forum.opennet.ru - "Выпуск межсетевого экрана firewalld 2.4.0" (40)

"Выпуск межсетевого экрана firewalld 2.4.0"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Выпуск межсетевого экрана firewalld 2.4.0"	+/–
Сообщение от opennews (?), 07-Ноя-25, 09:21
Сформирован выпуск динамически управляемого межсетевого экрана firewalld 2.4.0, реализованного в форме обвязки над пакетными фильтрами nftables и iptables. Firewalld запускается в виде фонового процесса, позволяющего динамически изменять правила пакетного фильтра через D-Bus, без необходимости перезагрузки правил пакетного фильтра и без разрыва установленных соединений. Проект уже применяется во многих дистрибутивах Linux, включая RHEL 7+, Fedora 18+ и SUSE/openSUSE 15+. Код firewalld написан на языке Python и распространяется под лицензией GPLv2... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=64197
Ответить \| Правка \| Cообщить модератору

Оглавление

Ага, в случае с nftables не работает Только systemctl restart firewalld service , сисадмин (?), 09:21 , 07-Ноя-25, (1) +4

Что ты ожидаешь от тех, кто в третьем десятилетии 21 века до сих пор не умеет в , Аноним (14), 11:09 , 07-Ноя-25, (14) +1

да уж а ведь это все пользователи винды если соотнести с количеством пользова, Аноним (28), 14:49 , 07-Ноя-25, (28)

firewalld - бесполезное нагромождение Разработчики позиционируют его как реализ, Shellpeck (?), 09:24 , 07-Ноя-25, (2) +17

Те, кому требуется более сложная настройка межсетевого экрана, могут отказаться , Аноним (3), 09:43 , 07-Ноя-25, (3) +1

Такое ощущение, что разработчики не знали, куда ещё можно пухтон пристроить , Аноним (6), 09:58 , 07-Ноя-25, (6) +3

Перепиши на Swift , Аноним (23), 14:30 , 07-Ноя-25, (23)
Скрыто модератором, Аноним (39), 23:28 , 07-Ноя-25, (39)

Спасибо Вот за такие крупицы мудрости опытных людей - я и люблю опеннет , Аноним (5), 09:56 , 07-Ноя-25, (5) +4
К сожалению докер не поддерживает пока nftables Если по работе нужно - приходит, leap42 (ok), 10:03 , 07-Ноя-25, (8) +2

Чего Раньше он использовал iptables, когда он уже был фронтендом к nftables Но , Аноним (37), 18:10 , 07-Ноя-25, (37)

В выдуманном мире может быть Вот основной официальный issue по теме https git, leap42 (ok), 06:38 , 08-Ноя-25, (44)

А реальные - это , User (??), 07:29 , 08-Ноя-25, (45)

Какой смысл обвинять надстройку для нубов в том, что она не подходит для продвин, Ан333ним (?), 10:46 , 07-Ноя-25, (10) +4
Это идея ufw А firewalld только добавляет сложности с зонами , Соль земли2 (?), 11:41 , 07-Ноя-25, (16)
Оно ээээ из коробки - container ready и нормально сосуществует с миллионом , User (??), 11:51 , 07-Ноя-25, (18) +1

Женособаки подтянулись quote - container ready и нормально сосуществует с милли, Shellpeck (?), 12:06 , 07-Ноя-25, (19) –1

Неа Я уже слишком стар для этой фигни - но если что, бороду-в-свитере поносить , User (??), 12:25 , 07-Ноя-25, (20) +1
Атомарно заменять правила Когда у тебя из 3,5 это незаметно Когда у тебя их 3,, Аноним (34), 16:28 , 07-Ноя-25, (34)

и как это умеет firewalld, дергающий iptables как бэкенд , Аноним (35), 16:57 , 07-Ноя-25, (35)

Не знаю, у меня он nftables бэкэнд дёргает, с 2018 года, когда это стало дефолто, Аноним (34), 01:29 , 08-Ноя-25, (42)

в 18 было умеет применять правила налету без разрыва соединений Чего нельзя, Аноним (35), 09:52 , 08-Ноя-25, (46)

Почему это Например, ноутбук бывает в разных местах и ему полезны разные профил, Аноним (22), 14:02 , 07-Ноя-25, (22)

насколько я вижу в ufwне сложно создавать профили,причем тут есть и 3 предустано, Аноним (28), 14:57 , 07-Ноя-25, (30)

подпишусь конечно под каждым словом однако в защиту наверное можно сказать что о, fvl (?), 16:27 , 07-Ноя-25, (33)

И чем оно отличается от 100500 других фаерволов , Аноним (14), 10:59 , 07-Ноя-25, (11)

ufw default deny incomingufw allow sshкак-то куда проще, чем сабж , Аноним (14), 11:05 , 07-Ноя-25, (12) +2

Где взять для Linux элементарный Personal Firewall с GUI Чтобы это ловило все п, Ананоним (?), 13:53 , 07-Ноя-25, (21) +1

вот попробуйте - https github com evilsocket opensnitchнепритязательно, умеет , eugeny (?), 14:32 , 07-Ноя-25, (24)
Ну, вообще - в репозитории твоего дистрибутива, но можно и отсюда https github, User (??), 14:36 , 07-Ноя-25, (25)

Outpost такой был душевный софт, вот реально как для себя писалось Так больше н, Аноним (34), 01:27 , 08-Ноя-25, (41) +2

Это тебе в KDE https invent kde org plasma plasma-firewallРаньше выглядело так, Аноним (-), 15:05 , 07-Ноя-25, (32)

Это не то Речь про application based firewall , Минона (ok), 22:44 , 07-Ноя-25, (38) +1

есть не помню уже, емнип, portmaster но он страшненькие правила генерит и гуй , мяф (?), 23:42 , 07-Ноя-25, (40) +1

оно лучше ufw , Аноним (28), 14:36 , 07-Ноя-25, (26)

Для дома или old-school standalone-сервера да Для всякой энтерпрайзятины контей, User (??), 14:44 , 07-Ноя-25, (27)

