The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Выпуск межсетевого экрана firewalld 1.3

06.01.2023 07:12

Опубликован релиз динамически управляемого межсетевого экрана firewalld 1.3, реализованного в форме обвязки над пакетными фильтрами nftables и iptables. Firewalld запускается в виде фонового процесса, позволяющего динамически изменять правила пакетного фильтра через D-Bus, без необходимости перезагрузки правил пакетного фильтра и без разрыва установленных соединений. Проект уже применяется во многих дистрибутивах Linux, включая RHEL 7+, Fedora 18+ и SUSE/openSUSE 15+. Код firewalld написан на языке Python и распространяется под лицензией GPLv2.

Для управления межсетевым экраном используется утилита firewall-cmd, которая при создании правил отталкивается не от IP-адресов, сетевых интерфейсов и номеров портов, а от названий служб (например, для открытия доступа к SSH нужно выполнить "firewall-cmd --add --service=ssh", для закрытия SSH - "firewall-cmd --remove --service=ssh"). Для изменения конфигурации межсетевого экрана также может использоваться графический интерфейс firewall-config (GTK) и апплет firewall-applet (Qt). Поддержка управления межсетевым экраном через D-BUS API firewalld имеется в таких проектах, как NetworkManager, libvirt, podman, docker и fail2ban.

Основные изменения:

  • Реализован сервис с поддержкой приложения для обмена файлами Warpinator, развиваемого дистрибутивом Linux Mint.
  • Добавлены сервисы bareos-director, bareos-filedaemon и bareos-storage для поддержки системы резервного копирования Bareos.
  • Для бэкенда nftables реализовано правило masquerade, позволяющее привязывать сетевые интерфейсы к зоне, обрабатывающей входящий трафик. Для бэкенда iptables подобная возможность не поддерживается.
  • Добавлен сервис для оверлейных P2P-сетей Nebula.
  • Добавлен сервис для системы экспорта метрик Ceph в БД Prometheus.
  • Добавлен сервис с поддержкой протокола OMG DDS (Object Management Group Data Distribution Service).
  • Добавлен сервис для обработки клиентских запросов определения имён хостов при помощи протокола LLMNR (Link-Local Multicast Name Resolution).
  • Добавлен сервис для протокола ps2link, применяемого для взаимодействия с игровыми приставками PlayStation 2.
  • Добавлен сервис для поддержки работы сервера для системы синхронизации файлов Syncthing.


  1. Главная ссылка к новости (https://github.com/firewalld/f...)
  2. OpenNews: Выпуск межсетевого экрана firewalld 1.2
  3. OpenNews: Выпуск firewalld 1.0
  4. OpenNews: Опубликован межсетевой экран приложений Portmaster 1.0
  5. OpenNews: Локальная уязвимость в nftables, позволяющая повысить свои привилегии
  6. OpenNews: Выпуск пакетного фильтра nftables 1.0.6
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/58437-firewalld
Ключевые слова: firewalld
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (78) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 07:37, 06/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А как оно определяет нестандартные порты сервисов?
     
     
  • 2.2, Аноним (2), 07:43, 06/01/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Чот мне кажется никак.
     
  • 2.3, УмЛинуса (?), 07:56, 06/01/2023 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Никак. Ручками вводим.
     
  • 2.63, Vitto74 (ok), 00:28, 07/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Можно ручками указать порт, это не запрещено, а можно поправить конфиг, создав/переопределив порты служб.
     

  • 1.4, Аноним (4), 08:06, 06/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Прекрасная альтернатива страшному iptables. Правила хранятся в декларативном виде в XML-файле. А в iptables предлагается писать императивные баш-портянки со страшным синтаксисом. Если в этом мире и есть что-то лучше, чем firewalld, так это nftables, где тоже декларативно описываешь правила в симпатичном nft-файле. firewalld - для домохозяек (в хорошем смысле), nftables - для профессионалов, а iptables - для ходячих доказательств простой истины "старую собаку новым трюкам не научишь".
     
     
  • 2.6, ivan_erohin (?), 08:58, 06/01/2023 [^] [^^] [^^^] [ответить]  
  • –5 +/
    > А в iptables предлагается писать императивные баш-портянки со страшным синтаксисом.

    а еще ... а еще ...они не "идемпотентные" ! (что бы это не значило в понимании смузи-опсов).

    ps: откройте для себя уже firehol.

