https://www.opennet.me/openforum/vsluhforumID3/134264.html Сформирован выпуск динамически управляемого межсетевого экрана firewalld 2.2, реализованного в форме обвязки над пакетными фильтрами nftables и iptables. Firewalld запускается в виде фонового процесса, позволяющего динамически изменять правила пакетного фильтра через D-Bus, без необходимости перезагрузки правил пакетного фильтра и без разрыва установленных соединений. Проект уже применяется во многих дистрибутивах Linux, включая RHEL 7+, Fedora 18+ и SUSE/openSUSE 15+. Код firewalld написан на языке Python и распространяется под лицензией GPLv2...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=61530<br> https://www.opennet.me/openforum/vsluhforumID3/134264.html#170 Wed, 01 Oct 2025 10:15:26 GMT На том и стоит. Что нового он привносит? Это даже не zonebased firewall. Где там описание правил отношения между зонами? Там шаг влево, шаг вправо - rich rules, т.е. nftables. Тогда firewalld - просто лишняя сущность.<br> https://www.opennet.me/openforum/vsluhforumID3/134264.html#169 Wed, 01 Oct 2025 08:27:28 GMT И такой же бестолковый.<br> https://www.opennet.me/openforum/vsluhforumID3/134264.html#168 Wed, 01 Oct 2025 08:26:22 GMT firewalld - бесполезное нагромождение.<br>Разработчики позиционируют его как реализацию концепции Zonebased Firewall.\<br>При этом Zonebased firewall предназначен для систем с более, чем 1 интерфейсом.<br>идея заключается в описании зон с включением туда соответствующих интерфейсов <br>и правил взаимодействия между зонами, что упрощает и ускоряет разработку правил firewall.<br>Идея firewalld заключается в том, чтобы оградить неокрепшую психику от "сложных правил nftables".<br>В документации к firewalld вплоть до 9 верссии RHEL разработчики указывали, что firewalld <br>не подходит для маршрутизаторов и сложных инсталляций. С 10 версси скромно указывают, что <br>это подходит не лдя всех случаев.<br>По факту же в настройках firewalld не найти механизмов описания правил мнжду зонами, <br>а типичное применение firewalld подразумевает простое открытие или блокирование входящих <br>соединений на локальные порты системы. Если требуется организовать полноценные списки доступа<br>для входящих содинений от хостов/сетей источников на опреде https://www.opennet.me/openforum/vsluhforumID3/134264.html#167 Wed, 17 Jul 2024 09:29:50 GMT &gt;&gt;&gt; для закрытия SSH - "firewall-cmd --remove --service=ssh" <br>&gt;&gt; И? А активные коннекты при этом продолжат работать? Ведь тут без разрыва <br>&gt;&gt; установленных соединений - это типа киллер-фича <br>&gt; Просто добавь --reload <br><br>не поможет. reload это про другое.<br>Там --panic как раз для таких случаев предусмотрен... не, я не знаю как ты собираешься дальше восстанавливать себе доступ. Но в целом это ровно что ты и хотел - ведь ты не оговорил что обрубая активные коннекты надо оставить доступ для тебя, любимого. И в команде только "закрытие ssh", без исключений.<br><br> https://www.opennet.me/openforum/vsluhforumID3/134264.html#158 Tue, 16 Jul 2024 12:00:30 GMT &gt;&gt;&gt; Потому что используется nftables/iptables, зачем же ещё. Это как с селинуксом.<br>&gt;&gt; Глупостями занимаются люди. Не умеют готовить просто.<br>&gt; Как по памяти написать анти-DDoS правило... С хорошим логгированием, чтобы в логи <br>&gt; не чрезмерно часто записывало... С переключениями на лету.<br>&gt; Ищут простых решений сложных ситуаций. Но такой софт если хороший, то будет <br>&gt; сложен как ЛибреОФис, например. Либо будет тяжёлый в настройке. Либо будет <br>&gt; уметь кроме HTTP и ICMP, да и только.<br><br>Точно также как и везде.<br> https://www.opennet.me/openforum/vsluhforumID3/134264.html#157 Tue, 16 Jul 2024 09:46:37 GMT &gt; А точно ли есть какой-то смысл в сей поделке, когда вариант:<br>&gt; iptables -p 6 --dport 22 -s 127/8 -j ACCEPT<br>&gt; и короче и сразу в байт-код,<br><br>и сразу не работает.<br><br>Поправил, не благодари.<br>iptables -p 6 --dport 22 -s 127/8 -j ACCEPT<br>iptables v1.8.7 (legacy): no command specified<br>Try `iptables -h' or 'iptables --help' for more information.<br><br>И вот так у вас - всьо.<br><br>А когда ты все это исправишь чтоб оно хотя бы запускалось - тебя ждет следующий этап. После двух десятков вот таких заклинаний - попробуй что-то исправить.<br>Отдельно - набранных не тобой, а тем, другим васяном.<br><br>Это еще нулевой уровень. Первый - а теперь то же самое но помимо васянов там постарался дыркер (и будет - после тебя) - и надо ничего ему не сломать.<br><br>Идея firewalld (помимо независимости от конкретной реализации ядерного файрвола, что само по себе неплохо) - в том что тебе не обязательно знать что там до тебя понакуролесили другие васяны, чтобы добавить еще один сервис к сотне имеющихся (причем после тебя третий васян может вк https://www.opennet.me/openforum/vsluhforumID3/134264.html#156 Tue, 16 Jul 2024 09:15:59 GMT &gt; Да нифига не так. Есть модули netfilter x_tables и nf_tables, которые прекрасно <br>&gt; поддерживаются на ядре 6.10, и могут сосуществовать. Есть утилиты для взаимодействия <br>&gt; с модулем x_tables - iptables, и nf_tables - nftables и iptables-nft. <br><br>не переживай, это - ненадолго. Тяпляперам спать мешает мысль о том что они еще что-то работающее не доломали окончательно.<br><br> https://www.opennet.me/openforum/vsluhforumID3/134264.html#155 Tue, 16 Jul 2024 08:17:32 GMT Да нифига не так. Есть модули netfilter x_tables и nf_tables, которые прекрасно поддерживаются на ядре 6.10, и могут сосуществовать. Есть утилиты для взаимодействия с модулем x_tables - iptables, и nf_tables - nftables и iptables-nft.<br>А дальше пользуетесь тем, что знаете. Чего не хватает - доустанавливаете.<br>Статичный пакет проходит через оба модуля, приоритет отдается запрету. Маскарадный пакет обрабатывается в приоритете модулей.<br>Приоритет модулей устанавливается числом. Если память не изменяет, у nf_tables это 0, у x_tables - то ли -1, или -100.<br> https://www.opennet.me/openforum/vsluhforumID3/134264.html#154 Tue, 16 Jul 2024 08:00:36 GMT &gt; Уже нигде нет никакого iptables, даже на олдстейбле дебиана. Есть какой-то слой <br><br>А если найду?<br><br>&gt; совместимости, который транслирует команды и правила iptables в понятные nftables. Все, <br><br>только он не работает, поэтому пользоваться им невозможно. Модные современные тяпляперы ведь не имеют привычки ничего доделывать нормально, хвост задрал, навалил кучку и убежал по веткам дальше.<br><br>&gt; кто "пользуется iptables" используют именно его.<br><br>Разумеется, нет.<br><br>Те кого пользуют - тех да, они ничего и не заметят, им и не видно что х-й в оппе сменился. <br><br>cat /etc/*ease<br>PRETTY_NAME="Debian GNU/Linux 11 (bullseye)"<br><br> lsmod<br>Module Size Used by<br>ipt_REJECT 16384 2<br>nf_reject_ipv4 16384 1 ipt_REJECT<br>xt_tcpudp 20480 12<br>xt_state 16384 0<br>xt_conntrack 16384 2<br>iptable_filter 16384 1<br>xt_nat 16384 1<br>iptable_nat 16384 1<br><br>lrwxrwxrwx 1 root root 25 Feb 16 2023 /etc/alternatives/iptables -&gt; /usr/