на десктопе локалхост,стоит ufw и конечно никаких сверх задач не исполняет видим, Аноним (28), 14:51 , 07-Ноя-25, (29)

Ага Если на десктопе же окажется еще вот и docker то уже дискуссионно, оно там , User (??), 14:57 , 07-Ноя-25, (31)

А когда выйдет systemd-firewall Ну чтобы знать когда опять синтаксис переучиват, Аноним (36), 17:23 , 07-Ноя-25, (36)

Ну вот смотри, systemd-networkd уже давным-давно вышел, а у тебя всё тот же Netw, Аноним (47), 18:48 , 08-Ноя-25, (47)

Сообщения [Сортировка по времени | RSS]

1. "Выпуск межсетевого экрана firewalld 2.4.0" +4 +/–

Сообщение от сисадмин (?), 07-Ноя-25, 09:21

> firewall-cmd --reload
Ага, в случае с nftables не работает.
Только systemctl restart firewalld.service.

Ответить | Правка | Наверх | Cообщить модератору

14. "Выпуск межсетевого экрана firewalld 2.4.0" +1 +/–

Сообщение от Аноним (14), 07-Ноя-25, 11:09

Что ты ожидаешь от тех, кто в третьем десятилетии 21 века до сих пор не умеет в строки?
> Максимальный размер имён правил увеличен с 17 до 128 символов

Ответить | Правка | Наверх | Cообщить модератору

28. "Выпуск межсетевого экрана firewalld 2.4.0" +/–

Сообщение от Аноним (28), 07-Ноя-25, 14:49

да уж..
а ведь это все пользователи винды ))
если соотнести с количеством пользователей линя,
а тем более тех кто может из последних в строки,
то вообще катастрофа ))

Ответить | Правка | Наверх | Cообщить модератору

2. "Выпуск межсетевого экрана firewalld 2.4.0" +17 +/–

Сообщение от Shellpeck (?), 07-Ноя-25, 09:24

firewalld - бесполезное нагромождение.
    Разработчики позиционируют его как реализацию концепции Zonebased Firewall.\
При этом Zonebased firewall предназначен для систем с более, чем 1 интерфейсом.
идея заключается в описании зон с включением туда соответствующих интерфейсов
и правил взаимодействия между зонами, что упрощает и ускоряет разработку правил firewall.
    Идея firewalld заключается в том, чтобы оградить неокрепшую психику от "сложных правил nftables".
    В документации к firewalld вплоть до 9 верссии RHEL разработчики указывали, что firewalld
не подходит для маршрутизаторов и сложных инсталляций. С 10 версии скромно указывают, что
это подходит не для всех случаев.
    Zero trust - не, не слышали, у нас default policy accept.
    По факту же в настройках firewalld не найти механизмов описания правил взаимодействия зон друг с другом,
а типичное применение firewalld подразумевает простое открытие или блокирование входящих
соединений на локальные порты системы. Если требуется организовать полноценные списки доступа
для входящих соединений от хостов/сетей источников на определённые локальные порты, то добро
пожаловать в rich rules - т.е. изучайте nftables, но сначала изучите синтаксис firewalld.
    При этом firewald лишает вас счётчиков, а нагромождение цепочек и бесполезных правил обфусцирует
путь прохождения пакета. Т.е. отладка и оптимизация правил по использованию становится практически невозможной.
Вы думаете, "изобретатели" firewalld написали нему что-то вроде packet-tracer/capture? Держите карман шире.
    Фактически же firewalld можно заменить конструкцией, покрывающей большинство применений firewalld:
define IF_INT = { eth0 }
table ip filter {
    set tcp_ports {
        type inet_service
        flags interval
        elements = { 22, 80, 443 }
    }
    set udp_ports {
        type inet_service
        flags interval
        elements = { 53, 123 }
    }
    chain INPUT {
        type filter hook forward priority filter; policy drop;
        iif "lo" accept
        ct state vmap { established : accept, related : accept, invalid : drop }
    iif $IF_INT ct state new tcp dport @tcp_ports counter accept
    iif $IF_INT ct state new udp dport @udp_ports counter accept
        icmp type timestamp-request counter drop
        ip protocol icmp counter accept
    }
}
При этом порты можно добавить командой:
nft add element filter tcp_ports '{2}'
удалить:
nft delete element filter tcp_ports '{2}'
Просмотреть:
nft list set filter tcp_ports
Посмотреть все правила:
nft list ruleset
Сложно?
Сравните это с монструозным firewalld. Ради этого стоило его городить?
Выводы:
1. firewalld - нефункционален,
2. firewalld - вреден,
3. Не умеете nftables - "не доверяйте ребёнку мужскую работу".
nftables - это мощный, функциональный и точный инструмент, который стоит изучать,
а не прятать за кучу нагромождений, которая ничего не может, а только мешает.
firewalld не привнёс ничего нового, а "с водой выплеснул и ребёнка".

Ответить | Правка | Наверх | Cообщить модератору

3. "Выпуск межсетевого экрана firewalld 2.4.0" +1 +/–

Сообщение от Аноним (3), 07-Ноя-25, 09:43

Те, кому требуется более сложная настройка межсетевого экрана, могут отказаться от firewalld и использовать только nftables. Однако большинству пользователей будет удобнее настраивать межсетевой экран через графический интерфейс firewall-config. Этот инструмент отлично подходит для простых задач, таких как открытие bittorrent-lsd.

Ответить | Правка | Наверх | Cообщить модератору

6. "Выпуск межсетевого экрана firewalld 2.4.0" +3 +/–

Сообщение от Аноним (6), 07-Ноя-25, 09:58

Такое ощущение, что разработчики не знали, куда ещё можно пухтон пристроить.

Ответить | Правка | Наверх | Cообщить модератору

23. "Выпуск межсетевого экрана firewalld 2.4.0" +/–

Сообщение от Аноним (23), 07-Ноя-25, 14:30

Перепиши на Swift.

Ответить | Правка | Наверх | Cообщить модератору

39. Скрыто модератором +/–

Сообщение от Аноним (39), 07-Ноя-25, 23:28

Что-что пристроить?
Неразборчиво, повторите!

Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

5. "Выпуск межсетевого экрана firewalld 2.4.0" +4 +/–

Сообщение от Аноним (5), 07-Ноя-25, 09:56

Спасибо. Вот за такие крупицы мудрости опытных людей - я и люблю опеннет.

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

8. "Выпуск межсетевого экрана firewalld 2.4.0" +2 +/–

Сообщение от leap42 (ok), 07-Ноя-25, 10:03

К сожалению докер не поддерживает пока nftables. Если по работе нужно - приходится сидеть на firewalld 🤷‍♂️

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

37. "Выпуск межсетевого экрана firewalld 2.4.0" +/–

Сообщение от Аноним (37), 07-Ноя-25, 18:10

Чего?
Раньше он использовал iptables, когда он уже был фронтендом к nftables. Но в настройках можно было переключить на nft.
Никогда не использовал firewalld и все работало.

Другое дело, что и сам докер нужно сносить, зачем держать левый сервис в системе для такой простой задачи как загрузка образов и создания ns, когда можно взять podman?

Ответить | Правка | Наверх | Cообщить модератору

44. "Выпуск межсетевого экрана firewalld 2.4.0" +/–

Сообщение от leap42 (ok), 08-Ноя-25, 06:38

> Чего?
> Раньше он использовал iptables, когда он уже был фронтендом к nftables. Но
> в настройках можно было переключить на nft.
> Никогда не использовал firewalld и все работало.
В выдуманном мире может быть. Вот основной официальный issue по теме:
https://github.com/docker/for-linux/issues/1472
Он открыт, нормальная работа по нему началась только этим летом, ещё не доделано. Может, зимой будет.
Podman хорош для запуска hello world. Но для реальных вещей он не годится.

Ответить | Правка | Наверх | Cообщить модератору

45. "Выпуск межсетевого экрана firewalld 2.4.0" +/–

Сообщение от User (??), 08-Ноя-25, 07:29

>> Чего?
>> Раньше он использовал iptables, когда он уже был фронтендом к nftables. Но
>> в настройках можно было переключить на nft.
>> Никогда не использовал firewalld и все работало.
> В выдуманном мире может быть. Вот основной официальный issue по теме:
> https://github.com/docker/for-linux/issues/1472
> Он открыт, нормальная работа по нему началась только этим летом, ещё не
> доделано. Может, зимой будет.
> Podman хорош для запуска hello world. Но для реальных вещей он не
> годится.
А "реальные" - это?

Ответить | Правка | Наверх | Cообщить модератору

10. "Выпуск межсетевого экрана firewalld 2.4.0" +4 +/–

Сообщение от Ан333ним (?), 07-Ноя-25, 10:46

Какой смысл обвинять надстройку для нубов в том, что она не подходит для продвинутых пользователей.

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

16. "Выпуск межсетевого экрана firewalld 2.4.0" +/–

Сообщение от Соль земли2 (?), 07-Ноя-25, 11:41

> Идея firewalld заключается в том, чтобы оградить неокрепшую психику от "сложных правил nftables".
Это идея ufw. А firewalld только добавляет сложности с зонами.

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

18. "Выпуск межсетевого экрана firewalld 2.4.0" +1 +/–

Сообщение от User (??), 07-Ноя-25, 11:51

Оно ээээ... "из коробки":
- container ready и нормально сосуществует с миллионом автогенеренных докером-куб-прокси-чертом-в-ступе правил, чего в общем нельзя сказать про произвольную конфигурацию iptables\nftables
- (кои)как-то (через CNI-плагин или вот network-manager) отрабатывает ситуацию с дохреналлионом созаваемых "налету" CNI-интерфейсов (Но лучше-б не умел, т.к. сколько-нибудь нормально все одно, не работает при использовании network-policy, так - фланельку прикрыть от безопасника - от атакующего уже не спасёт)
- умеет применять правила "налету" без разрыва соединений (Чего нельзя было сказать про iptables per se)
- некоторым образом упрощает конфигурёж в самых простых случаях: не нужно ВООБЩЕ ничего знать об дополнительных абстракциях (IP|NF)tables (Таблицы, цепочки) - даже базового представления о "tcp\ip" - не надо "разреши SSH" и пофиг на tcp, udp, port, handshake\state и т.д. - при этом этих самых "простых" в жизни абсолютнейшее большинство, так-то
- обладает чуть более человековменяемым синтаксисом (Вкусовщина, да) в _простых_ случаях. В непростых - объем невменоза удваивается, есс-сна
- абстрагирует от конкретного бэкенда, если у тебя !вдруг! зачем-то унутре iptables - ты об этом и не узнаешь
- больмень интегрируется с внешним тулингом для желающих централизовано порулить зоопарком
Может и еще чего полезного делает, но мне в голову не приходит ).

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

19. "Выпуск межсетевого экрана firewalld 2.4.0" –1 +/–

Сообщение от Shellpeck (?), 07-Ноя-25, 12:06

Женособаки подтянулись?
[quote]- container ready и нормально сосуществует с миллионом автогенеренных докером-куб-прокси-чертом-в-ступе правил, чего в общем нельзя сказать про произвольную конфигурацию iptables\nftables[/quote]
Фактически - отломано и выброшено. Открыть порт "всем ветрам" - это не задача firewall. Зачастую стоит задача открыть сервис для доступа для определенного списка адресов. То, как это сделали декерасты - лучше бы вообще не делали. Отношение - "а после нас хоть потоп".
[quote]- умеет применять правила "налету" без разрыва соединений (Чего нельзя было сказать про iptables per se)[/quote]
Чего iptables не умеет? Добавить, заменить, удалить правило? Может это не iptables не умеет? А куча пихтонокала, которая юзает iptables чудесным образом умеет?
[quote]- обладает чуть более человековменяемым синтаксисом (Вкусовщина, да) в _простых_ случаях. В непростых - объем невменоза удваивается, есс-сна[/quote]
Сломать функционал ради извращённых вкусов? Где тут разум и целеполагание?
[quote]- больмень интегрируется с внешним тулингом для желающих централизовано порулить зоопарком"[/quote]
"То, что мертво, умереть не может"
Суть firewalld - "сами не можем и другим не дадим".

Ответить | Правка | Наверх | Cообщить модератору

20. "Выпуск межсетевого экрана firewalld 2.4.0" +1 +/–

Сообщение от User (??), 07-Ноя-25, 12:25

> Женособаки подтянулись?
Неа. Я уже слишком стар для этой фигни - но если что, бороду-в-свитере поносить успел )
> [quote]- container ready и нормально сосуществует с миллионом автогенеренных докером-куб-прокси-чертом-в-ступе
> правил, чего в общем нельзя сказать про произвольную конфигурацию iptables\nftables[/quote]
> Фактически - отломано и выброшено. Открыть порт "всем ветрам" - это не
> задача firewall. Зачастую стоит задача открыть сервис для доступа для определенного
> списка адресов. То, как это сделали декерасты - лучше бы вообще
> не делали. Отношение - "а после нас хоть потоп".
Зачастую - стоит, зачастую - не стоит, а другого докера у нас для вас - ЕСТЬ, и чо-как, нраицца? Хучь - подман бери, хучь вот кубик заводи, он в этом месте не менее раскудрявый )))
Можно конечно сказать: "Вы! Вы! Вы!!! Всё! Делаете! НИРПАИЛЬНА!!!111" - но не советую, "не поймут-с, азиаты-с..."
> [quote]- умеет применять правила "налету" без разрыва соединений (Чего нельзя было сказать
> про iptables per se)[/quote]
> Чего iptables не умеет? Добавить, заменить, удалить правило? Может это не iptables
> не умеет? А куча пихтонокала, которая юзает iptables чудесным образом умеет?
Может да - но ты ж почему-то альтернативу вот в свое время на bash'е - не написал, занят поди был?
> [quote]- обладает чуть более человековменяемым синтаксисом (Вкусовщина, да) в _простых_
> случаях. В непростых - объем невменоза удваивается, есс-сна[/quote]
> Сломать функционал ради извращённых вкусов? Где тут разум и целеполагание?
Так кто ж его тебе "сломал"-то, а? Хочешь - пользуйся, хочешь - не пользуйся, можешь вот даже всё rich-rules делать -  кто мешает-то?
> [quote]- больмень интегрируется с внешним тулингом для желающих централизовано порулить
> зоопарком"[/quote]
> "То, что мертво, умереть не может"
> Суть firewalld - "сами не можем и другим не дадим".
firewalld - для человеков, iptables\nftables - для машин. В той портянке, что на типовой ноде наавтогенерилась - ты один черт, не разберешься - она меняется как бы не быстрее, чем ты до конца долистаешь ).

Ответить | Правка | Наверх | Cообщить модератору

34. "Выпуск межсетевого экрана firewalld 2.4.0" +/–

Сообщение от Аноним (34), 07-Ноя-25, 16:28

> Чего iptables не умеет?
Атомарно заменять правила. Когда у тебя из 3,5 это незаметно. Когда у тебя их 3,5 тысячи — уже начинаешь замечать. Когда их под 10к, понимаешь почему существует nftables. Истерика от питона феноменальная у тебя конечно. Что, даже такой простой язык не осилил? Беда.

Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

35. "Выпуск межсетевого экрана firewalld 2.4.0" +/–

Сообщение от Аноним (35), 07-Ноя-25, 16:57

>> Чего iptables не умеет?
> Атомарно заменять правила.
и как это умеет firewalld, дергающий iptables как бэкенд?

Ответить | Правка | Наверх | Cообщить модератору

42. "Выпуск межсетевого экрана firewalld 2.4.0" +/–

Сообщение от Аноним (34), 08-Ноя-25, 01:29

Не знаю, у меня он nftables бэкэнд дёргает, с 2018 года, когда это стало дефолтом.

Ответить | Правка | Наверх | Cообщить модератору

46. "Выпуск межсетевого экрана firewalld 2.4.0" +/–

Сообщение от Аноним (35), 08-Ноя-25, 09:52

в #18 было "умеет применять правила "налету" без разрыва соединений (Чего нельзя было сказать про iptables per se)"
в общем приходим к тому, что умеет вовсе не оно

Ответить | Правка | Наверх | Cообщить модератору

22. "Выпуск межсетевого экрана firewalld 2.4.0" +/–

Сообщение от Аноним (22), 07-Ноя-25, 14:02

> При этом Zonebased firewall предназначен для систем с более, чем 1 интерфейсом.
Почему это? Например, ноутбук бывает в разных местах и ему полезны разные профили для разных сетей. У той же Ubuntu с ufw это придется делать через костыли.

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

30. "Выпуск межсетевого экрана firewalld 2.4.0" +/–

Сообщение от Аноним (28), 07-Ноя-25, 14:57

насколько я вижу в ufw
не сложно создавать профили,
причем тут есть и 3 предустановленных,
которые можно и редактировать..
но кто ж это из юзеров умеет, даже при наличии документации ))

Ответить | Правка | Наверх | Cообщить модератору

33. "Выпуск межсетевого экрана firewalld 2.4.0" +/–

Сообщение от fvl (?), 07-Ноя-25, 16:27

подпишусь конечно под каждым словом.
однако в защиту наверное можно сказать что он разрабатывался ещё во времена до nft.

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

11. "Выпуск межсетевого экрана firewalld 2.4.0" +/–

Сообщение от Аноним (14), 07-Ноя-25, 10:59

> реализованного в форме обвязки над пакетными фильтрами nftables и iptables
И чем оно отличается от 100500 других "фаерволов"?

Ответить | Правка | Наверх | Cообщить модератору

12. "Выпуск межсетевого экрана firewalld 2.4.0" +2 +/–

Сообщение от Аноним (14), 07-Ноя-25, 11:05

ufw default deny incoming
ufw allow ssh
как-то куда проще, чем сабж.

Ответить | Правка | Наверх | Cообщить модератору

21. "Выпуск межсетевого экрана firewalld 2.4.0" +1 +/–

Сообщение от Ананоним (?), 07-Ноя-25, 13:53

Где взять для Linux элементарный Personal Firewall с GUI? Чтобы это ловило все попытки любых приложений лезть в сеть и покказывало диалог для решений пользователя "пущать или не пущать". Скучаю по виндовым персональным файрволам из 2005 года.

Ответить | Правка | Наверх | Cообщить модератору

24. "Выпуск межсетевого экрана firewalld 2.4.0" +/–

Сообщение от eugeny (?), 07-Ноя-25, 14:32

вот попробуйте - https://github.com/evilsocket/opensnitch
непритязательно, умеет в eBPF фильтры, работает много где

Ответить | Правка | Наверх | Cообщить модератору

25. "Выпуск межсетевого экрана firewalld 2.4.0" +/–

Сообщение от User (??), 07-Ноя-25, 14:36

Ну, вообще - в репозитории твоего дистрибутива, но можно и отсюда:
https://github.com/evilsocket/opensnitch
Оно, кнешн, примерно как все остальное (не)работает и вообще - "жалкое подобие левой руки"(ТМ) даже по сравению с WF, не говоря уж об Outpost'е (Царствие ему небесное!) - но хотя бы пытается решать вот эту задачу.

Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

41. "Выпуск межсетевого экрана firewalld 2.4.0" +2 +/–

Сообщение от Аноним (34), 08-Ноя-25, 01:27

Outpost такой был душевный софт, вот реально как для себя писалось. Так больше не делают. Интересно, можно ли повторить этот успех сегодня? Я боюсь, что нынешние просто не поймут что это и зачем. А олдам уже не нужно.

Ответить | Правка | Наверх | Cообщить модератору

32. "Выпуск межсетевого экрана firewalld 2.4.0" +/–

Сообщение от Аноним (-), 07-Ноя-25, 15:05

Это тебе в KDE.
https://invent.kde.org/plasma/plasma-firewall
Раньше выглядело так:
https://i0.wp.com/www.omgubuntu.co.uk/wp-content/uploads/202...

Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

38. "Выпуск межсетевого экрана firewalld 2.4.0" +1 +/–

Сообщение от Минона (ok), 07-Ноя-25, 22:44

Это не то.
Речь про application based firewall.

Ответить | Правка | Наверх | Cообщить модератору

40. "Выпуск межсетевого экрана firewalld 2.4.0" +1 +/–

Сообщение от мяф (?), 07-Ноя-25, 23:42

есть.. не помню уже, емнип, portmaster.
но он страшненькие правила генерит и гуй бравзерный

Ответить | Правка | Наверх | Cообщить модератору

26. "Выпуск межсетевого экрана firewalld 2.4.0" +/–

Сообщение от Аноним (28), 07-Ноя-25, 14:36

оно лучше ufw?

Ответить | Правка | Наверх | Cообщить модератору

27. "Выпуск межсетевого экрана firewalld 2.4.0" +/–

Сообщение от User (??), 07-Ноя-25, 14:44

Для дома или old-school standalone-сервера да. Для всякой энтерпрайзятины\контейнерятины - нет, можно сказать "не подходит". Для сколько-нибудь сложных случаев в общем не годится ни то, ни другое.

Ответить | Правка | Наверх | Cообщить модератору

29. "Выпуск межсетевого экрана firewalld 2.4.0" +/–

Сообщение от Аноним (28), 07-Ноя-25, 14:51

на десктопе локалхост,
стоит ufw и конечно никаких сверх задач не исполняет.
видимо смысла менять на ЭТО никакого (?)

Ответить | Правка | Наверх | Cообщить модератору

31. "Выпуск межсетевого экрана firewalld 2.4.0" +/–

Сообщение от User (??), 07-Ноя-25, 14:57

> на десктопе локалхост,
> стоит ufw и конечно никаких сверх задач не исполняет.
> видимо смысла менять на ЭТО никакого (?)
Ага. Если на десктопе же окажется еще вот и docker то уже дискуссионно, оно там вроде через ufw-docker hook подключалось или еще как-то калично - проще нафиг отключить, на десктоп-десктопе-то...

Ответить | Правка | Наверх | Cообщить модератору

36. "Выпуск межсетевого экрана firewalld 2.4.0" +/–

Сообщение от Аноним (36), 07-Ноя-25, 17:23

А когда выйдет systemd-firewall ?
Ну чтобы знать когда опять синтаксис переучивать.

Ответить | Правка | Наверх | Cообщить модератору

47. "Выпуск межсетевого экрана firewalld 2.4.0" +/–

Сообщение от Аноним (47), 08-Ноя-25, 18:48

Ну вот смотри, systemd-networkd уже давным-давно вышел, а у тебя всё тот же NetworkManager, переучиваться не пришлось.
Systemd-machined тоже не вчера появился, но дистрибутив у тебя поддерживает podman, у которого тот же синтаксис команд, что и у docker.
Так что есть что-то в systemd или нет, это ещё ни о чём не говорит.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Выпуск межсетевого экрана firewalld 2.4.0"	+4 +/–
Сообщение от сисадмин (?), 07-Ноя-25, 09:21
> firewall-cmd --reload Ага, в случае с nftables не работает. Только systemctl restart firewalld.service.
Ответить \| Правка \| Наверх \| Cообщить модератору


	14. "Выпуск межсетевого экрана firewalld 2.4.0"	+1 +/–
	Сообщение от Аноним (14), 07-Ноя-25, 11:09
	Что ты ожидаешь от тех, кто в третьем десятилетии 21 века до сих пор не умеет в строки? > Максимальный размер имён правил увеличен с 17 до 128 символов
	Ответить \| Правка \| Наверх \| Cообщить модератору


	28. "Выпуск межсетевого экрана firewalld 2.4.0"	+/–
	Сообщение от Аноним (28), 07-Ноя-25, 14:49
	да уж.. а ведь это все пользователи винды )) если соотнести с количеством пользователей линя, а тем более тех кто может из последних в строки, то вообще катастрофа ))
	Ответить \| Правка \| Наверх \| Cообщить модератору

2. "Выпуск межсетевого экрана firewalld 2.4.0"	+17 +/–
Сообщение от Shellpeck (?), 07-Ноя-25, 09:24
firewalld - бесполезное нагромождение. Разработчики позиционируют его как реализацию концепции Zonebased Firewall.\ При этом Zonebased firewall предназначен для систем с более, чем 1 интерфейсом. идея заключается в описании зон с включением туда соответствующих интерфейсов и правил взаимодействия между зонами, что упрощает и ускоряет разработку правил firewall. Идея firewalld заключается в том, чтобы оградить неокрепшую психику от "сложных правил nftables". В документации к firewalld вплоть до 9 верссии RHEL разработчики указывали, что firewalld не подходит для маршрутизаторов и сложных инсталляций. С 10 версии скромно указывают, что это подходит не для всех случаев. Zero trust - не, не слышали, у нас default policy accept. По факту же в настройках firewalld не найти механизмов описания правил взаимодействия зон друг с другом, а типичное применение firewalld подразумевает простое открытие или блокирование входящих соединений на локальные порты системы. Если требуется организовать полноценные списки доступа для входящих соединений от хостов/сетей источников на определённые локальные порты, то добро пожаловать в rich rules - т.е. изучайте nftables, но сначала изучите синтаксис firewalld. При этом firewald лишает вас счётчиков, а нагромождение цепочек и бесполезных правил обфусцирует путь прохождения пакета. Т.е. отладка и оптимизация правил по использованию становится практически невозможной. Вы думаете, "изобретатели" firewalld написали нему что-то вроде packet-tracer/capture? Держите карман шире. Фактически же firewalld можно заменить конструкцией, покрывающей большинство применений firewalld: define IF_INT = { eth0 } table ip filter { set tcp_ports { type inet_service flags interval elements = { 22, 80, 443 } } set udp_ports { type inet_service flags interval elements = { 53, 123 } } chain INPUT { type filter hook forward priority filter; policy drop; iif "lo" accept ct state vmap { established : accept, related : accept, invalid : drop } iif $IF_INT ct state new tcp dport @tcp_ports counter accept iif $IF_INT ct state new udp dport @udp_ports counter accept icmp type timestamp-request counter drop ip protocol icmp counter accept } } При этом порты можно добавить командой: nft add element filter tcp_ports '{2}' удалить: nft delete element filter tcp_ports '{2}' Просмотреть: nft list set filter tcp_ports Посмотреть все правила: nft list ruleset Сложно? Сравните это с монструозным firewalld. Ради этого стоило его городить? Выводы: 1. firewalld - нефункционален, 2. firewalld - вреден, 3. Не умеете nftables - "не доверяйте ребёнку мужскую работу". nftables - это мощный, функциональный и точный инструмент, который стоит изучать, а не прятать за кучу нагромождений, которая ничего не может, а только мешает. firewalld не привнёс ничего нового, а "с водой выплеснул и ребёнка".
Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Выпуск межсетевого экрана firewalld 2.4.0"	+1 +/–
	Сообщение от Аноним (3), 07-Ноя-25, 09:43
	Те, кому требуется более сложная настройка межсетевого экрана, могут отказаться от firewalld и использовать только nftables. Однако большинству пользователей будет удобнее настраивать межсетевой экран через графический интерфейс firewall-config. Этот инструмент отлично подходит для простых задач, таких как открытие bittorrent-lsd.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "Выпуск межсетевого экрана firewalld 2.4.0"	+3 +/–
	Сообщение от Аноним (6), 07-Ноя-25, 09:58
	Такое ощущение, что разработчики не знали, куда ещё можно пухтон пристроить.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	23. "Выпуск межсетевого экрана firewalld 2.4.0"	+/–
	Сообщение от Аноним (23), 07-Ноя-25, 14:30
	Перепиши на Swift.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	39. Скрыто модератором	+/–
	Сообщение от Аноним (39), 07-Ноя-25, 23:28
	Что-что пристроить? Неразборчиво, повторите!
	Ответить \| Правка \| К родителю #6 \| Наверх \| Cообщить модератору


	5. "Выпуск межсетевого экрана firewalld 2.4.0"	+4 +/–
	Сообщение от Аноним (5), 07-Ноя-25, 09:56
	Спасибо. Вот за такие крупицы мудрости опытных людей - я и люблю опеннет.
	Ответить \| Правка \| К родителю #2 \| Наверх \| Cообщить модератору


	8. "Выпуск межсетевого экрана firewalld 2.4.0"	+2 +/–
	Сообщение от leap42 (ok), 07-Ноя-25, 10:03
	К сожалению докер не поддерживает пока nftables. Если по работе нужно - приходится сидеть на firewalld 🤷‍♂️
	Ответить \| Правка \| К родителю #2 \| Наверх \| Cообщить модератору


	37. "Выпуск межсетевого экрана firewalld 2.4.0"	+/–
	Сообщение от Аноним (37), 07-Ноя-25, 18:10
	Чего? Раньше он использовал iptables, когда он уже был фронтендом к nftables. Но в настройках можно было переключить на nft. Никогда не использовал firewalld и все работало. Другое дело, что и сам докер нужно сносить, зачем держать левый сервис в системе для такой простой задачи как загрузка образов и создания ns, когда можно взять podman?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	44. "Выпуск межсетевого экрана firewalld 2.4.0"	+/–
	Сообщение от leap42 (ok), 08-Ноя-25, 06:38
	> Чего? > Раньше он использовал iptables, когда он уже был фронтендом к nftables. Но > в настройках можно было переключить на nft. > Никогда не использовал firewalld и все работало. В выдуманном мире может быть. Вот основной официальный issue по теме: https://github.com/docker/for-linux/issues/1472 Он открыт, нормальная работа по нему началась только этим летом, ещё не доделано. Может, зимой будет. Podman хорош для запуска hello world. Но для реальных вещей он не годится.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	45. "Выпуск межсетевого экрана firewalld 2.4.0"	+/–
	Сообщение от User (??), 08-Ноя-25, 07:29
	>> Чего? >> Раньше он использовал iptables, когда он уже был фронтендом к nftables. Но >> в настройках можно было переключить на nft. >> Никогда не использовал firewalld и все работало. > В выдуманном мире может быть. Вот основной официальный issue по теме: > https://github.com/docker/for-linux/issues/1472 > Он открыт, нормальная работа по нему началась только этим летом, ещё не > доделано. Может, зимой будет. > Podman хорош для запуска hello world. Но для реальных вещей он не > годится. А "реальные" - это?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "Выпуск межсетевого экрана firewalld 2.4.0"	+4 +/–
	Сообщение от Ан333ним (?), 07-Ноя-25, 10:46
	Какой смысл обвинять надстройку для нубов в том, что она не подходит для продвинутых пользователей.
	Ответить \| Правка \| К родителю #2 \| Наверх \| Cообщить модератору


	16. "Выпуск межсетевого экрана firewalld 2.4.0"	+/–
	Сообщение от Соль земли2 (?), 07-Ноя-25, 11:41
	> Идея firewalld заключается в том, чтобы оградить неокрепшую психику от "сложных правил nftables". Это идея ufw. А firewalld только добавляет сложности с зонами.
	Ответить \| Правка \| К родителю #2 \| Наверх \| Cообщить модератору


	18. "Выпуск межсетевого экрана firewalld 2.4.0"	+1 +/–
	Сообщение от User (??), 07-Ноя-25, 11:51
	Оно ээээ... "из коробки": - container ready и нормально сосуществует с миллионом автогенеренных докером-куб-прокси-чертом-в-ступе правил, чего в общем нельзя сказать про произвольную конфигурацию iptables\nftables - (кои)как-то (через CNI-плагин или вот network-manager) отрабатывает ситуацию с дохреналлионом созаваемых "налету" CNI-интерфейсов (Но лучше-б не умел, т.к. сколько-нибудь нормально все одно, не работает при использовании network-policy, так - фланельку прикрыть от безопасника - от атакующего уже не спасёт) - умеет применять правила "налету" без разрыва соединений (Чего нельзя было сказать про iptables per se) - некоторым образом упрощает конфигурёж в самых простых случаях: не нужно ВООБЩЕ ничего знать об дополнительных абстракциях (IP\|NF)tables (Таблицы, цепочки) - даже базового представления о "tcp\ip" - не надо "разреши SSH" и пофиг на tcp, udp, port, handshake\state и т.д. - при этом этих самых "простых" в жизни абсолютнейшее большинство, так-то - обладает чуть более человековменяемым синтаксисом (Вкусовщина, да) в _простых_ случаях. В непростых - объем невменоза удваивается, есс-сна - абстрагирует от конкретного бэкенда, если у тебя !вдруг! зачем-то унутре iptables - ты об этом и не узнаешь - больмень интегрируется с внешним тулингом для желающих централизовано порулить зоопарком Может и еще чего полезного делает, но мне в голову не приходит ).
	Ответить \| Правка \| К родителю #2 \| Наверх \| Cообщить модератору


	19. "Выпуск межсетевого экрана firewalld 2.4.0"	–1 +/–
	Сообщение от Shellpeck (?), 07-Ноя-25, 12:06
	Женособаки подтянулись? [quote]- container ready и нормально сосуществует с миллионом автогенеренных докером-куб-прокси-чертом-в-ступе правил, чего в общем нельзя сказать про произвольную конфигурацию iptables\nftables[/quote] Фактически - отломано и выброшено. Открыть порт "всем ветрам" - это не задача firewall. Зачастую стоит задача открыть сервис для доступа для определенного списка адресов. То, как это сделали декерасты - лучше бы вообще не делали. Отношение - "а после нас хоть потоп". [quote]- умеет применять правила "налету" без разрыва соединений (Чего нельзя было сказать про iptables per se)[/quote] Чего iptables не умеет? Добавить, заменить, удалить правило? Может это не iptables не умеет? А куча пихтонокала, которая юзает iptables чудесным образом умеет? [quote]- обладает чуть более человековменяемым синтаксисом (Вкусовщина, да) в _простых_ случаях. В непростых - объем невменоза удваивается, есс-сна[/quote] Сломать функционал ради извращённых вкусов? Где тут разум и целеполагание? [quote]- больмень интегрируется с внешним тулингом для желающих централизовано порулить зоопарком"[/quote] "То, что мертво, умереть не может" Суть firewalld - "сами не можем и другим не дадим".
	Ответить \| Правка \| Наверх \| Cообщить модератору


	20. "Выпуск межсетевого экрана firewalld 2.4.0"	+1 +/–
	Сообщение от User (??), 07-Ноя-25, 12:25
	> Женособаки подтянулись? Неа. Я уже слишком стар для этой фигни - но если что, бороду-в-свитере поносить успел ) > [quote]- container ready и нормально сосуществует с миллионом автогенеренных докером-куб-прокси-чертом-в-ступе > правил, чего в общем нельзя сказать про произвольную конфигурацию iptables\nftables[/quote] > Фактически - отломано и выброшено. Открыть порт "всем ветрам" - это не > задача firewall. Зачастую стоит задача открыть сервис для доступа для определенного > списка адресов. То, как это сделали декерасты - лучше бы вообще > не делали. Отношение - "а после нас хоть потоп". Зачастую - стоит, зачастую - не стоит, а другого докера у нас для вас - ЕСТЬ, и чо-как, нраицца? Хучь - подман бери, хучь вот кубик заводи, он в этом месте не менее раскудрявый ))) Можно конечно сказать: "Вы! Вы! Вы!!! Всё! Делаете! НИРПАИЛЬНА!!!111" - но не советую, "не поймут-с, азиаты-с..." > [quote]- умеет применять правила "налету" без разрыва соединений (Чего нельзя было сказать > про iptables per se)[/quote] > Чего iptables не умеет? Добавить, заменить, удалить правило? Может это не iptables > не умеет? А куча пихтонокала, которая юзает iptables чудесным образом умеет? Может да - но ты ж почему-то альтернативу вот в свое время на bash'е - не написал, занят поди был? > [quote]- обладает чуть более человековменяемым синтаксисом (Вкусовщина, да) в _простых_ > случаях. В непростых - объем невменоза удваивается, есс-сна[/quote] > Сломать функционал ради извращённых вкусов? Где тут разум и целеполагание? Так кто ж его тебе "сломал"-то, а? Хочешь - пользуйся, хочешь - не пользуйся, можешь вот даже всё rich-rules делать - кто мешает-то? > [quote]- больмень интегрируется с внешним тулингом для желающих централизовано порулить > зоопарком"[/quote] > "То, что мертво, умереть не может" > Суть firewalld - "сами не можем и другим не дадим". firewalld - для человеков, iptables\nftables - для машин. В той портянке, что на типовой ноде наавтогенерилась - ты один черт, не разберешься - она меняется как бы не быстрее, чем ты до конца долистаешь ).
	Ответить \| Правка \| Наверх \| Cообщить модератору


	34. "Выпуск межсетевого экрана firewalld 2.4.0"	+/–
	Сообщение от Аноним (34), 07-Ноя-25, 16:28
	> Чего iptables не умеет? Атомарно заменять правила. Когда у тебя из 3,5 это незаметно. Когда у тебя их 3,5 тысячи — уже начинаешь замечать. Когда их под 10к, понимаешь почему существует nftables. Истерика от питона феноменальная у тебя конечно. Что, даже такой простой язык не осилил? Беда.
	Ответить \| Правка \| К родителю #19 \| Наверх \| Cообщить модератору


	35. "Выпуск межсетевого экрана firewalld 2.4.0"	+/–
	Сообщение от Аноним (35), 07-Ноя-25, 16:57
	>> Чего iptables не умеет? > Атомарно заменять правила. и как это умеет firewalld, дергающий iptables как бэкенд?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	42. "Выпуск межсетевого экрана firewalld 2.4.0"	+/–
	Сообщение от Аноним (34), 08-Ноя-25, 01:29
	Не знаю, у меня он nftables бэкэнд дёргает, с 2018 года, когда это стало дефолтом.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	46. "Выпуск межсетевого экрана firewalld 2.4.0"	+/–
	Сообщение от Аноним (35), 08-Ноя-25, 09:52
	в #18 было "умеет применять правила "налету" без разрыва соединений (Чего нельзя было сказать про iptables per se)" в общем приходим к тому, что умеет вовсе не оно
	Ответить \| Правка \| Наверх \| Cообщить модератору


	22. "Выпуск межсетевого экрана firewalld 2.4.0"	+/–
	Сообщение от Аноним (22), 07-Ноя-25, 14:02
	> При этом Zonebased firewall предназначен для систем с более, чем 1 интерфейсом. Почему это? Например, ноутбук бывает в разных местах и ему полезны разные профили для разных сетей. У той же Ubuntu с ufw это придется делать через костыли.
	Ответить \| Правка \| К родителю #2 \| Наверх \| Cообщить модератору


	30. "Выпуск межсетевого экрана firewalld 2.4.0"	+/–
	Сообщение от Аноним (28), 07-Ноя-25, 14:57
	насколько я вижу в ufw не сложно создавать профили, причем тут есть и 3 предустановленных, которые можно и редактировать.. но кто ж это из юзеров умеет, даже при наличии документации ))
	Ответить \| Правка \| Наверх \| Cообщить модератору


	33. "Выпуск межсетевого экрана firewalld 2.4.0"	+/–
	Сообщение от fvl (?), 07-Ноя-25, 16:27
	подпишусь конечно под каждым словом. однако в защиту наверное можно сказать что он разрабатывался ещё во времена до nft.
	Ответить \| Правка \| К родителю #2 \| Наверх \| Cообщить модератору

11. "Выпуск межсетевого экрана firewalld 2.4.0"	+/–
Сообщение от Аноним (14), 07-Ноя-25, 10:59
> реализованного в форме обвязки над пакетными фильтрами nftables и iptables И чем оно отличается от 100500 других "фаерволов"?
Ответить \| Правка \| Наверх \| Cообщить модератору


	12. "Выпуск межсетевого экрана firewalld 2.4.0"	+2 +/–
	Сообщение от Аноним (14), 07-Ноя-25, 11:05
	ufw default deny incoming ufw allow ssh как-то куда проще, чем сабж.
	Ответить \| Правка \| Наверх \| Cообщить модератору

21. "Выпуск межсетевого экрана firewalld 2.4.0"	+1 +/–
Сообщение от Ананоним (?), 07-Ноя-25, 13:53
Где взять для Linux элементарный Personal Firewall с GUI? Чтобы это ловило все попытки любых приложений лезть в сеть и покказывало диалог для решений пользователя "пущать или не пущать". Скучаю по виндовым персональным файрволам из 2005 года.
Ответить \| Правка \| Наверх \| Cообщить модератору


	24. "Выпуск межсетевого экрана firewalld 2.4.0"	+/–
	Сообщение от eugeny (?), 07-Ноя-25, 14:32
	вот попробуйте - https://github.com/evilsocket/opensnitch непритязательно, умеет в eBPF фильтры, работает много где
	Ответить \| Правка \| Наверх \| Cообщить модератору


	25. "Выпуск межсетевого экрана firewalld 2.4.0"	+/–
	Сообщение от User (??), 07-Ноя-25, 14:36
	Ну, вообще - в репозитории твоего дистрибутива, но можно и отсюда: https://github.com/evilsocket/opensnitch Оно, кнешн, примерно как все остальное (не)работает и вообще - "жалкое подобие левой руки"(ТМ) даже по сравению с WF, не говоря уж об Outpost'е (Царствие ему небесное!) - но хотя бы пытается решать вот эту задачу.
	Ответить \| Правка \| К родителю #21 \| Наверх \| Cообщить модератору