     
     
  • 3.7, pin (??), 09:13, 06/01/2023 [^] [^^] [^^^] [ответить]  
  • +9 +/
    > firewalld - для домохозяек (в хорошем смысле), nftables - для профессионалов, а iptables - для ходячих доказательств

    Ути-пути. Вы забыли подписаться - localhost эксперт.

     
     
  • 4.11, ivan_erohin (?), 10:52, 06/01/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    локалхост эксперт лучше смузиопса.
    чем ?
    1) тем что есть хоть какая-то экспертиза.
    2) из первого второй получиться может, из второго первый - никогда.

     
     
  • 5.16, Аноним (16), 11:49, 06/01/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Конечно лучше. Смузиопсу раза в 2 больше платить надо
     
  • 5.20, Аноним (20), 12:07, 06/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > тем что есть хоть какая-то экспертиза

    дооооо, ты прямо блещешь, типичный иксперт опеннет
    > из первого второй получиться может, из второго первый - никогда

    на чем основано данное утверждение, трепло? что очевидно, так это то, что из тебя не получится вообще ничего и никогда

     
     
  • 6.42, ivan_erohin (?), 15:10, 06/01/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > дооооо, ты прямо блещешь, типичный иксперт опеннет

    я знаю.

    > из тебя не получится вообще ничего и никогда

    ты какой-то токсичный, пора на курсы по управлению гневом.

     
  • 2.19, An0nim0us (?), 12:05, 06/01/2023 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Это вообще не альтернатива.. Данный сабж просто надстройка над чем то - либо над упоминаемым iptables, либо над nfrables...
     
     
  • 3.22, Аноним (4), 12:17, 06/01/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    очередной комментатор решил сумничать, не разобравшись в вопросе.

    In order to configure firewall rules for Netfilter or nftables, a firewall utility needs to be installed. Guidance has been included for the following firewall utilities:

    1) FirewallD
    2) nftables
    3) iptables

    Only ONE method should be used to configure a firewall on the system. Use of more than one method could produce unexpected results.

    Теперь давай прочитаем еще раз: Only. ONE. Method. Should. Be. Used. To configure a firewall. Хотя может у себя в локалхосте ты и применяешь все три сразу - кто тебя знает?

     
     
  • 4.33, Аноним (33), 13:59, 06/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Я вообще не айтишник и уж тем более не эксперт, я простой домохозяин, но в новости сказано:

    > реализованного В ФОРМЕ ОБВЯЗКИ над пакетными фильтрами nftables и iptables

    Что говорит о том, что это не замена nftables и iptables. Или это не то?

     
     
  • 5.39, Аноним (4), 14:29, 06/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Обвязка и альтернатива - ортогональные понятия. Vala и C - это две альтернативы, и проекту придется ВЫБИРАТЬ, на каком языке писать код. Даже не смотря на то, что Vala компилится в C. Точно так же, как и админу придется ВЫБИРАТЬ, на чем строить файрвол: средствами firewalld или на голом iptables.

    При этом важно учитывать, что если админ выбирает оба варианта сразу, то его следовало бы выгнать не только из компании, но и из IT в целом.

        Альтернати́ва (фр. alternative, от лат. alternatus — другой) — необходимость выбора одной из двух или более исключающих друг друга возможностей.

     
     
  • 6.47, Аноним (47), 17:42, 06/01/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    firewalld внутри себя запускает либо nftables, либо фронтенд утилиты iptables. iptables и nftables на самом деле настраивают netfilter.

    firewalld напрямую netfilter не настраивает.

    Значит firewalld — это обвязка над уже существующими методами управления файерволом, а не альтернативный *фронтенд* для управления файерволом. Иначе файерволом можно и ansible назвать.

     
     
  • 7.48, Аноним (4), 18:14, 06/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    nftables - это userspace-фронтенд над подсистемой ядра nftables iptables - это ... большой текст свёрнут, показать
     
  • 5.44, An0nim0us (?), 16:47, 06/01/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    ты все верно понял, не слушай его - он фигню говорит...
     
  • 4.34, ещё_один_иксперд (?), 14:13, 06/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    FirewallD под капотом использует nftables или xtables, умник.
     
     
  • 5.36, Аноним (4), 14:23, 06/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > FirewallD под капотом использует nftables или xtables, умник

    Умник, тебе еще раз написать? Не смотря на то, кто кому приходится фронтендом, использовать следует только один вариант: либо только iptables, либо только его фронтенд, либо только nftables. Поэтому firewalld является альтернативой iptables.

        Альтернати́ва (фр. alternative, от лат. alternatus — другой) — необходимость выбора одной из двух или более исключающих друг друга возможностей.

     
  • 4.43, An0nim0us (?), 16:45, 06/01/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Это вы про себя 1 FirewallD 2 nftables 3 iptables Only ONE method should be ... большой текст свёрнут, показать
     
     
  • 5.46, Аноним (4), 17:18, 06/01/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Смысл текста не противоречит тому что это прослойка

    Смысл текста прямо противоречит твоему выкрику, что это мол "не альтернатива":

    > Это вообще не альтернатива

    Если конфигурируем этой прослойкой от начала и "до конца", то значит, что из двух альтернатив - iptables vs firewalld - мы выбрали что-то одно. А кто над кем там прослойка, и прослойка ли вообще - совершенно не важно.

    Так что ты все-таки, чукча, читай все тексты: и те, на которые ссылаешься, и свои собственные комменты. Но в первую очередь загугли, что такое "альтернатива":

       Альтернати́ва (фр. alternative, от лат. alternatus — другой) — необходимость выбора одной из двух или более исключающих друг друга возможностей.

     
     
  • 6.54, An0nim0us (?), 19:53, 06/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    в контексте IT, если рассматривать архитектуру то это Frontends над 1 из Backend'ов и это не может быть альтернативой просто потому что мы не можем выбрать и использовать его без бэкенда. т.э. выбирая Firewalld, ты вместе в ним выбираешь и iptables или nftables, которые между собой являются альтернативными реализациями (считай альтернативами). Иначе можно дойти до того что называть Firefox аналогом nginx, или pma аналогом mysql. С философской точки зрения можешь называть хоть лягушкой, но в профессиональной среде их нельзя характеризовать как аналоги.
     
     
  • 7.66, Аноним (4), 03:13, 07/01/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > в контексте IT

    Об IT у тебя весьма отдаленное представление.

    > ты вместе в ним выбираешь и iptables или nftables

    Правильно:

        <...> FirewallD is dependent on the iptables package.

    > но в профессиональной среде их нельзя характеризовать как аналоги

    Садись, два:

        Note: Only ONE firewall utility should be installed and configured. FirewallD is dependent on the iptables package. (обрати внимание, что оба утверждения стоят рядом)

    Таким образом, ты снова продемонстрировал всем свое невежество, утверждая, будто следует напрямую использовать оба инструмента сразу только потому, что они оба установились:

    > их нельзя характеризовать как аналоги

     
     
  • 8.69, An0nim0us (?), 12:34, 07/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Кто б говорил - называть frontend и backend аналогами, так себе представление С... большой текст свёрнут, показать
     
  • 4.49, Аноним (49), 18:46, 06/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > очередной комментатор решил сумничать, не разобравшись в вопросе.

    Чего там разбираться в запущенности вопроса? Настоящей домохозяйке файрвол уже настроенный должен поставляться, а то много молока может убежать.😎

     
  • 3.52, Аноним (52), 19:07, 06/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Альтернатива способу конфигурации, а не самому сервису, епт.
    Можно было бы и допетрить
     
     
  • 4.55, An0nim0us (?), 19:58, 06/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Мы же на сайте для гуманитариев... Тогда уж и ложка альтернатива тарелке - можно есть ложкой, а можно лицо мокать в кастрюлю и есть.
     
     
  • 5.56, An0nim0us (?), 19:58, 06/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    * можно есть ложкой, а можно лицо мокать в тарелку и есть.
     
  • 5.67, Аноним (4), 03:17, 07/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Мы же на сайте для гуманитариев

    Ну, с твоим присутствием опеннет действительно превращается в сайт ламеров:

    > ложка альтернатива тарелке

    Тебя и на кухню-то лучше не впускать, какой там IT?

     
     
  • 6.70, An0nim0us (?), 12:41, 07/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >> Ну, с твоим присутствием опеннет действительно превращается в сайт ламеров:

    почитай про "Эффект Даннинга - Крюгера", там про тебя будет написанно. Жду когда ты на серьезных щях начнешь утверждать что firewalld альтернатива ядру линукса с той же аргументацией...

    >> Тебя и на кухню-то лучше не впускать, какой там IT?

    А ты оказывается еще и в аналогии не умеешь... Тяжелый случай, что тут скажешь...

     
  • 2.32, YetAnotherOnanym (ok), 13:57, 06/01/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > императивные баш-портянки со страшным синтаксисом

    Бедненький. У тебя психологическая травма.
    Ну, иди ко мне, пожалею.

     
  • 2.77, анон (?), 19:35, 08/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    У xml уйма стандартов, договоренностей, костылей, версий, а еще есть надсхема для проверки этой схемы. Он на порядок хуже баша, уж лучше json.
     

  • 1.5, ааноним (?), 08:44, 06/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Как он в сравнении с убунту фаерволом?
     
     
  • 2.14, Аноним (14), 11:30, 06/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Как небо и земля (я качестве земли выступает ufw) :(
    Но сабж на Ubuntu поставить можно
     
  • 2.65, Fafhrd (ok), 01:39, 07/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    bash-$ firewall-cmd --add-rich-rule 'rule family="ipv4" service name="ssh" \
    source address="10.1.1.0/24" accept' --permanent

    bash-$ ufw allow from 10.1.1.0/24 to any port 22 proto tcp

     
     
  • 3.81, Аноним (81), 21:02, 09/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Да штош такое - опять лабораторный микроскоп уступил школьному на конкурсе по забиванию гвоздей!

     

  • 1.8, ГруднаяЖаба (?), 10:02, 06/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    зачем оно нужно, если в иптаблес можно правила через файлик закидывать так же?
     
     
  • 2.9, Аноним (9), 10:35, 06/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Плайнтекстовый файлик - это не интерпрайзно
     
  • 2.10, Аноним (10), 10:37, 06/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Файлы правил firewalld проще читать.
     
     
  • 3.35, Аноним (35), 14:20, 06/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    У разных людей разное мнение
     

  • 1.12, Массоны Рептилоиды (?), 11:04, 06/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Как сделать экспорт правил этой елды? В пригодном для импорта формате,
    как в iptables или nftables.
     
     
  • 2.13, Сектанты (?), 11:21, 06/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    файлы из /etc скопировать, там xml-конфиги лежат.
     
     
  • 3.17, Массоны Рептилоиды (?), 11:58, 06/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Очень удобно
     
     
  • 4.21, Аноним (20), 12:08, 06/01/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    да, какие проблемы?
     
  • 4.37, YetAnotherOnanym (ok), 14:24, 06/01/2023 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Да, это очень удобно. Добрые и мудрые волшебники из w3 создали для этого целый мир. Освоишь xml, xquery, научишься конвертить xml-конфиг в нормальный список правил с помощью xslt. К тому времени, когда ты всё это освоишь, авторы этого опуса забросят его и начнут переписывать заново на ноде с конфигами в json.
     
     
  • 5.50, Аноним (49), 18:56, 06/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Всё, к чему прикасается гомо сапиенс, превращается в говно? )
     
     
  • 6.68, YetAnotherOnanym (ok), 10:30, 07/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Почти.
     
  • 6.73, Аноним (73), 20:35, 07/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Если это фрактал, то да...
     
  • 5.83, Аноним (14), 15:57, 13/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Библиотеки? Не не слышал...
    Но если такие преобразования кому-то и нужны - наверняка уже есть куча готовых вариантов от разных авторов.
     

  • 1.15, EuPhobos (ok), 11:35, 06/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    > без необходимости перезагрузки правил пакетного фильтра и без разрыва установленных соединений

    Это как?
    systemctl reload nftables - не разрывает tcp-соединени.
    И почему отсутствие необходимости перезагрузки правил пакетного фильтра так важно?
    И если он является обвязкой над тем-же nftables, но не перезапускает его правила, то как блин он работает??!

     
  • 1.18, Анноним (?), 11:59, 06/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Один из останавливающих факторов замены Windows на Linux является отсутствие фаервола уровня приложений с вменяемым графическим интерфейсом.

    Вот в винде я запретил всё, и открываю понемногу конкретные ип:порт для конкретного пути к exe, например, c:/firefox_a/firefox.exe имеет один набор правил, c:/firefox_b/firefox.exe совсем другой.

    Я даже хз как в linux разделить установленный firefox на два раздельных, вот установил я в Debian firefox-esr а как поставить второй, чтобы бинарники разные были.

     
     
  • 2.23, Аноним (-), 12:33, 06/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Один из останавливающих факторов замены Windows на Linux является отсутствие фаервола уровня приложений с вменяемым графическим интерфейсом.

    Привет из криокамеры! Открой для себя KDE. ;)

    https://github.com/KDE/plasma-firewall

    https://149366088.v2.pressablecdn.com/wp-content/uploads/2021/01/kde-plasma-5.

     
     
  • 3.25, Аноним (20), 12:52, 06/01/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    это не application firewall, а всего лишь еще одна интерактивная обертка iptables
     
     
  • 4.27, Анноним (?), 13:02, 06/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    нажимал ответить в 2.23 а вставило после 2.25 хотя когда нажимал 2.25 еще небыло, хз как так получилось
     
  • 2.38, Аноним (35), 14:28, 06/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    В linux нет такого понятия как "путь к exe", у exe множество путей, а матчинг по PID выпилили в 2005 году как устаревший и неисправимо сломанный https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=

    > вот установил я в Debian firefox-esr а как поставить второй, чтобы бинарники разные были.

    Поставь в HOME.

     
     
  • 3.51, Аноним (49), 19:01, 06/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > матчинг по PID выпилили в 2005 году как устаревший

    Почему оно в данный(текущий по-русски) момент применено? )

     
  • 2.41, ivan_erohin (?), 15:07, 06/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > как поставить второй, чтобы
    > бинарники разные были.

    не нужно. один бинарник можно запустить от разных юзеров. и фаерволлить по юзерам.
    если бинарник - клиент X-сервера, то переходить в другого юзера надо по-особому:
    https://serverfault.com/questions/51005/how-to-use-xauth-to-run-graphical-appl

     
  • 2.45, An0nim0us (?), 16:57, 06/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Из того что еще развивается, знаю только opensnitch (https://github.com/evilsocket/opensnitch)
    По поводу вменяемого GUI, то все субъективно, но можно сделать собственный GUI, который будет устаивать и работать напрямую с его демоном вместо родного.
     
  • 2.64, Аноним (64), 01:11, 07/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А в виде из стора ты тоже можешь два разных фаерфокса поставить?

    Ну дак и в дебиане можешь скачать два разных тарбола и распаковать в разные директории. Что как маленький то?

     
  • 2.75, Dima (??), 02:53, 08/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    держи https://safing.io/
     

  • 1.28, Анноним (?), 13:16, 06/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Коменты глючат - добаил комент его вставило вообще не туда, куда нажимал ответить, а потом вообще удалило.
     
     
  • 2.72, Аноним (-), 20:33, 07/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А может надо просто выспаться?
     

  • 1.29, Ilya Indigo (ok), 13:16, 06/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Кто-нибудь может подсказать в openSUSE Tumbleweed использую сабж для маскарадинга Wi-Fi с hostapd.

    /etc/systemd/system/hostapd.service.d/override.conf



    [Unit]
    Conflicts=wpa_supplicant@wlo1.service

    [Service]
    ExecStartPre=/usr/sbin/ip addr add 192.168.1.1/24 dev wlo1
    ExecStartPost=/usr/bin/firewall-cmd --zone=public --add-masquerade
    ExecStartPost=/usr/bin/firewall-cmd --zone=public --remove-interface=wlo1
    ExecStartPost=/usr/bin/firewall-cmd --zone=home --add-interface=wlo1
    ExecStartPost=/usr/bin/firewall-cmd --direct --add-rule ipv4 nat POSTROUTING 0 -o enp3s0 -j MASQUERADE
    ExecStartPost=/usr/bin/firewall-cmd --direct --add-rule ipv4 filter FORWARD 0 -i wlo1 -o enp3s0 -j ACCEPT
    ExecStartPost=/usr/bin/firewall-cmd --direct --add-rule ipv4 filter FORWARD 0 -i enp3s0 -o wlo1 -m state --state RELATED,ESTABLISHED -j ACCEPT
    ExecStop=/usr/bin/firewall-cmd --direct --remove-rule ipv4 filter FORWARD 0 -i enp3s0 -o wlo1 -m state --state RELATED,ESTABLISHED -j ACCEPT
    ExecStop=/usr/bin/firewall-cmd --direct --remove-rule ipv4 filter FORWARD 0 -i wlo1 -o enp3s0 -j ACCEPT
    ExecStop=/usr/bin/firewall-cmd --direct --remove-rule ipv4 nat POSTROUTING 0 -o enp3s0 -j MASQUERADE
    ExecStop=/usr/bin/firewall-cmd --zone=home --remove-interface=wlo1
    ExecStop=/usr/bin/firewall-cmd --zone=public --add-interface=wlo1
    ExecStop=/usr/sbin/ip addr flush dev wlo1
    ExecStop=/usr/bin/kill $MAINPID


    Всё прекрасно работает и всегда работало, когда у сабжа бэк iptables (НЕ по умолчанию и написано deprecated), но никогда не работало с бэком nftables (по умолчанию).

    В чём может быть проблема и как отладить, чтобы посмотреть эти правила непосредственно в iptables и/или nftables?

     
     
  • 2.58, pin (??), 21:36, 06/01/2023 [^] [^^] [^^^] [ответить]  
  • +5 +/
    ОМГ, тут кто-то про про баш портянки ныл. А это шедевр.
     
     
  • 3.62, пох. (?), 00:25, 07/01/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну вообще говоря, тут гвоздь забитый микроскопом прямо в яйцо Фаберже.

    Что и гвоздь из г-на, и микроскоп г-но, и Фаберже нехрен было яйца тут развешивать, это уже отдельная песня. С таким подходом не помогли бы и золотой гвоздь, и лабораторный микроскоп, только ущерба было бы больше.

     

  • 1.30, Аноним (30), 13:29, 06/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    (Android)"oRoot Firewall" 4pda.to/forum/index.php?showtopic=495699
    Сигналит что  Firefox(будучи выключенным)  лезет в интернет .
    Есть такое для компа?
     
     
  • 2.40, Аноним (35), 14:33, 06/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Firefox(будучи выключенным)

    В android ты не контролируешь выключение или включение приложения, отсутствие окна приложения на экране не означает что оно выключено.

    > Есть такое для компа?

    Запусти firefox в отдельном network namespace и сможешь смотреть на его интерфейсе куда он ходит или под отдельным пользователем и логируй по uid в iptables.

     
     
  • 3.59, firewalld 1 (?), 22:10, 06/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    "смотреть на его интерфейсе куда он ходит" нет интереса.
    Вполне достаточно что "NoRoot Firewall" запрещает и извещает.

    -------
    Через  synaptic установил firewalld 1.1 и получил чёрный экран вместо рабочего стола. Лечение - удаление  папок и файлов "firewalld" .

     

  • 1.53, OpenEcho (?), 19:32, 06/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Код firewalld написан на языке Python

    А че не nodejs? И где вообще интуитивно понятный Электрон?

     
  • 1.57, verh010m (?), 21:12, 06/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А как оно может открыть доступ к какому-либо Порту с какого-либо определённого IP? И никому больше
     
  • 1.60, Аноним (60), 23:23, 06/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Помнится поднимал номад, и это чудо (firewalld) было установлено предыдущим админом. Докер влез со своими правилами,firewalld со своими. Я как посмотрел чего они там нагенерили чуть не поседел. Это траблешутить в принципе невозможно. Снес нах это firewalld.
     
     
  • 2.61, пох. (?), 00:18, 07/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Внезапно, доскер совместим с firewalld. Более того, одна из целей создания самого firewalld - дать простую возможность конфигурировать файрвол разным подобным штукам, и чтоб они друг другу при этом все не попереломали.

    > Это траблешутить в принципе невозможно.

    Да, не для обезьянок. Это ж надо документацию прочитать хоть разок, а у них смузи киснет.

    А не лезть "смотреть что они нагенерили". Ты когда у тебя падает файрфокс - лезешь в бинарный код, ща тут разберусь и пару бит пофикшу, или все же - в его исходники?

    > Снес нах это firewalld.

    И правильно, зачем нам эти фиреволы ненужные, только время тратить. s in docker stands for "security", тем более же ж.

     
     
  • 3.74, ivan_erohin (?), 21:46, 07/01/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > И правильно, зачем нам эти фиреволы ненужные,

    разумеется.

    1) все фаерволлы снижают производительность сети и увеличивают задержки.

    2) приложения, не способные безопастно принимать и обрабатывать соединения
    из большого Интернета, должны быть выкинуты на помойку или замкнуты на 127.0.0.1

    3) приложения, желающие поболтать со своими производителями по своей инициативе,
    должны быть выкинуты на помойку или получить спец.таблицу роутинга (все в null,
    кроме того что разрешено).

     
  • 2.71, Аноним (-), 20:30, 07/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А может тебе лучше виндовс?
     
     
  • 3.76, пох. (?), 17:45, 08/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Он и там запутается в фиреволе (надо сказать, траблшутить виндовый - довольно мучительно) и выключит его, как привык решать все проблемы.

    Так что ну нафиг, хватит нам и линуксных ботоферм.

     

  • 1.78, Аноним (78), 20:59, 08/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    OMG -- это не "open management group", a "object management group".  Те же ребята, что корбу придумали.
     
  • 1.79, Аноним (-), 21:06, 08/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Короче сидим дальше на ipchains'e и ржем с этого цирка.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру