выпуск межсетевого экрана firewalld 2.2.0 "  +/
Сообщение от Аноним (56), 13-Июл-24, 13:57 
> А ip по сравнению с ifconfig - является и несёт?

ifconfig на момент его закапывания имел проблемы с отображением настроек сделанных через ip и пр.
> А nm по сравнению с ifcfg-eth0?

разве что на десктопе/ноутбуке

Ответить | Правка | Наверх | Cообщить модератору

131. "Выпуск межсетевого экрана firewalld 2.2.0 "  +/
Сообщение от User (??), 13-Июл-24, 19:08 
>> А ip по сравнению с ifconfig - является и несёт?
> ifconfig на момент его закапывания имел проблемы с отображением настроек сделанных через
> ip и пр.

Так не пользуйтесь ip - и проблем с отображением не будет, делов-то. Еще и скрЫпты четвертьвековой давности менять не придется.

>> А nm по сравнению с ifcfg-eth0?
> разве что на десктопе/ноутбуке

Ну, т.е. на серверах - вы ifcfg и дергаете?


Ответить | Правка | Наверх | Cообщить модератору

130. "Выпуск межсетевого экрана firewalld 2.2.0 "  +/
Сообщение от нах. (?), 13-Июл-24, 16:34 
> А ip по сравнению с ifconfig - является и несёт?

внезапно, да. Это прямой интерфейс к механизмам ядра, а не прослойка поверх прокладки.

Причем это _другой_ интерфейс (ifconfig потому только до сих пор и жив, что в теории очень очень теоретически может оказаться где-то такое суперуникальное ведро что там сэкономили целых полтора килобайта и ip не работает в принципе) и в старый запихать все параметры которыми оно управляет - не то чтоб совсем невозможно, но выйдет неописуемо уродливо, см. freebsd.

> А nm по сравнению с ifcfg-eth0?

оверинжинеренная хрень для любителей дрисктопов. (в отличие от firewalld который действительно упрощает конфигурацию простых случаев, это - набор костылей и подпорок для альтернативно-одаренных не могущих в конфиги, эту самую конфигурацию делающий максимально неудобной для всех остальных).

К счастью, редхат пока сохранил ifcfg, а убунта вообще нашла обходной путь (таки добавив прослойку к прокладке, но та действительно упрощает настройку и причем не только тривиальных конфигураций)

Ответить | Правка | К родителю #118 | Наверх | Cообщить модератору

132. "Выпуск межсетевого экрана firewalld 2.2.0 "  +/
Сообщение от User (??), 13-Июл-24, 19:16 
>> А ip по сравнению с ifconfig - является и несёт?
> внезапно, да. Это прямой интерфейс к механизмам ядра, а не прослойка поверх
> прокладки.

Для _программиста_ возможно - а для пользователя не все ли равно, "прослойка", "прокладка" или аж прям прямой интерфейс к? Нет, есть конечно сыроеды, которые в борьбе с вот этим всем к плодам матери-земли непосредственно приникают - но кагбээ...

> Причем это _другой_ интерфейс (ifconfig потому только до сих пор и жив,
> что в теории очень очень теоретически может оказаться где-то такое суперуникальное
> ведро что там сэкономили целых полтора килобайта и ip не работает
> в принципе) и в старый запихать все параметры которыми оно управляет
> - не то чтоб совсем невозможно, но выйдет неописуемо уродливо, см.
> freebsd.

Ну вот как раз во фре - вполне даже ничего вышло. В линуксьях да, уродливо - но они _в принципе_ в дизайн (Даже cli-утилит) не способны - куды не глянь. Хоть в iptables, хоть в git...  ip по сравнению с linux'овывм ifcofig'ом получше конечно - но тоже такоэ.

>> А nm по сравнению с ifcfg-eth0?
> оверинжинеренная хрень для любителей дрисктопов. (в отличие от firewalld который действительно
> упрощает конфигурацию простых случаев, это - набор костылей и подпорок для
> альтернативно-одаренных не могущих в конфиги, эту самую конфигурацию делающий максимально
> неудобной для всех остальных).

Ну вот кто бы спорил...  networkd кстати малость даже получше смотрится ).

> К счастью, редхат пока сохранил ifcfg, а убунта вообще нашла обходной путь
> (таки добавив прослойку к прокладке, но та действительно упрощает настройку и
> причем не только тривиальных конфигураций)

Дблин. Ну что вы так к прослойкам-к-прокладке относитесь? Машина небось с АКПП и гидроусилителем руля - или вот сцепление без синхронизатора и рулить реечкой? Вполне нормально netplan получился - тот случай, когда "дополнительный" уровень абстракции не "лишний".

Ответить | Правка | Наверх | Cообщить модератору

137. "Выпуск межсетевого экрана firewalld 2.2.0 "  +/
Сообщение от нах. (?), 14-Июл-24, 00:23 
> Для _программиста_ возможно - а для пользователя не все ли равно

А пользуемому и не надо задавать такие вопросы. Пусть дальше смотрит свой тик-ток.

Он все равно ни тем ни другим не пользуем.

> Ну вот как раз во фре - вполне даже ничего вышло.

наоборот, во фре вышло редкостное г-но с нерегулярным синтаксисом, в котором сам чорт ногу сломит, миллионом параметров (потому что специфичное для разных драйверов и разных сетей попытались затолкать в одну команду) которые невозможно запомнить, и man-"страничкой" на пару тыщ строк.
Отдельно рекомендую к почитанию прекрасную идею с local0, угадай что он сегодня означает.

Причем если в линуксе еще можно предположить что ifconfig может пригодиться для совместимости с какими-нибудь замшелыми скриптами 80х годов прошлого века, ему постарались сохранить тот самый синтаксис, то во фре и совместимости давным-давно нет, и вменяемости нет.

> Дблин. Ну что вы так к прослойкам-к-прокладке относитесь? Машина небось с АКПП

акпп не является прослойкой к прокладкам. Это принципиально другая конструкция _вместо_. А вот "роботизированные" коробки с сухим сцеплением "за что-то" все очень не любят. Затодешовенькие, поэтому что-то с нормальным гидравлическим автоматом сейчас - сильно поискать, а скоро их вообще не будет.

