Сформирован выпуск динамически управляемого межсетевого экрана firewalld 2.4.0, реализованного в форме обвязки над пакетными фильтрами nftables и iptables. Firewalld запускается в виде фонового процесса, позволяющего динамически изменять правила пакетного фильтра через D-Bus, без необходимости перезагрузки правил пакетного фильтра и без разрыва установленных соединений. Проект уже применяется во многих дистрибутивах Linux, включая RHEL 7+, Fedora 18+ и SUSE/openSUSE 15+. Код firewalld написан на языке Python и распространяется под лицензией GPLv2...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=64197
> firewall-cmd --reloadАга, в случае с nftables не работает.
Только systemctl restart firewalld.service.
Что ты ожидаешь от тех, кто в третьем десятилетии 21 века до сих пор не умеет в строки?> Максимальный размер имён правил увеличен с 17 до 128 символов
да уж..
а ведь это все пользователи винды ))
если соотнести с количеством пользователей линя,
а тем более тех кто может из последних в строки,
то вообще катастрофа ))
А почему не работает?
firewalld - бесполезное нагромождение.
Разработчики позиционируют его как реализацию концепции Zonebased Firewall.\
При этом Zonebased firewall предназначен для систем с более, чем 1 интерфейсом.
идея заключается в описании зон с включением туда соответствующих интерфейсов
и правил взаимодействия между зонами, что упрощает и ускоряет разработку правил firewall.
Идея firewalld заключается в том, чтобы оградить неокрепшую психику от "сложных правил nftables".
В документации к firewalld вплоть до 9 верссии RHEL разработчики указывали, что firewalld
не подходит для маршрутизаторов и сложных инсталляций. С 10 версии скромно указывают, что
это подходит не для всех случаев.
Zero trust - не, не слышали, у нас default policy accept.
По факту же в настройках firewalld не найти механизмов описания правил взаимодействия зон друг с другом,
а типичное применение firewalld подразумевает простое открытие или блокирование входящих
соединений на локальные порты системы. Если требуется организовать полноценные списки доступа
для входящих соединений от хостов/сетей источников на определённые локальные порты, то добро
пожаловать в rich rules - т.е. изучайте nftables, но сначала изучите синтаксис firewalld.
При этом firewald лишает вас счётчиков, а нагромождение цепочек и бесполезных правил обфусцирует
путь прохождения пакета. Т.е. отладка и оптимизация правил по использованию становится практически невозможной.
Вы думаете, "изобретатели" firewalld написали нему что-то вроде packet-tracer/capture? Держите карман шире.
Фактически же firewalld можно заменить конструкцией, покрывающей большинство применений firewalld:
define IF_INT = { eth0 }
table ip filter {
set tcp_ports {
type inet_service
flags interval
elements = { 22, 80, 443 }
}
set udp_ports {
type inet_service
flags interval
elements = { 53, 123 }
}
chain INPUT {
type filter hook forward priority filter; policy drop;
iif "lo" accept
ct state vmap { established : accept, related : accept, invalid : drop }iif $IF_INT ct state new tcp dport @tcp_ports counter accept
iif $IF_INT ct state new udp dport @udp_ports counter accepticmp type timestamp-request counter drop
ip protocol icmp counter accept
}
}
При этом порты можно добавить командой:
nft add element filter tcp_ports '{2}'
удалить:
nft delete element filter tcp_ports '{2}'
Просмотреть:
nft list set filter tcp_ports
Посмотреть все правила:
nft list rulesetСложно?
Сравните это с монструозным firewalld. Ради этого стоило его городить?
Выводы:
1. firewalld - нефункционален,
2. firewalld - вреден,
3. Не умеете nftables - "не доверяйте ребёнку мужскую работу".
nftables - это мощный, функциональный и точный инструмент, который стоит изучать,
а не прятать за кучу нагромождений, которая ничего не может, а только мешает.
firewalld не привнёс ничего нового, а "с водой выплеснул и ребёнка".
Те, кому требуется более сложная настройка межсетевого экрана, могут отказаться от firewalld и использовать только nftables. Однако большинству пользователей будет удобнее настраивать межсетевой экран через графический интерфейс firewall-config. Этот инструмент отлично подходит для простых задач, таких как открытие bittorrent-lsd.
Такое ощущение, что разработчики не знали, куда ещё можно пухтон пристроить.
Перепиши на Swift.
Что-что пристроить?
Неразборчиво, повторите!
Спасибо. Вот за такие крупицы мудрости опытных людей - я и люблю опеннет.
К сожалению докер не поддерживает пока nftables. Если по работе нужно - приходится сидеть на firewalld 🤷♂️
Чего?Раньше он использовал iptables, когда он уже был фронтендом к nftables. Но в настройках можно было переключить на nft.
Никогда не использовал firewalld и все работало.
Другое дело, что и сам докер нужно сносить, зачем держать левый сервис в системе для такой простой задачи как загрузка образов и создания ns, когда можно взять podman?
> Чего?
> Раньше он использовал iptables, когда он уже был фронтендом к nftables. Но
> в настройках можно было переключить на nft.
> Никогда не использовал firewalld и все работало.В выдуманном мире может быть. Вот основной официальный issue по теме:
https://github.com/docker/for-linux/issues/1472
Он открыт, нормальная работа по нему началась только этим летом, ещё не доделано. Может, зимой будет.
Podman хорош для запуска hello world. Но для реальных вещей он не годится.
>> Чего?
>> Раньше он использовал iptables, когда он уже был фронтендом к nftables. Но
>> в настройках можно было переключить на nft.
>> Никогда не использовал firewalld и все работало.
> В выдуманном мире может быть. Вот основной официальный issue по теме:
> https://github.com/docker/for-linux/issues/1472
> Он открыт, нормальная работа по нему началась только этим летом, ещё не
> доделано. Может, зимой будет.
> Podman хорош для запуска hello world. Но для реальных вещей он не
> годится.А "реальные" - это?
> А "реальные" - это?очевидно даже для меня:
"реальные" это скачанные с доскерхаба или локального репозитория.
>> А "реальные" - это?
> очевидно даже для меня:
> "реальные" это скачанные с доскерхаба или локального репозитория.Ээээ... а "реальные" OCI-compilant images собранные docker'ом чем-то "реальнее" "не реальных" OCI-compilant images, собранных с помощью buildah? Или последние на dockerhub\local registry залить не дают?
> "реальные" это скачанные с доскерхаба или локального репозитория.С вами все понятно. Попробуйте ubuntu + snap. Вот то вообще "реально", один производитель, инфраструктура, все дела, усьо работает и думать не надо.
Какой смысл обвинять надстройку для нубов в том, что она не подходит для продвинутых пользователей.
> Идея firewalld заключается в том, чтобы оградить неокрепшую психику от "сложных правил nftables".Это идея ufw. А firewalld только добавляет сложности с зонами.
Оно ээээ... "из коробки":
- container ready и нормально сосуществует с миллионом автогенеренных докером-куб-прокси-чертом-в-ступе правил, чего в общем нельзя сказать про произвольную конфигурацию iptables\nftables
- (кои)как-то (через CNI-плагин или вот network-manager) отрабатывает ситуацию с дохреналлионом созаваемых "налету" CNI-интерфейсов (Но лучше-б не умел, т.к. сколько-нибудь нормально все одно, не работает при использовании network-policy, так - фланельку прикрыть от безопасника - от атакующего уже не спасёт)
- умеет применять правила "налету" без разрыва соединений (Чего нельзя было сказать про iptables per se)
- некоторым образом упрощает конфигурёж в самых простых случаях: не нужно ВООБЩЕ ничего знать об дополнительных абстракциях (IP|NF)tables (Таблицы, цепочки) - даже базового представления о "tcp\ip" - не надо "разреши SSH" и пофиг на tcp, udp, port, handshake\state и т.д. - при этом этих самых "простых" в жизни абсолютнейшее большинство, так-то
- обладает чуть более человековменяемым синтаксисом (Вкусовщина, да) в _простых_ случаях. В непростых - объем невменоза удваивается, есс-сна
- абстрагирует от конкретного бэкенда, если у тебя !вдруг! зачем-то унутре iptables - ты об этом и не узнаешь
- больмень интегрируется с внешним тулингом для желающих централизовано порулить зоопаркомМожет и еще чего полезного делает, но мне в голову не приходит ).
Женособаки подтянулись?
[quote]- container ready и нормально сосуществует с миллионом автогенеренных докером-куб-прокси-чертом-в-ступе правил, чего в общем нельзя сказать про произвольную конфигурацию iptables\nftables[/quote]
Фактически - отломано и выброшено. Открыть порт "всем ветрам" - это не задача firewall. Зачастую стоит задача открыть сервис для доступа для определенного списка адресов. То, как это сделали декерасты - лучше бы вообще не делали. Отношение - "а после нас хоть потоп".
[quote]- умеет применять правила "налету" без разрыва соединений (Чего нельзя было сказать про iptables per se)[/quote]
Чего iptables не умеет? Добавить, заменить, удалить правило? Может это не iptables не умеет? А куча пихтонокала, которая юзает iptables чудесным образом умеет?
[quote]- обладает чуть более человековменяемым синтаксисом (Вкусовщина, да) в _простых_ случаях. В непростых - объем невменоза удваивается, есс-сна[/quote]
Сломать функционал ради извращённых вкусов? Где тут разум и целеполагание?
[quote]- больмень интегрируется с внешним тулингом для желающих централизовано порулить зоопарком"[/quote]
"То, что мертво, умереть не может"
Суть firewalld - "сами не можем и другим не дадим".
> Женособаки подтянулись?Неа. Я уже слишком стар для этой фигни - но если что, бороду-в-свитере поносить успел )
> [quote]- container ready и нормально сосуществует с миллионом автогенеренных докером-куб-прокси-чертом-в-ступе
> правил, чего в общем нельзя сказать про произвольную конфигурацию iptables\nftables[/quote]
> Фактически - отломано и выброшено. Открыть порт "всем ветрам" - это не
> задача firewall. Зачастую стоит задача открыть сервис для доступа для определенного
> списка адресов. То, как это сделали декерасты - лучше бы вообще
> не делали. Отношение - "а после нас хоть потоп".Зачастую - стоит, зачастую - не стоит, а другого докера у нас для вас - ЕСТЬ, и чо-как, нраицца? Хучь - подман бери, хучь вот кубик заводи, он в этом месте не менее раскудрявый )))
Можно конечно сказать: "Вы! Вы! Вы!!! Всё! Делаете! НИРПАИЛЬНА!!!111" - но не советую, "не поймут-с, азиаты-с..."> [quote]- умеет применять правила "налету" без разрыва соединений (Чего нельзя было сказать
> про iptables per se)[/quote]
> Чего iptables не умеет? Добавить, заменить, удалить правило? Может это не iptables
> не умеет? А куча пихтонокала, которая юзает iptables чудесным образом умеет?Может да - но ты ж почему-то альтернативу вот в свое время на bash'е - не написал, занят поди был?
> [quote]- обладает чуть более человековменяемым синтаксисом (Вкусовщина, да) в _простых_
> случаях. В непростых - объем невменоза удваивается, есс-сна[/quote]
> Сломать функционал ради извращённых вкусов? Где тут разум и целеполагание?Так кто ж его тебе "сломал"-то, а? Хочешь - пользуйся, хочешь - не пользуйся, можешь вот даже всё rich-rules делать - кто мешает-то?
> [quote]- больмень интегрируется с внешним тулингом для желающих централизовано порулить
> зоопарком"[/quote]
> "То, что мертво, умереть не может"
> Суть firewalld - "сами не можем и другим не дадим".firewalld - для человеков, iptables\nftables - для машин. В той портянке, что на типовой ноде наавтогенерилась - ты один черт, не разберешься - она меняется как бы не быстрее, чем ты до конца долистаешь ).
> Чего iptables не умеет?Атомарно заменять правила. Когда у тебя из 3,5 это незаметно. Когда у тебя их 3,5 тысячи — уже начинаешь замечать. Когда их под 10к, понимаешь почему существует nftables. Истерика от питона феноменальная у тебя конечно. Что, даже такой простой язык не осилил? Беда.
>> Чего iptables не умеет?
> Атомарно заменять правила.и как это умеет firewalld, дергающий iptables как бэкенд?
Не знаю, у меня он nftables бэкэнд дёргает, с 2018 года, когда это стало дефолтом.
в #18 было "умеет применять правила "налету" без разрыва соединений (Чего нельзя было сказать про iptables per se)"
в общем приходим к тому, что умеет вовсе не оно
> При этом Zonebased firewall предназначен для систем с более, чем 1 интерфейсом.Почему это? Например, ноутбук бывает в разных местах и ему полезны разные профили для разных сетей. У той же Ubuntu с ufw это придется делать через костыли.
насколько я вижу в ufw
не сложно создавать профили,
причем тут есть и 3 предустановленных,
которые можно и редактировать..
но кто ж это из юзеров умеет, даже при наличии документации ))
подпишусь конечно под каждым словом.
однако в защиту наверное можно сказать что он разрабатывался ещё во времена до nft.
Счётчики в какой-то версии из версии nftables добавили что прямо в элементы можно добавлять.
Обычное разрешение с нужных ip адресов на порт превращается в тот ещё квест на firewalld.
> реализованного в форме обвязки над пакетными фильтрами nftables и iptablesИ чем оно отличается от 100500 других "фаерволов"?
ufw default deny incoming
ufw allow sshкак-то куда проще, чем сабж.
> как-то куда проще, чем сабж.это та самая простота которая хуже воровста.
1) какое правило будет обработано первым, а какое - вторым ? почему ?
2) второе правило действует на вход (сервер), на выход (клиенты к другим серверам),
на форвард, на вообще все ? если не на все то на какие интерфейсы ?
Где взять для Linux элементарный Personal Firewall с GUI? Чтобы это ловило все попытки любых приложений лезть в сеть и покказывало диалог для решений пользователя "пущать или не пущать". Скучаю по виндовым персональным файрволам из 2005 года.
вот попробуйте - https://github.com/evilsocket/opensnitch
непритязательно, умеет в eBPF фильтры, работает много где
Ну, вообще - в репозитории твоего дистрибутива, но можно и отсюда:
https://github.com/evilsocket/opensnitch
Оно, кнешн, примерно как все остальное (не)работает и вообще - "жалкое подобие левой руки"(ТМ) даже по сравению с WF, не говоря уж об Outpost'е (Царствие ему небесное!) - но хотя бы пытается решать вот эту задачу.
Outpost такой был душевный софт, вот реально как для себя писалось. Так больше не делают. Интересно, можно ли повторить этот успех сегодня? Я боюсь, что нынешние просто не поймут что это и зачем. А олдам уже не нужно.
Это тебе в KDE.https://invent.kde.org/plasma/plasma-firewall
Раньше выглядело так:
https://i0.wp.com/www.omgubuntu.co.uk/wp-content/uploads/202...
Это не то.
Речь про application based firewall.
есть.. не помню уже, емнип, portmaster.
но он страшненькие правила генерит и гуй бравзерный
> application based firewall.переведите application based на user based (every app start from special user).
или по-модному - namespace based (понятно да).
application - очень мутное понятие, неопределяемое, нераспознаваемое простыми средствами.
>> application based firewall.
> переведите application based на user based (every app start from special user).
> или по-модному - namespace based (понятно да).
> application - очень мутное понятие, неопределяемое, нераспознаваемое простыми средствами."И вот все у вас так!"(С) Того, что нужно конечно нет, но из, скажем так, глины, соломы и кривой палки можно сделать что-то издалека похожее!
постановка и реализация требования "хочу чтобы было как в винде но лучше" ни к чему хорошему не приводит. примеры: systemd, *DE и GNOME, NetworkManager, Астра Линкус, ...
> постановка и реализация требования "хочу чтобы было как в винде но лучше"
> ни к чему хорошему не приводит. примеры: systemd, *DE и GNOME,
> NetworkManager, Астра Линкус, ...По этому будем сознательно делать "так же, как на винде, но ХУЖЕ!". Не, я пожалуй несколько лучшего мнения о сообществе(ТМ), но глядя на некоторые результаты его деятельности - такая версия имеет место быть.
> По этому будем сознательно делать "так же, как на винде, но ХУЖЕ!".отказать.
делать будем традиционным the UNIX way.
совпадет с виндовой идеологией (а кстати какая там идеология ?
прошу формулировку в 10 слов 1 предложение) или не совпадет -
вообще неважно и несущественно.> Не, я пожалуй несколько лучшего мнения о сообществе(ТМ),
нет никакого сообщества. каждый за себя.
если интересы совпали - это хорошо, если нет - тоже приемлемо.
>> По этому будем сознательно делать "так же, как на винде, но ХУЖЕ!".
> отказать.
> делать будем традиционным the UNIX way.
> совпадет с виндовой идеологией (а кстати какая там идеология ?
> прошу формулировку в 10 слов 1 предложение) или не совпадет -
> вообще неважно и несущественно.Вот смотри - у пользователя есть потребность: "контролировать работу _программ_" с минимальными для себя накладными расходами. Вы предлагаете - за счет пользователя - добавить дополнительные абстракции ns\user без каких-либо гарантий тождественности и с очень условной автоматизацией.
>> Не, я пожалуй несколько лучшего мнения о сообществе(ТМ),
> нет никакого сообщества. каждый за себя.
> если интересы совпали - это хорошо, если нет - тоже приемлемо.Ну вот с этого надо КРУПНЫМИ БУКВАМИ начинать и этим же заканчивать. Еще добавлять знаменитое "НИКТО НИКОМУ НИЧЕГО НЕ ДОЛЖЕН", чтоб уж совсем хорошо.
> у пользователя есть потребность: "контролировать работу _программ_" с минимальными для себя накладными расходами.пользователь забыл, что безопасность никогда не была удобной и никогда не будет.
>> у пользователя есть потребность: "контролировать работу _программ_" с минимальными для себя накладными расходами.
> пользователь забыл, что безопасность никогда не была удобной и никогда не будет.Ну, "неудобство" само по себе безопасность никоим образом не повышает, да? Более того, "неудобная" СУИБ - _значительно_ повышает риски ошибочных настроек, не актуальных изменений и т.д. А пользователь - пользователь голосует рублем - причем, н-негодяй - за тех, кто не делает ему плохо-больно-неудобно-терпи-смерд-это-ради-безопасносте!
> Ну, "неудобство" само по себе безопасность никоим образом не повышает, да?зведза.
о5 придется аналогиями.1) 2FA неудобно ?
2) 2FA повышает безопастность, повышает или зависит от реализации ?> пользователь голосует рублем
пользователь жрет что дают.
против шмонов с разуванием в а/портах и на ж.д. что-то никто рублем не голосует. хотя могли бы.
саботажем видеонаблюдения в туалетах тоже никто не занимается,
хотя чего проще - наклеил поверх объектва фольгу на суперклей и ушел.
>> Ну, "неудобство" само по себе безопасность никоим образом не повышает, да?
> зведза.
> о5 придется аналогиями.
> 1) 2FA неудобно ?
> 2) 2FA повышает безопастность, повышает или зависит от реализации ?На оба вопроса ответ - "зависит от реализации". Скажем, какой-нибудь ybikey или приличная интегрированная реализация webauthn вполне себе удобно и безопасно - а вот СМС на одном устройстве с терминалом - ни то, ни другое.
>> пользователь голосует рублем
> пользователь жрет что дают.Но некоторые вещи вот даже забесплатно не берут, ага?
> против шмонов с разуванием в а/портах и на ж.д. что-то никто рублем
> не голосует. хотя могли бы.
> саботажем видеонаблюдения в туалетах тоже никто не занимается,
> хотя чего проще - наклеил поверх объектва фольгу на суперклей и ушел.Лицо борцов за-нашу-и-вашу-свободу, ага.
оно лучше ufw?
Для дома или old-school standalone-сервера да. Для всякой энтерпрайзятины\контейнерятины - нет, можно сказать "не подходит". Для сколько-нибудь сложных случаев в общем не годится ни то, ни другое.
на десктопе локалхост,
стоит ufw и конечно никаких сверх задач не исполняет.
видимо смысла менять на ЭТО никакого (?)
> на десктопе локалхост,
> стоит ufw и конечно никаких сверх задач не исполняет.
> видимо смысла менять на ЭТО никакого (?)Ага. Если на десктопе же окажется еще вот и docker то уже дискуссионно, оно там вроде через ufw-docker hook подключалось или еще как-то калично - проще нафиг отключить, на десктоп-десктопе-то...
А когда выйдет systemd-firewall ?
Ну чтобы знать когда опять синтаксис переучивать.
Ну вот смотри, systemd-networkd уже давным-давно вышел, а у тебя всё тот же NetworkManager, переучиваться не пришлось.Systemd-machined тоже не вчера появился, но дистрибутив у тебя поддерживает podman, у которого тот же синтаксис команд, что и у docker.
Так что есть что-то в systemd или нет, это ещё ни о чём не говорит.
> а у тебя всё тот же NetworkManager, переучиваться не пришлось.пришлось разбираться, почему глюков стало больше.
>> а у тебя всё тот же NetworkManager, переучиваться не пришлось.
> пришлось разбираться, почему глюков стало больше.Нельзя вот так просто взять - и прописать IP адрес на интерфейсе, который не должен меняться вот НИКОГДА. Отличная была инновация, просто великолепная - мы оценили.
Проще и лучше ipfw во freebsd не будет никогда фаирволла
> Проще и лучше ipfw во freebsd не будет никогда фаирволлаГлавное - больше пулуста правил в простыне не делать и вот нагрузки не давать, ага. А то как начинается разделение ingress\egress трафика по интерфейсам через skipto, да с keep-state - iptables во всей своей кривизне прям сильно проще оказывается.