Ответить | Правка | К родителю #132 | Наверх | Cообщить модератору

149. "Выпуск межсетевого экрана firewalld 2.2.0 "  +/
Сообщение от Аноним (147), 16-Июл-24, 10:42 
>> Потому что используется nftables/iptables, зачем же ещё. Это как с селинуксом.
> Глупостями занимаются люди. Не умеют готовить просто.

Как по памяти написать анти-DDoS правило... С хорошим логгированием, чтобы в логи не чрезмерно часто записывало... С переключениями на лету.

Ищут простых решений сложных ситуаций. Но такой софт если хороший, то будет сложен как ЛибреОФис, например. Либо будет тяжёлый в настройке. Либо будет уметь кроме HTTP и ICMP, да и только.

Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

158. "Выпуск межсетевого экрана firewalld 2.2.0 "  +/
Сообщение от noc101 (ok), 16-Июл-24, 15:00 
>>> Потому что используется nftables/iptables, зачем же ещё. Это как с селинуксом.
>> Глупостями занимаются люди. Не умеют готовить просто.
> Как по памяти написать анти-DDoS правило... С хорошим логгированием, чтобы в логи
> не чрезмерно часто записывало... С переключениями на лету.
> Ищут простых решений сложных ситуаций. Но такой софт если хороший, то будет
> сложен как ЛибреОФис, например. Либо будет тяжёлый в настройке. Либо будет
> уметь кроме HTTP и ICMP, да и только.

Точно также как и везде.

Ответить | Правка | Наверх | Cообщить модератору

32. "Выпуск межсетевого экрана firewalld 2.2.0 "  –3 +/
Сообщение от Diozan (ok), 12-Июл-24, 08:02 
Это, наверное, такой вид садо-мазохизма. Установить сервис, а потом сделать ему systemctl disable... На вопрос - А зачем устанавливал, ответа, думаю, не последует. А может устанавливать под дулом пистолета заставляют?
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

39. "Выпуск межсетевого экрана firewalld 2.2.0 "  +2 +/
Сообщение от anonymous (??), 12-Июл-24, 09:08 
Эх, сейчас бы научится читать и понимать прочитанное...
Ответить | Правка | Наверх | Cообщить модератору

44. "Выпуск межсетевого экрана firewalld 2.2.0 "  +1 +/
Сообщение от Аноним (42), 12-Июл-24, 09:30 
Наверное потому что в рхел, центос и пр. оно ставится по умолчанию, не?
Ответить | Правка | К родителю #32 | Наверх | Cообщить модератору

70. "Выпуск межсетевого экрана firewalld 2.2.0 "  +1 +/
Сообщение от Аноним (69), 12-Июл-24, 11:25 
Вы дали ответ для человека-разумного. Автор поста, на который Вы ответили, из другой эволюционной ветки гоминоидов.
Ответить | Правка | Наверх | Cообщить модератору

52. "Выпуск межсетевого экрана firewalld 2.2.0 "  +/
Сообщение от Соль земли (?), 12-Июл-24, 10:20 
firewalld используется в CentOS, а там по умолчанию все новые пакеты ставятся disabled
Ответить | Правка | К родителю #32 | Наверх | Cообщить модератору

78. "Выпуск межсетевого экрана firewalld 2.2.0 "  –1 +/
Сообщение от Аноним (77), 12-Июл-24, 12:23 
Ну вот правильно же выше написали: "А может устанавливать под дулом пистолета заставляют?"
Ответить | Правка | Наверх | Cообщить модератору

124. "Выпуск межсетевого экрана firewalld 2.2.0 "  +1 +/
Сообщение от Аноним (124), 13-Июл-24, 11:31 
Пакеты, которые не были установлены в системе, конечно, disabled. А все предустановленные, включая firewalld, конечно, enabled.
Ответить | Правка | К родителю #52 | Наверх | Cообщить модератору

29. "Выпуск межсетевого экрана firewalld 2.2.0 "  +1 +/
Сообщение от Аноним (29), 12-Июл-24, 07:54 
Я бы ещё от systemctl избавился. Просто не ставлю его.
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

72. "Выпуск межсетевого экрана firewalld 2.2.0 "  –3 +/
Сообщение от Аноним (69), 12-Июл-24, 11:28 
В первом предложения использовано будущее время - заявляются намерения. Во второй используется прошедшее - дается описание свершившимся фактам.
Вы осознаёте то, что пишите?
Ответить | Правка | Наверх | Cообщить модератору

76. "Выпуск межсетевого экрана firewalld 2.2.0 "  +/
Сообщение от Аноним (77), 12-Июл-24, 12:19 
Вам требуется разжевать на полстранички?
Ответить | Правка | Наверх | Cообщить модератору

125. "Выпуск межсетевого экрана firewalld 2.2.0 "  +/
Сообщение от Аноним (124), 13-Июл-24, 11:34 
Ты на своей собственной дженту или ещё какой слаке можешь как угодно развлекаться.
Ответить | Правка | К родителю #29 | Наверх | Cообщить модератору

71. "Выпуск межсетевого экрана firewalld 2.2.0 "  +2 +/
Сообщение от Аноним (71), 12-Июл-24, 11:26 
И правильно делают.
Еще одна правильная "настройка":
apt purge firewalld / dnf remove firewalld

Этот "велосипед" с квадратными колёсами, у которого ещё и "руль" спрятан. Как там трассировать пакеты по правилам? Для более менее гибкой настройки оно переизобретает всё то, что уже есть в nftables, но без счётчиков и прочих плюшек. За ради почему? Зачем тогда учить два синтаксиса, если можно просто один раз изучить nftables и собрать на нём хоть чёрта лысого без всяких жирных демоном на пухтоне?

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

126. "Выпуск межсетевого экрана firewalld 2.2.0 "  +/
Сообщение от Аноним (124), 13-Июл-24, 11:39 
Одно у тебя для настройки и чтобы правила не слетали, а с другого собирай статистику сколько влезет если так нужно. Никто nft list ruleset у тебя не отбирает.
Ответить | Правка | Наверх | Cообщить модератору

151. "Выпуск межсетевого экрана firewalld 2.2.0 "  +/
Сообщение от Аноним (147), 16-Июл-24, 10:48 
"ruleset" может быть очень сложен, после автогенератора правил, учитывающего все возможные случаи и удобства неизвестного заранее пользователя. А тогда "nft list ruleset" НЕполезен из-за монструозности правил автогенератора.

Keep it simple. Или придётся городить второй Apple, до размера которого сабжу как до соседней планеты.

Ответить | Правка | Наверх | Cообщить модератору

46. "Выпуск межсетевого экрана firewalld 2.2.0 "  –1 +/
Сообщение от Аноним (46), 12-Июл-24, 09:37 
Абсолютно уродский и непонятный интерфейс.

1) В какой зоне я сейчас нахожусь? ХЗ.
2) Как посмотреть правила для определенной зоны? ХЗ.
3) Где посмотреть текущие правила? ХЗ.
4) Что такое permanent и runtime правила и вообще зачем это надо? ХЗ.

Откройте Windows Firewall - да, одна тупая страница со всеми правилами и всё понятно.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

51. "Выпуск межсетевого экрана firewalld 2.2.0 "  +5 +/
Сообщение от Аноним (48), 12-Июл-24, 10:18 
1) --get-default-zone что бы узнать зону по умолчанию, а вообще это интерфейсы в разных зонах, если их больше одного
2) --zone={имя зоны} --list-all
3) --list-all - для дефолтной, --list-all-zone - для всех зон
4) правила которые сохранятся или не сохранятся при перезапуске сервиса (или перезагрузке системы). зачем сбрасывать правило при рестарте, ну как минимум можно все настроить, проверить, и только после этого сохранить как постоянные.
Ответить | Правка | Наверх | Cообщить модератору

64. "Выпуск межсетевого экрана firewalld 2.2.0 "  +1 +/
Сообщение от Аноним (64), 12-Июл-24, 11:03 
Чувак, да я сам с нуля накатал правила что для iptables, что для nftables. Там всё чётко и понятно и нет гор мусора. Не надо мне эту пар*шу непонятную.

Оно нелогично и слишком сложно, точка. Сделали для якобы упрощения, а получилось в итоге хуже.

Ещё раз, глянь на Windows Firewall и сразу станет очевидно, что там делали для людей, а в Линуксе надмозги сделали для надмозгов.

Единственно, недавно понял, что правила для ip6 немного неправильные (раньше работали) - после 15 минут отладки всё заработало, после чего IPv6 отключил к чертям, ибо оно несовместимо с VPN. Трафик течёт. Конечно, можно изгаляться и отключать IPv6 после подключения к VPN, но это может нечаянно сломаться с любой момент, поэтому к чёрту.

Ответить | Правка | Наверх | Cообщить модератору

135. "Выпуск межсетевого экрана firewalld 2.2.0 "  +/
Сообщение от Аноним (135), 13-Июл-24, 21:05 
>Оно нелогично и слишком сложно, точка

Не осилил, ясно. Сразу бы с этого начал.

Ответить | Правка | Наверх | Cообщить модератору

136. "Выпуск межсетевого экрана firewalld 2.2.0 "  +/
Сообщение от Аноним (136), 13-Июл-24, 23:01 
Золотые слова бро! ППКС
В виндовс файрвол настраивается и используется интуитивно, отличный инструмент, образец как надо делать что то для обычных пользователей.
Те у кого настройка чего либо (не работа) это хобби/работа это отдельная тема.
Ответить | Правка | К родителю #64 | Наверх | Cообщить модератору

140. "Выпуск межсетевого экрана firewalld 2.2.0 "  +/
Сообщение от Sem (??), 15-Июл-24, 00:33 
Что за ерунда с несовместимостью ipv6 и VPN? Может маршрутизацию просто настроить?
Ответить | Правка | К родителю #64 | Наверх | Cообщить модератору

68. "Выпуск межсетевого экрана firewalld 2.2.0 "  +3 +/
Сообщение от Аноним (68), 12-Июл-24, 11:20 
Файрвол для здоровых людей должен выглядеть так
https://gitflic.ru/project/don_venchenzo/gshorewall
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

88. "Выпуск межсетевого экрана firewalld 2.2.0 "  –1 +/
Сообщение от Аноним (88), 12-Июл-24, 13:33 
Такая же фигня как firewalld.

Не должно быть у менеджера сетевых правил "интерфеса", точка.

Вы создаёте правила и говорите, либо оно для всех, либо для одного.

Всё это должно быть в одном понятном списке:

https://i.sstatic.net/soWUR.png

Вот это предельно ясно и понятно и можно отсортировать любым способом.

Ответить | Правка | Наверх | Cообщить модератору

89. "Выпуск межсетевого экрана firewalld 2.2.0 "  –1 +/
Сообщение от Аноним (88), 12-Июл-24, 13:34 
Если картинка не открывается, можно посмотреть здесь:

https://security.stackexchange.com/questions/163557/why-the-...

Ответить | Правка | Наверх | Cообщить модератору

92. "Выпуск межсетевого экрана firewalld 2.2.0 "  +/
Сообщение от Аноним (68), 12-Июл-24, 14:01 
Берете vim и ручками пишите в файл rules ваши правила.
Ответить | Правка | К родителю #88 | Наверх | Cообщить модератору

104. "Выпуск межсетевого экрана firewalld 2.2.0 "  +1 +/
Сообщение от Аноним (48), 12-Июл-24, 17:37 
> Не должно быть у менеджера сетевых правил "интерфеса", точка.

Так их и нет в firewalld. Есть правила зоны.

> Вы создаёте правила и говорите, либо оно для всех, либо для одного.

Ну, то есть либо ты открываешь порт "со всех доступных сторон", либо не открываешь совсем? Я понимаю, что идея что компьютер может исполнять роль гранчиного фаервола на стыке двух и более сетей - дикая, для этого нужно D-Linkпокупать, да?

> Вот это предельно ясно и понятно и можно отсортировать любым способом.

А уж компьютер без гуя вообще от лукавого? "New-NetFirewallRule -DisplayName "Allow HTTP" -Protocol TCP -LocalPort 80 -Action Allow" сильно проще и удобнее.

Ответить | Правка | К родителю #88 | Наверх | Cообщить модератору

133. "Выпуск межсетевого экрана firewalld 2.2.0 "  +/
Сообщение от нах. (?), 13-Июл-24, 20:15 
> Я понимаю, что идея что компьютер может исполнять роль гранчиного фаервола на стыке двух
> и более сетей - дикая, для этого нужно D-Linkпокупать, да?

для этого достаточно правил форварда. Отдельных совершенно от правил доступа.

И таки единственое неоспоримое достоинство линукса - что у него уже 25 лет они - отдельны.
(фиредырды таки успешно сводит и это к х-ю - поскольку файрволом как раз и не является)

У вендыпоганой для этого надо было покупать isa, который сперва превратили в tmg (обло, озорно, стозевно и cepит под себя) а потом со словами "брр, что это за х-ню мы породили?!" тем чем породили, тем и убили. Причем это точно были не руки. Теперь таки надо покупать - дырлинк. С linoops но без firewalld (последнее неточно). MS слилась.

> А уж компьютер без гуя вообще от лукавого? "New-NetFirewallRule -DisplayName "Allow HTTP"
> -Protocol TCP -LocalPort 80 -Action Allow" сильно проще и удобнее.

а он уже был открыт. Приятного тебе развлечения безгуя выяснять, каким из стапитисот возможных способов, если ты заранее не знаешь как называется это правило и сколько их.

И это только пакетный фильтр локалхоста. Попробовал бы ты поадминить tmg.

У нас весь отдел (включая и меня, вроде как не должно было касаться, но вот) три дня бухал, рвал баяны и жег фейерверки когда мы эту хтонь сумели заменить на железки. (и свалить их обслуживание на сетевое подразделение, хахахаха, жалкие неудачники)

Ответить | Правка | Наверх | Cообщить модератору

99. "Выпуск межсетевого экрана firewalld 2.2.0 "  +/
Сообщение от 111email (??), 12-Июл-24, 15:29 
> gshorewall

Прочитал как "КошерВолл". Подумал, что надо бы ещё и "ХаляльВолл" придумать.

Ответить | Правка | К родителю #68 | Наверх | Cообщить модератору

105. "Выпуск межсетевого экрана firewalld 2.2.0 "  +/
Сообщение от Аноним (48), 12-Июл-24, 17:39 
И что бы они конфликтовали, если на одну машину поставишь.
Ответить | Правка | Наверх | Cообщить модератору

5. Скрыто модератором  –1 +/
Сообщение от Максим (??), 11-Июл-24, 22:58 
Ответить | Правка | Наверх | Cообщить модератору

7. Скрыто модератором  –2 +/
Сообщение от Аноним (7), 11-Июл-24, 23:13 
Ответить | Правка | Наверх | Cообщить модератору

55. Скрыто модератором  +/
Сообщение от Соль земли (?), 12-Июл-24, 10:26 
Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

58. Скрыто модератором  –2 +/
Сообщение от Аноним (56), 12-Июл-24, 10:30 
Ответить | Правка | Наверх | Cообщить модератору

90. Скрыто модератором  +/
Сообщение от Соль земли (?), 12-Июл-24, 13:38 
Ответить | Правка | Наверх | Cообщить модератору

94. Скрыто модератором  +/
Сообщение от Аноним (56), 12-Июл-24, 14:40 
Ответить | Правка | Наверх | Cообщить модератору

73. Скрыто модератором  +/
Сообщение от Аноним (68), 12-Июл-24, 11:31 
Ответить | Правка | К родителю #55 | Наверх | Cообщить модератору

101. Скрыто модератором  +/
Сообщение от Аноним (101), 12-Июл-24, 16:59 
Ответить | Правка | К родителю #55 | Наверх | Cообщить модератору

6. "Выпуск межсетевого экрана firewalld 2.2.0 "  +1 +/
Сообщение от BlackRot (ok), 11-Июл-24, 22:59 
Сервисы удобная штука
Ответить | Правка | Наверх | Cообщить модератору

9. "Выпуск межсетевого экрана firewalld 2.2.0 "  +2 +/
Сообщение от Аноним (9), 11-Июл-24, 23:33 
Он что есть, что нет, как и UFW.
Ответить | Правка | Наверх | Cообщить модератору

17. "Выпуск межсетевого экрана firewalld 2.2.0 "  –3 +/
Сообщение от Аноним (69), 12-Июл-24, 02:29 
Точно подмечено. Что ожидать от псевдофайрвола, который не использует ip-адреса, но зато позволяет открыть проходной двор по названию службы? И нужна ли вообще эта нелепая прокладка между командной строкой и iptables/nftables.
systemctl stop firewalld - это безальтернативное действие.
Ответить | Правка | Наверх | Cообщить модератору

19. "Выпуск межсетевого экрана firewalld 2.2.0 "  +3 +/
Сообщение от Аноним (7), 12-Июл-24, 04:04 
> не использует ip-адреса

Что, не дочитал до ipset? Ну бывает…

Ответить | Правка | Наверх | Cообщить модератору

65. "Выпуск межсетевого экрана firewalld 2.2.0 "  +/
Сообщение от Аноним (69), 12-Июл-24, 11:11 
Укажи мне, где в тексте новости сказано про ipset. Или видишь то, чего нет, включая белочек? Ну бывает.
Ответить | Правка | Наверх | Cообщить модератору

106. "Выпуск межсетевого экрана firewalld 2.2.0 "  +1 +/
Сообщение от Аноним (48), 12-Июл-24, 17:52 
Бывает другое, что не все что есть в софте написано в новости про обновление версии. А то боюсь представить, как ты сильно расстраиваешься с каждой новости по обновлению ядра, ведь новые драйвера появляются на одну версию и потом пропадают, да?)
Ответить | Правка | Наверх | Cообщить модератору

146. "Выпуск межсетевого экрана firewalld 2.2.0 "  –1 +/
Сообщение от Аноним (69), 16-Июл-24, 10:34 
Специалист по обновлению драйверов? :)
Зачем людям, знающим iptables/nftables читать руководства для домохозяек?
Ответить | Правка | Наверх | Cообщить модератору

150. "Выпуск межсетевого экрана firewalld 2.2.0 "  +/
Сообщение от нах. (?), 16-Июл-24, 10:45 
> Специалист по обновлению драйверов? :)
> Зачем людям, знающим iptables/nftables читать руководства для домохозяек?

затем что ты только что нес дезинформацию, что "там нет адресов" про утилиту "для домохозяек".

А теперь хочешь чтобы кто-то поверил что ты что-то знаешь кроме iptables/nftables/кунфу/джиу-джитсу и еще десятка страшных слов.


Ответить | Правка | Наверх | Cообщить модератору

134. "Выпуск межсетевого экрана firewalld 2.2.0 "  +/
Сообщение от нах. (?), 13-Июл-24, 20:43 
> Точно подмечено. Что ожидать от псевдофайрвола, который не использует ip-адреса

а если найду?!

firewall-cmd --zone=ssh-access --add-source=127.0.0.0/8
(да, это феерично криво, и ломает его интеграцию с nm, но так - можно)

> И нужна ли вообще эта нелепая прокладка между командной строкой и iptables/nftables.

судя по тому что ты ниасилил даже ман прочитать - таким вот точно нужна. Потому что удержать в голове весь миллион кракозябов конфига nft ты точно не сможешь и какую-то фигню нагородишь.

Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

152. "Выпуск межсетевого экрана firewalld 2.2.0 "  +/
Сообщение от Аноним (69), 16-Июл-24, 10:50 
> firewall-cmd --zone=ssh-access --add-source=127.0.0.0/8

А точно ли есть какой-то смысл в сей поделке, когда вариант:
iptables -p 6 --dport 22 -s 127/8 -j ACCEPT
и короче и сразу в байт-код, минуя прокладку в виде firewalld?

Если только польза нумерофобам, которым не удержать в голове номера портов, но при этом тарабарщина вида "zone=ssh-access" вызывает какие-то ассоциативные ряды.

Ответить | Правка | Наверх | Cообщить модератору

157. "Выпуск межсетевого экрана firewalld 2.2.0 "  +/
Сообщение от нах. (?), 16-Июл-24, 12:46 
> А точно ли есть какой-то смысл в сей поделке, когда вариант:
> iptables -p 6 --dport 22 -s 127/8 -j ACCEPT
> и короче и сразу в байт-код,

и сразу не работает.

Поправил, не благодари.
iptables -p 6 --dport 22 -s 127/8 -j ACCEPT
iptables v1.8.7 (legacy): no command specified
Try `iptables -h' or 'iptables --help' for more information.

И вот так у вас - всьо.

А когда ты все это исправишь чтоб оно хотя бы запускалось - тебя ждет следующий этап. После двух десятков вот таких заклинаний - попробуй что-то исправить.
Отдельно - набранных не тобой, а тем, другим васяном.

Это еще нулевой уровень. Первый - а теперь то же самое но помимо васянов там постарался дыркер (и будет - после тебя) - и надо ничего ему не сломать.

Идея firewalld (помимо независимости от конкретной реализации ядерного файрвола, что само по себе неплохо) - в том что тебе не обязательно знать что там до тебя понакуролесили другие васяны, чтобы добавить еще один сервис к сотне имеющихся (причем после тебя третий васян может включить и выключить его на нужных интерфейсах, не лазя внутрь). Потому что по сути (помимо утилиты с печальным синтаксисом) это фиксация допустимого набора правил и того что этим правилам положено делать, а что нет.

Ну оно немнозецько уе6@нски полуцилося... ну это как всегда. Вендофиревал требует для своей реализации другую ядерную, его скосплеить все равно не выйдет.

Ответить | Правка | Наверх | Cообщить модератору

57. "Выпуск межсетевого экрана firewalld 2.2.0 "  +/
Сообщение от Соль земли (?), 12-Июл-24, 10:28 
Нет. firewalld или ufw - по умолчанию закрыты, как ipfw. Поэтому приучают открывать только нужное.
Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

10. "Выпуск межсетевого экрана firewalld 2.2.0 "  +/
Сообщение от Аноним (10), 11-Июл-24, 23:43 
Если в установке по умолчанию в Убунте посмотреть список портов, на которых кто-то слушает, то там будут всякие DHCP, mdns, domain, ipp и может быть еще что-то. Эти вещи как-то приписаны в фаервол? Или каждый порт надо будет добавлять руками?
Ответить | Правка | Наверх | Cообщить модератору

14. "Выпуск межсетевого экрана firewalld 2.2.0 "  +/
Сообщение от cheburnator9000 (ok), 12-Июл-24, 00:38 
Дефолтные правила должны мейнтейнеры пакетов добавлять в свои пакеты сами. Возможно они там есть но это не факт, в убунте же ufw.
Ответить | Правка | Наверх | Cообщить модератору

59. "Выпуск межсетевого экрана firewalld 2.2.0 "  +/
Сообщение от Соль земли (?), 12-Июл-24, 10:30 
Тебе религия запрещает написать ufw show?
Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

79. "Выпуск межсетевого экрана firewalld 2.2.0 "  –4 +/
Сообщение от нах. (?), 12-Июл-24, 12:24 
и зачем ему 'ufw' is not recognized as an internal or external command,
operable program or batch file ?

А устанавливать убунту ради посмотреть ответ на этот вопрос - да, может и не позволять,  дело долгое, нервотрепное, а до начала шаббата уже меньше пол-дня.

Но забавно что здешние горе-фанаты шва6одки не знают ответ.


Ответить | Правка | Наверх | Cообщить модератору

11. "Выпуск межсетевого экрана firewalld 2.2.0 "  –1 +/
Сообщение от Аноним (11), 11-Июл-24, 23:53 
> Firewalld запускается в виде фонового процесса, позволяющего динамически изменять правила пакетного фильтра через D-Bus, без необходимости перезагрузки правил пакетного фильтра и без разрыва установленных соединений

Бла-бла-бла. Типа, какая крутая штукенция, но при этом тут же указаны dbus и код на питоне. Да лучше без фонового процесса, без d-bus и питона, но с разрывом соединений. Лучше заново коннект установить, чтоб этот треш в системе иметь

Ответить | Правка | Наверх | Cообщить модератору

12. "Выпуск межсетевого экрана firewalld 2.2.0 "  +1 +/
Сообщение от Аноним (1), 11-Июл-24, 23:58 
> лучше без фонового процесса

IPC организовывается фоновыми процессами.

> без d-bus

D-Bus -- важнейший компонент десктопного (и не только) линукса. Смирись. Да и реализовывать свой собственный нескучный IPC уже не круто.

> и питона

Питон в данном случае не мешает.

Ответить | Правка | Наверх | Cообщить модератору

61. "Выпуск межсетевого экрана firewalld 2.2.0 "  +/
Сообщение от Соль земли (?), 12-Июл-24, 10:33 
> IPC организовывается фоновыми процессами.

нет, он организовывается механизмами в ядре линукс (сокеты, системные вызовы)

Ответить | Правка | Наверх | Cообщить модератору

80. "Выпуск межсетевого экрана firewalld 2.2.0 "  +/
Сообщение от Аноним (77), 12-Июл-24, 12:28 
Механизмами ядра организовывается транспортный уровень. Прикладной уровень организовывается таки (фоновыми) процессами в пользовательском пространстве.
Ответить | Правка | Наверх | Cообщить модератору

86. "Выпуск межсетевого экрана firewalld 2.2.0 "  +1 +/
Сообщение от Соль земли (?), 12-Июл-24, 13:04 
Необязательно. Если я создал сокет для соединения с mysql, то для этого не нужен ещё один процесс.
Ответить | Правка | Наверх | Cообщить модератору

36. "Выпуск межсетевого экрана firewalld 2.2.0 "  +2 +/
Сообщение от нах. (?), 12-Июл-24, 08:27 
> динамически изменять правила пакетного фильтра через D-Bus, без необходимости перезагрузки правил
> пакетного фильтра и без разрыва установленных соединений

"Шеф, может скажем им?"

> Бла-бла-бла. Типа, какая крутая штукенция, но при этом тут же указаны dbus и код на питоне.

не имеющие ни малейшего отношения к тому что выше процитировано. Вот вообще.
Кстати, и про имена сервисов в общем-то то же самое. iptables прекрасно может в getservicebyname без дерьмобасов и пихонов.

А в целом лучше не говорить. Улыбаемся и машем.

Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

37. "Выпуск межсетевого экрана firewalld 2.2.0 "  +2 +/
Сообщение от Аноним (11), 12-Июл-24, 08:54 
Не понимаю почему тебя здесь не любят. Правильно же все говоришь
Ответить | Правка | Наверх | Cообщить модератору

40. "Выпуск межсетевого экрана firewalld 2.2.0 "  +5 +/
Сообщение от нах. (?), 12-Июл-24, 09:13 
> Не понимаю почему тебя здесь не любят. Правильно же все говоришь

"вот за это и не любят"

Ответить | Правка | Наверх | Cообщить модератору

45. "Выпуск межсетевого экрана firewalld 2.2.0 "  +2 +/
Сообщение от Аноним (-), 12-Июл-24, 09:33 
Сам себя не похвалишь - никто не похвалит. :)
Ответить | Правка | К родителю #37 | Наверх | Cообщить модератору

109. "Выпуск межсетевого экрана firewalld 2.2.0 "  +1 +/
Сообщение от _ (??), 12-Июл-24, 19:28 
Дык необходимость в "похвалят" с возрастом сильно снижается ... :)

А постит он обидную правду исключительно из вредности характера, впрочем как и я, к примеру :-)

Ответить | Правка | Наверх | Cообщить модератору

13. Скрыто модератором  –3 +/
Сообщение от Аноним (11), 12-Июл-24, 00:24 
Ответить | Правка | Наверх | Cообщить модератору

142. Скрыто модератором  +/
Сообщение от Аноним (124), 15-Июл-24, 15:35 
Ответить | Правка | Наверх | Cообщить модератору

167. Скрыто модератором  +/
Сообщение от нах. (?), 17-Июл-24, 12:29 
Ответить | Правка | Наверх | Cообщить модератору

16. "Выпуск межсетевого экрана firewalld 2.2.0 "  +/
Сообщение от Аноним (16), 12-Июл-24, 01:43 
да да, крутая штукенция не умеющая закрывать доступ на уровне отдельных приложений.
Ответить | Правка | Наверх | Cообщить модератору

18. "Выпуск межсетевого экрана firewalld 2.2.0 "  +/
Сообщение от Аноним (69), 12-Июл-24, 02:33 
Ну как же, ведь они доросли в 2024-ом, что добавили owner. Каждому приложению свой owner, как в Android, и будет Вам счастье.
Ответить | Правка | Наверх | Cообщить модератору

20. "Выпуск межсетевого экрана firewalld 2.2.0 "  +/
Сообщение от Аноним (20), 12-Июл-24, 04:12 
В 2024 уже есть готовый opensnitch и конструктор eBPF. А вот кому нужен этот firewalld, когда порт можно легко открыть одной командой в консоли или строчкой в конфиге с помощью штатного nftables? Причем без Python, DBUS, регистрации и СМС. Загадка.
Ответить | Правка | Наверх | Cообщить модератору

143. "Выпуск межсетевого экрана firewalld 2.2.0 "  +/
Сообщение от Аноним (124), 15-Июл-24, 15:37 
> В 2024 уже есть готовый opensnitch и конструктор eBPF. А вот кому
> нужен этот firewalld, когда порт можно легко открыть одной командой в
> консоли или строчкой в конфиге с помощью штатного nftables?

Контейнерным движкам, например, чтобы сетью через библиотеку рулить.


Ответить | Правка | Наверх | Cообщить модератору

25. "Выпуск межсетевого экрана firewalld 2.2.0 "  +2 +/
Сообщение от User (??), 12-Июл-24, 05:15 
Так это не к firewall претензия, а камень в огород модели безопасности Linux. Или вам две охапки костылей подавай? Так один opensnitch у нас уже есть - так нужный так нужный, что нафиг никому не нужный судя по его отсутствию в дефолтах дистрибутивов...
Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

54. "Выпуск межсетевого экрана firewalld 2.2.0 "  +/
Сообщение от iCat (ok), 12-Июл-24, 10:25 
>...камень в огород модели безопасности Linux.

Если я правильно понимаю, то ты знаешь где модель безопасности хороша?
Скажи, будь добр, где?

Ответить | Правка | Наверх | Cообщить модератору

60. "Выпуск межсетевого экрана firewalld 2.2.0 "  +1 +/
Сообщение от User (??), 12-Июл-24, 10:31 
>>...камень в огород модели безопасности Linux.
> Если я правильно понимаю, то ты знаешь где модель безопасности хороша?
> Скажи, будь добр, где?

Прям "хороша" - вряд-ли, но сильно-сильно-афффигеть-как-сильно лучше - знаю. Предполагаю, что и ты знаешь... Но ни за что не ПРИзнаешь).

Ответить | Правка | Наверх | Cообщить модератору

93. "Выпуск межсетевого экрана firewalld 2.2.0 "  +/
Сообщение от Perlovka (ok), 12-Июл-24, 14:19 
А что тут признавать? Голословные утверждения админов локалхоста?
Ответить | Правка | Наверх | Cообщить модератору

95. "Выпуск межсетевого экрана firewalld 2.2.0 "  +/
Сообщение от User (??), 12-Июл-24, 15:10 
> А что тут признавать? Голословные утверждения админов локалхоста?

Действительно. Ведь каждый не-админ не-локалхоста твёрдо знает, что ничего лучшего, чем реализованная в ядре linux'а модель безопасности нет и быть не может вот просто по тому, что. Сияющий (злые языки клевещут, что местами конечно "зияющий" - но кто из не-админов не-локалхоста их слушает?) идеал достигнут - нет предмета обсуждения.

Ответить | Правка | Наверх | Cообщить модератору

75. "Выпуск межсетевого экрана firewalld 2.2.0 "  +/
Сообщение от нах. (?), 12-Июл-24, 12:11 
ну ты же понимаешь что в שtable api nonsense ни одно жевтоне не пострадало бы, если бы в skbuf (или что оно там через фиревал таскает) добавили лишнее поле "pid" и заставили бы conntrack его заполнять.

Модель осталась бы той же. И для других костыликов это сто раз делали.

> Так один opensnitch у нас уже есть - так нужный так нужный, что нафиг никому не нужный

Потому что копирует именно ненужное какввенде.
(при этом в венде-то работает, но эту часть так просто не скопировать)

Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

83. "Выпуск межсетевого экрана firewalld 2.2.0 "  +/
Сообщение от Аноним (77), 12-Июл-24, 12:48 
>если бы в skbuf (или что оно там через фиревал таскает) добавили лишнее поле "pid"

А для chain FORWARD куда добавить? В заголовок IP ещё одно поле? :)

Ответить | Правка | Наверх | Cообщить модератору

85. "Выпуск межсетевого экрана firewalld 2.2.0 "  +/
Сообщение от нах. (?), 12-Июл-24, 12:57 
а какое отношение фовард имеет к локальным процессам и юзерам?

Ответить | Правка | Наверх | Cообщить модератору

145. "Выпуск межсетевого экрана firewalld 2.2.0 "  +/
Сообщение от Аноним (124), 15-Июл-24, 15:45 
> а какое отношение фовард имеет к локальным процессам и юзерам?

Виртуалки, контейнеры. Из того, что первое на ум приходит.

Ответить | Правка | Наверх | Cообщить модератору

153. "Выпуск межсетевого экрана firewalld 2.2.0 "  +/
Сообщение от нах. (?), 16-Июл-24, 10:52 
>> а какое отношение фовард имеет к локальным процессам и юзерам?
> Виртуалки, контейнеры. Из того, что первое на ум приходит.

в контейнере нет настоящего forward, это такой скрытый от юзера input (причем у ip есть связнаная с этим неприятная фича... э... не будем снабжать ненужным знанием местных "специалистов", пусть дальше думают что DROP в forward их от чегототам защитит). Чисто технически - в этом случае все работает точно так же.

Виртуалка - отдельная операционная система, и должна иметь собственный input фильтр, разумеется, если тебе хочется поуправлять на уровне отдельных процессов.

Ответить | Правка | Наверх | Cообщить модератору

110. "Выпуск межсетевого экрана firewalld 2.2.0 "  +/
Сообщение от _ (??), 12-Июл-24, 19:36 
>добавили лишнее поле "pid" и заставили бы conntrack его заполнять

Вроде кто то делал уже.
Но это не сосем то - pid разный на каждом перезапуске. Другой токен нужен, и тут ... внезапно винда вперде! :)
Ну и всякое делойтное что сидит на линуксе и делает вид что оно НЕ :) И кстати - ложат (кладут?) на GPL с особым цынизмом, они вам софт не поставляют, а ведро не под AGPL.

Ответить | Правка | К родителю #75 | Наверх | Cообщить модератору

112. "Выпуск межсетевого экрана firewalld 2.2.0 "  +/
Сообщение от нах. (?), 12-Июл-24, 19:54 
> Но это не сосем то - pid разный на каждом перезапуске.

ну это же ж - мы его запускали, мы ведь запускали, ГА?!

Т.е. обертку для отслеживания именного своего pid я и на баше напишу, это как раз все просто.

(ну а изменения в продукт вторичный от rhbm+microsoft, норовящий запускать бинарники по своему усмотрению, пусть вносит соответствующий сотрудник microsoft, на зарплате)

Ответить | Правка | Наверх | Cообщить модератору

50. "Выпуск межсетевого экрана firewalld 2.2.0 "  +1 +/
Сообщение от Соль земли (?), 12-Июл-24, 10:14 
Подкинули констант - всё, новая версия!
Ответить | Правка | Наверх | Cообщить модератору

87. "Выпуск межсетевого экрана firewalld 2.2.0 "  +/
Сообщение от Аноним (87), 12-Июл-24, 13:06 
Человеческий сетевой экран с контролем отдельных приложений и соеднинений?
Ответить | Правка | Наверх | Cообщить модератору

113. "Выпуск межсетевого экрана firewalld 2.2.0 "  +/
Сообщение от нах. (?), 12-Июл-24, 19:55 
> Человеческий сетевой экран с контролем отдельных приложений и соеднинений?

ручным? Нет, это нечеловеческий.

Ответить | Правка | Наверх | Cообщить модератору

91. "Выпуск межсетевого экрана firewalld 2.2.0 "  +/
Сообщение от xsignal (ok), 12-Июл-24, 13:50 
> в виде обвязки над iptables

А чем iptables не устраивает без всяких обвязок?

Ответить | Правка | Наверх | Cообщить модератору

128. "Выпуск межсетевого экрана firewalld 2.2.0 "  +1 +/
Сообщение от еропка (?), 13-Июл-24, 14:29 
Хотя бы тем, что в Шляпе, начиная с версии 8 (а стало быть во всех ее многочисленных клонах) нету никакого iptables. nftables там
Ответить | Правка | Наверх | Cообщить модератору

144. "Выпуск межсетевого экрана firewalld 2.2.0 "  –1 +/
Сообщение от Аноним (124), 15-Июл-24, 15:42 
> Хотя бы тем, что в Шляпе, начиная с версии 8 (а стало
> быть во всех ее многочисленных клонах) нету никакого iptables. nftables там

Уже нигде нет никакого iptables, даже на олдстейбле дебиана. Есть какой-то слой совместимости, который транслирует команды и правила iptables в понятные nftables. Все, кто "пользуется iptables" используют именно его.

Ответить | Правка | Наверх | Cообщить модератору

154. "Выпуск межсетевого экрана firewalld 2.2.0 "  +/
Сообщение от нах. (?), 16-Июл-24, 11:00 
> Уже нигде нет никакого iptables, даже на олдстейбле дебиана. Есть какой-то слой

А если найду?

> совместимости, который транслирует команды и правила iptables в понятные nftables. Все,

только он не работает, поэтому пользоваться им невозможно. Модные современные тяпляперы ведь не имеют привычки ничего доделывать нормально, хвост задрал, навалил кучку и убежал по веткам дальше.

> кто "пользуется iptables" используют именно его.

Разумеется, нет.

Те кого пользуют - тех да, они ничего и не заметят, им и не видно что х-й в оппе сменился.

cat /etc/*ease
PRETTY_NAME="Debian GNU/Linux 11 (bullseye)"

lsmod
Module                  Size  Used by
ipt_REJECT             16384  2
nf_reject_ipv4         16384  1 ipt_REJECT
xt_tcpudp              20480  12
xt_state               16384  0
xt_conntrack           16384  2
iptable_filter         16384  1
xt_nat                 16384  1
iptable_nat            16384  1

lrwxrwxrwx 1 root root 25 Feb 16  2023 /etc/alternatives/iptables -> /usr/sbin/iptables-legacy

сильно сомневаюсь что в 12м что-то радикально изменится.
Пока в ведре не доломают окончательно.

Ответить | Правка | Наверх | Cообщить модератору

155. "Выпуск межсетевого экрана firewalld 2.2.0 "  +/
Сообщение от Аноним (69), 16-Июл-24, 11:17 
Да нифига не так. Есть модули netfilter x_tables и nf_tables, которые прекрасно поддерживаются на ядре 6.10, и могут сосуществовать. Есть утилиты для взаимодействия с модулем x_tables - iptables, и nf_tables - nftables и iptables-nft.
А дальше пользуетесь тем, что знаете. Чего не хватает - доустанавливаете.
Статичный пакет проходит через оба модуля, приоритет отдается запрету. Маскарадный пакет обрабатывается в приоритете модулей.
Приоритет модулей устанавливается числом. Если память не изменяет, у nf_tables это 0, у x_tables - то ли -1, или -100.
Ответить | Правка | К родителю #144 | Наверх | Cообщить модератору

156. "Выпуск межсетевого экрана firewalld 2.2.0 "  +/
Сообщение от нах. (?), 16-Июл-24, 12:15 
> Да нифига не так. Есть модули netfilter x_tables и nf_tables, которые прекрасно
> поддерживаются на ядре 6.10, и могут сосуществовать. Есть утилиты для взаимодействия
> с модулем x_tables - iptables, и nf_tables - nftables и iptables-nft.

не переживай, это - ненадолго. Тяпляперам спать мешает мысль о том что они еще что-то работающее не доломали окончательно.

Ответить | Правка | Наверх | Cообщить модератору

129. "Выпуск межсетевого экрана firewalld 2.2.0 "  +/
Сообщение от Рокки (-), 13-Июл-24, 14:30 
В современном KDE есть графический файрволл в меню настроек - это обвязка над чем? Над firewalld?
Ответить | Правка | Наверх | Cообщить модератору

138. "Выпуск межсетевого экрана firewalld 2.2.0 "  +/
Сообщение от Аноним (124), 14-Июл-24, 12:06 
Насколько я помню, морда к firewalld есть только одна и она была на gtk.
Ответить | Правка | Наверх | Cообщить модератору

139. "Выпуск межсетевого экрана firewalld 2.2.0 "  +/
Сообщение от Аноним (124), 14-Июл-24, 12:09 
Впрочем, если ты имел в виду https://invent.kde.org/plasma/plasma-firewall, пишут, что работает с UFW или Firewalled, действительно
Ответить | Правка | К родителю #129 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру