Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Выпуск межсетевого экрана firewalld 2.2.0 "	+/–
Сообщение от opennews (??), 11-Июл-24, 22:42
Сформирован выпуск динамически управляемого межсетевого экрана firewalld 2.2, реализованного в форме обвязки над пакетными фильтрами nftables и iptables. Firewalld запускается в виде фонового процесса, позволяющего динамически изменять правила пакетного фильтра через D-Bus, без необходимости перезагрузки правил пакетного фильтра и без разрыва установленных соединений. Проект уже применяется во многих дистрибутивах Linux, включая RHEL 7+, Fedora 18+ и SUSE/openSUSE 15+. Код firewalld написан на языке Python и распространяется под лицензией GPLv2... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=61530
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 11-Июл-24, 22:42	+/–
Люблю этот файрвол. Простой как сапог, как полено. Именно таким и должен быть файрвол для здоровых людей, ведущих активный образ жизни (не за канпуктерами то бишь).
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #2, #46, #68, #169

2. Сообщение от Аноним (2), 11-Июл-24, 22:51	+13 +/–
Всё хорошо, только первое что делается в новых инсталляциях: systemctl disable firewalld
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #3, #29, #71

3. Сообщение от noc101 (ok), 11-Июл-24, 22:53	+2 +/–
Зачем? О_о
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #4, #32

4. Сообщение от Аноним (4), 11-Июл-24, 22:56	–6 +/–
Потому что используется nftables/iptables, зачем же ещё. Это как с селинуксом.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #8, #15

5. Сообщение от Максим (??), 11-Июл-24, 22:58    Скрыто ботом-модератором	–1 +/–
Питон. 🤦‍♂️
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #7, #55

6. Сообщение от BlackRot (ok), 11-Июл-24, 22:59	+1 +/–
Сервисы удобная штука
Ответить | Правка | Наверх | Cообщить модератору

7. Сообщение от Аноним (7), 11-Июл-24, 23:13	–2 +/–
Расскажи про свой бизнес-кейс, в котором сабж на питоне обладает непреодолимыми недостатками.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

8. Сообщение от Dima (??), 11-Июл-24, 23:33	+5 +/–
SELinux отлично настраивается
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #23, #42, #147

9. Сообщение от Аноним (9), 11-Июл-24, 23:33	+2 +/–
Он что есть, что нет, как и UFW.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #17, #57

10. Сообщение от Аноним (10), 11-Июл-24, 23:43	+/–
Если в установке по умолчанию в Убунте посмотреть список портов, на которых кто-то слушает, то там будут всякие DHCP, mdns, domain, ipp и может быть еще что-то. Эти вещи как-то приписаны в фаервол? Или каждый порт надо будет добавлять руками?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #14, #59

11. Сообщение от Аноним (11), 11-Июл-24, 23:53	–2 +/–
> Firewalld запускается в виде фонового процесса, позволяющего динамически изменять правила пакетного фильтра через D-Bus, без необходимости перезагрузки правил пакетного фильтра и без разрыва установленных соединений Бла-бла-бла. Типа, какая крутая штукенция, но при этом тут же указаны dbus и код на питоне. Да лучше без фонового процесса, без d-bus и питона, но с разрывом соединений. Лучше заново коннект установить, чтоб этот треш в системе иметь
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #12, #36

12. Сообщение от Аноним (1), 11-Июл-24, 23:58	+1 +/–
> лучше без фонового процесса IPC организовывается фоновыми процессами. > без d-bus D-Bus -- важнейший компонент десктопного (и не только) линукса. Смирись. Да и реализовывать свой собственный нескучный IPC уже не круто. > и питона Питон в данном случае не мешает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #61

13. Сообщение от Аноним (11), 12-Июл-24, 00:24    Скрыто ботом-модератором	–3 +/–
> без необходимости перезагрузки правил пакетного фильтра и без разрыва установленных соединений Это умеет любой фаервол. Например, ipfw. > а от названий служб смузи-программисты на питоне наконец-то узнали про /etc/services ? > для закрытия SSH - "firewall-cmd --remove --service=ssh" И? А активные коннекты при этом продолжат работать? Ведь тут без разрыва установленных соединений - это типа киллер-фича
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #142

14. Сообщение от cheburnator9000 (ok), 12-Июл-24, 00:38	+/–
Дефолтные правила должны мейнтейнеры пакетов добавлять в свои пакеты сами. Возможно они там есть но это не факт, в убунте же ufw.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

15. Сообщение от noc101 (ok), 12-Июл-24, 01:20	+/–
> Потому что используется nftables/iptables, зачем же ещё. Это как с селинуксом. Глупостями занимаются люди. Не умеют готовить просто.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #43, #149

16. Сообщение от Аноним (16), 12-Июл-24, 01:43	+/–
да да, крутая штукенция не умеющая закрывать доступ на уровне отдельных приложений.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #18, #25

17. Сообщение от Аноним (69), 12-Июл-24, 02:29	–3 +/–
Точно подмечено. Что ожидать от псевдофайрвола, который не использует ip-адреса, но зато позволяет открыть проходной двор по названию службы? И нужна ли вообще эта нелепая прокладка между командной строкой и iptables/nftables. systemctl stop firewalld - это безальтернативное действие.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #19, #134

18. Сообщение от Аноним (69), 12-Июл-24, 02:33	+/–
Ну как же, ведь они доросли в 2024-ом, что добавили owner. Каждому приложению свой owner, как в Android, и будет Вам счастье.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #20

19. Сообщение от Аноним (7), 12-Июл-24, 04:04	+3 +/–
> не использует ip-адреса Что, не дочитал до ipset? Ну бывает…
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #65

20. Сообщение от Аноним (20), 12-Июл-24, 04:12	+/–
В 2024 уже есть готовый opensnitch и конструктор eBPF. А вот кому нужен этот firewalld, когда порт можно легко открыть одной командой в консоли или строчкой в конфиге с помощью штатного nftables? Причем без Python, DBUS, регистрации и СМС. Загадка.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #143

23. Сообщение от Аноним (23), 12-Июл-24, 05:06	–4 +/–
если бы, убиться проще. и вообще лишь бы аппармор не пользоваться.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #41

25. Сообщение от User (??), 12-Июл-24, 05:15	+2 +/–
Так это не к firewall претензия, а камень в огород модели безопасности Linux. Или вам две охапки костылей подавай? Так один opensnitch у нас уже есть - так нужный так нужный, что нафиг никому не нужный судя по его отсутствию в дефолтах дистрибутивов...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #54, #75

29. Сообщение от Аноним (29), 12-Июл-24, 07:54	+1 +/–
Я бы ещё от systemctl избавился. Просто не ставлю его.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #72, #125

32. Сообщение от Diozan (ok), 12-Июл-24, 08:02	–3 +/–
Это, наверное, такой вид садо-мазохизма. Установить сервис, а потом сделать ему systemctl disable... На вопрос - А зачем устанавливал, ответа, думаю, не последует. А может устанавливать под дулом пистолета заставляют?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #39, #44, #52

36. Сообщение от нах. (?), 12-Июл-24, 08:27	+2 +/–
> динамически изменять правила пакетного фильтра через D-Bus, без необходимости перезагрузки правил > пакетного фильтра и без разрыва установленных соединений "Шеф, может скажем им?" > Бла-бла-бла. Типа, какая крутая штукенция, но при этом тут же указаны dbus и код на питоне. не имеющие ни малейшего отношения к тому что выше процитировано. Вот вообще. Кстати, и про имена сервисов в общем-то то же самое. iptables прекрасно может в getservicebyname без дерьмобасов и пихонов. А в целом лучше не говорить. Улыбаемся и машем.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #37

37. Сообщение от Аноним (11), 12-Июл-24, 08:54	+2 +/–
Не понимаю почему тебя здесь не любят. Правильно же все говоришь
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36 Ответы: #40, #45

39. Сообщение от anonymous (??), 12-Июл-24, 09:08	+2 +/–
Эх, сейчас бы научится читать и понимать прочитанное...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32

40. Сообщение от нах. (?), 12-Июл-24, 09:13	+5 +/–
> Не понимаю почему тебя здесь не любят. Правильно же все говоришь "вот за это и не любят"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37

41. Сообщение от Аноним (41), 12-Июл-24, 09:21	+1 +/–
Суицид не выход. Надо просто немного почитать документацию на SELinux. Все чичтать не надо, достаточно понимать 10% чтобы держаться на воде и все будет хорошо.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23 Ответы: #77

42. Сообщение от Аноним (42), 12-Июл-24, 09:27	+2 +/–
Отлично настраиваются миллионы вещей в мире. Это не значит, что их надо все настраивать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #48, #62

43. Сообщение от Аноним (42), 12-Июл-24, 09:29	+/–
Профит от firewalld не очевиден, поэтому и занимаются. Проверенные решения для которых уже есть ансибл скрипты и гигатонны мануалов предоставляют такую же функциональность. Так что все логично.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #47

44. Сообщение от Аноним (42), 12-Июл-24, 09:30	+1 +/–
Наверное потому что в рхел, центос и пр. оно ставится по умолчанию, не?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32 Ответы: #70

45. Сообщение от Аноним (-), 12-Июл-24, 09:33	+2 +/–
Сам себя не похвалишь - никто не похвалит. :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37 Ответы: #109

46. Сообщение от Аноним (46), 12-Июл-24, 09:37	+/–
Абсолютно уродский и непонятный интерфейс. 1) В какой зоне я сейчас нахожусь? ХЗ. 2) Как посмотреть правила для определенной зоны? ХЗ. 3) Где посмотреть текущие правила? ХЗ. 4) Что такое permanent и runtime правила и вообще зачем это надо? ХЗ. Откройте Windows Firewall - да, одна тупая страница со всеми правилами и всё понятно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #51

47. Сообщение от User (??), 12-Июл-24, 09:42	+/–
Господи. Ему уже хорошо так больше 10 лет - давно и документация, и скрипты, и мануалы в наличии, но нет. "Лошадь себя еще покажет! - а в этой вашей фигне с колесами не понятно, куды овес класть..."
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43 Ответы: #56, #103

48. Сообщение от Аноним (48), 12-Июл-24, 10:07	+/–
У вас роутер случаем не зуксель? Почему-то сразу об этом подумал.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42

50. Сообщение от Соль земли (?), 12-Июл-24, 10:14	+1 +/–
Подкинули констант - всё, новая версия!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #170

51. Сообщение от Аноним (48), 12-Июл-24, 10:18	+5 +/–
1) --get-default-zone что бы узнать зону по умолчанию, а вообще это интерфейсы в разных зонах, если их больше одного 2) --zone={имя зоны} --list-all 3) --list-all - для дефолтной, --list-all-zone - для всех зон 4) правила которые сохранятся или не сохранятся при перезапуске сервиса (или перезагрузке системы). зачем сбрасывать правило при рестарте, ну как минимум можно все настроить, проверить, и только после этого сохранить как постоянные.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46 Ответы: #64

52. Сообщение от Соль земли (?), 12-Июл-24, 10:20	+/–
firewalld используется в CentOS, а там по умолчанию все новые пакеты ставятся disabled
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32 Ответы: #78, #124

54. Сообщение от iCat (ok), 12-Июл-24, 10:25	+/–
>...камень в огород модели безопасности Linux. Если я правильно понимаю, то ты знаешь где модель безопасности хороша? Скажи, будь добр, где?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #60

55. Сообщение от Соль земли (?), 12-Июл-24, 10:26	+/–
А что лучше? Rust/JavaScript/Java/Ruby/Perl?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #58, #73, #101

56. Сообщение от Аноним (56), 12-Июл-24, 10:28	+/–
так 42й аноним и не говорил, что нет скриптов или мануалов. Просто профит от применения firewalld непонятен, особенно если человек уже давно написал нужный конфиг или имеет нужные скрипты. Разве что тебя устраивает дефолт или у тебя куча всего nftables и iptables и ты хочешь "универсальный" подход
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47 Ответы: #63

57. Сообщение от Соль земли (?), 12-Июл-24, 10:28	+/–
Нет. firewalld или ufw - по умолчанию закрыты, как ipfw. Поэтому приучают открывать только нужное.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

58. Сообщение от Аноним (56), 12-Июл-24, 10:30	–2 +/–
Раст конечно, т.к. безопасная работа с памятью обеспечивается в Rust во время компиляции через проверку ссылок, отслеживание владения объектами, учёт времени жизни объектов (области видимости) и оценку корректности доступа к памяти во время выполнения кода. Rust также предоставляет средства для защиты от целочисленных переполнений, требует обязательной инициализации значений переменных перед использованием, лучше обрабатывает ошибки в стандартной библиотеке, применяет концепцию неизменяемости (immutable) ссылок и переменных по умолчанию, предлагает сильную статическую типизацию для минимизации логических ошибок.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55 Ответы: #90

59. Сообщение от Соль земли (?), 12-Июл-24, 10:30	+/–
Тебе религия запрещает написать ufw show?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #79

60. Сообщение от User (??), 12-Июл-24, 10:31	+1 +/–
>>...камень в огород модели безопасности Linux. > Если я правильно понимаю, то ты знаешь где модель безопасности хороша? > Скажи, будь добр, где? Прям "хороша" - вряд-ли, но сильно-сильно-афффигеть-как-сильно лучше - знаю. Предполагаю, что и ты знаешь... Но ни за что не ПРИзнаешь).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #54 Ответы: #93

61. Сообщение от Соль земли (?), 12-Июл-24, 10:33	+/–
> IPC организовывается фоновыми процессами. нет, он организовывается механизмами в ядре линукс (сокеты, системные вызовы)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #80

62. Сообщение от Соль земли (?), 12-Июл-24, 10:43	–1 +/–
Надо. Ты просто ленивый.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42 Ответы: #102

63. Сообщение от User (??), 12-Июл-24, 10:48	+/–
> так 42й аноним и не говорил, что нет скриптов или мануалов. Просто > профит от применения firewalld непонятен, особенно если человек уже давно написал > нужный конфиг или имеет нужные скрипты. > Разве что тебя устраивает дефолт или у тебя куча всего nftables и > iptables и ты хочешь "универсальный" подход Уфффф... Firewalld если что - старше nftables, а iptables и вовсе уже не устанавливоемое по дефолту legacy - и вот нахрена такой геморрой на саппорте? Нет, если вы с дивана nm выпилили, net-tools установили и ifconfig'ом сеть конфигуряете, чтобы четвертьвековые скрипты не менять - то я такой подход немного даже уважаю, но всё-таки нет)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56 Ответы: #69, #82

64. Сообщение от Аноним (64), 12-Июл-24, 11:03	+1 +/–
Чувак, да я сам с нуля накатал правила что для iptables, что для nftables. Там всё чётко и понятно и нет гор мусора. Не надо мне эту пар*шу непонятную. Оно нелогично и слишком сложно, точка. Сделали для якобы упрощения, а получилось в итоге хуже. Ещё раз, глянь на Windows Firewall и сразу станет очевидно, что там делали для людей, а в Линуксе надмозги сделали для надмозгов. Единственно, недавно понял, что правила для ip6 немного неправильные (раньше работали) - после 15 минут отладки всё заработало, после чего IPv6 отключил к чертям, ибо оно несовместимо с VPN. Трафик течёт. Конечно, можно изгаляться и отключать IPv6 после подключения к VPN, но это может нечаянно сломаться с любой момент, поэтому к чёрту.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51 Ответы: #135, #136, #140

65. Сообщение от Аноним (69), 12-Июл-24, 11:11	+/–
Укажи мне, где в тексте новости сказано про ipset. Или видишь то, чего нет, включая белочек? Ну бывает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #106

68. Сообщение от Аноним (68), 12-Июл-24, 11:20	+3 +/–
Файрвол для здоровых людей должен выглядеть так https://gitflic.ru/project/don_venchenzo/gshorewall
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #88, #99

69. Сообщение от Аноним (69), 12-Июл-24, 11:23	+/–
Не надо подменять правду на свои заблуждения. Nftables появился в ядре 3.13, а это 2014 год. Firewalld - рабочий релиз лишь в 2015. Nftables/iptables самодостаточны. Firewalld - всего лишь надстройка над nftables/iptables. О чем вообще говорить? Поделка, упрощающая жизнь домохозяйкам, не более.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #63 Ответы: #74, #81

70. Сообщение от Аноним (69), 12-Июл-24, 11:25	+1 +/–
Вы дали ответ для человека-разумного. Автор поста, на который Вы ответили, из другой эволюционной ветки гоминоидов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44

71. Сообщение от Аноним (71), 12-Июл-24, 11:26	+2 +/–
И правильно делают. Еще одна правильная "настройка": apt purge firewalld / dnf remove firewalld Этот "велосипед" с квадратными колёсами, у которого ещё и "руль" спрятан. Как там трассировать пакеты по правилам? Для более менее гибкой настройки оно переизобретает всё то, что уже есть в nftables, но без счётчиков и прочих плюшек. За ради почему? Зачем тогда учить два синтаксиса, если можно просто один раз изучить nftables и собрать на нём хоть чёрта лысого без всяких жирных демоном на пухтоне?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #126

72. Сообщение от Аноним (69), 12-Июл-24, 11:28	–3 +/–
В первом предложения использовано будущее время - заявляются намерения. Во второй используется прошедшее - дается описание свершившимся фактам. Вы осознаёте то, что пишите?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29 Ответы: #76

73. Сообщение от Аноним (68), 12-Июл-24, 11:31	+/–
FreePascal
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55

74. Сообщение от User (??), 12-Июл-24, 12:00	+/–
> Не надо подменять правду на свои заблуждения. Nftables появился в ядре 3.13, > а это 2014 год. > Firewalld - рабочий релиз лишь в 2015. > Nftables/iptables самодостаточны. Firewalld - всего лишь надстройка над nftables/iptables. > О чем вообще говорить? > Поделка, упрощающая жизнь домохозяйкам, не более. Ухтыжлапочка! А что там по дефолту в FC18 в 2013 году воткнуто было не напомнишь? В 2015 firewalld на github мигрировал - но об этом ясно-понятно в репе информации нет и что там раньше было - ты не нашел, с чем я тебя и поздравляю :). Что до nftables per se - то из стадии "ненужное ненужно в active developement" оно добралось до production ready в виде дефолта в дистрибутивах хорошо если году к двадцатому...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #69 Ответы: #84

75. Сообщение от нах. (?), 12-Июл-24, 12:11	+/–
ну ты же понимаешь что в שtable api nonsense ни одно жевтоне не пострадало бы, если бы в skbuf (или что оно там через фиревал таскает) добавили лишнее поле "pid" и заставили бы conntrack его заполнять. Модель осталась бы той же. И для других костыликов это сто раз делали. > Так один opensnitch у нас уже есть - так нужный так нужный, что нафиг никому не нужный Потому что копирует именно ненужное какввенде. (при этом в венде-то работает, но эту часть так просто не скопировать)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #83, #110

76. Сообщение от Аноним (77), 12-Июл-24, 12:19	+/–
Вам требуется разжевать на полстранички?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #72

77. Сообщение от Аноним (77), 12-Июл-24, 12:21	+/–
Или пользоваться другим. AppArmor, например.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41 Ответы: #96

78. Сообщение от Аноним (77), 12-Июл-24, 12:23	–1 +/–
Ну вот правильно же выше написали: "А может устанавливать под дулом пистолета заставляют?"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52

79. Сообщение от нах. (?), 12-Июл-24, 12:24	–4 +/–
и зачем ему 'ufw' is not recognized as an internal or external command, operable program or batch file ? А устанавливать убунту ради посмотреть ответ на этот вопрос - да, может и не позволять,  дело долгое, нервотрепное, а до начала шаббата уже меньше пол-дня. Но забавно что здешние горе-фанаты шва6одки не знают ответ.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #59

80. Сообщение от Аноним (77), 12-Июл-24, 12:28	+/–
Механизмами ядра организовывается транспортный уровень. Прикладной уровень организовывается таки (фоновыми) процессами в пользовательском пространстве.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #61 Ответы: #86

81. Сообщение от Anm (?), 12-Июл-24, 12:43	+1 +/–
А что так сразу домохозяйкам? Мне вот поначалу (давным давно) очень даже зашёл gtk-iptables. https://gtk-iptables.sourceforge.net/screenshots.html
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #69 Ответы: #123

82. Сообщение от Аноним (56), 12-Июл-24, 12:43	+/–
> Уфффф... Firewalld если что - старше nftables так профит в том, что он старше? > и вот нахрена такой геморрой на саппорте? или профит в поддержке легаси? так старые скрипты никуда не девались, а легаси свое отжило и было заменено > Нет, если вы с дивана nm выпилили, net-tools установили и ifconfig'ом сеть конфигуряете, чтобы четвертьвековые скрипты не менять так обновили скрипты — заменили iptables на nft, заодно обновили правила под новые возможности. Надо было выбрать firewalld вместо nft чтобы что? В надежде, что он переживет nft и автоматом конвертирует правила под новый фаервол?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #63 Ответы: #98

83. Сообщение от Аноним (77), 12-Июл-24, 12:48	+/–
>если бы в skbuf (или что оно там через фиревал таскает) добавили лишнее поле "pid" А для chain FORWARD куда добавить? В заголовок IP ещё одно поле? :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #75 Ответы: #85

84. Сообщение от Аноним (56), 12-Июл-24, 12:50	+/–
> А что там по дефолту в FC18 в 2013 году воткнуто было не напомнишь? а поддержка nftables в firewalld вышла из "technology preview" в 2018?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #74 Ответы: #97

85. Сообщение от нах. (?), 12-Июл-24, 12:57	+/–
а какое отношение фовард имеет к локальным процессам и юзерам?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #83 Ответы: #145

86. Сообщение от Соль земли (?), 12-Июл-24, 13:04	+1 +/–
Необязательно. Если я создал сокет для соединения с mysql, то для этого не нужен ещё один процесс.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #80

87. Сообщение от Аноним (87), 12-Июл-24, 13:06	+/–
Человеческий сетевой экран с контролем отдельных приложений и соеднинений?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #113

88. Сообщение от Аноним (88), 12-Июл-24, 13:33	–1 +/–
Такая же фигня как firewalld. Не должно быть у менеджера сетевых правил "интерфеса", точка. Вы создаёте правила и говорите, либо оно для всех, либо для одного. Всё это должно быть в одном понятном списке: https://i.sstatic.net/soWUR.png Вот это предельно ясно и понятно и можно отсортировать любым способом.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #68 Ответы: #89, #92, #104

89. Сообщение от Аноним (88), 12-Июл-24, 13:34	–1 +/–
Если картинка не открывается, можно посмотреть здесь: https://security.stackexchange.com/questions/163557/why-the-...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #88

90. Сообщение от Соль земли (?), 12-Июл-24, 13:38	+/–
Звучит как рекламный буллщит. Например, обязательная инициализация много где. А вот документация в коде со вставками выполняемого кода, такое нигде не видел.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #58 Ответы: #94

91. Сообщение от xsignal (ok), 12-Июл-24, 13:50	+/–
> в виде обвязки над iptables А чем iptables не устраивает без всяких обвязок?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #128

92. Сообщение от Аноним (68), 12-Июл-24, 14:01	+/–
Берете vim и ручками пишите в файл rules ваши правила.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #88

93. Сообщение от Perlovka (ok), 12-Июл-24, 14:19	+/–
А что тут признавать? Голословные утверждения админов локалхоста?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #60 Ответы: #95

94. Сообщение от Аноним (56), 12-Июл-24, 14:40	+/–
> Звучит как рекламный буллщит. это третий абзац отсюда https://www.opennet.dev/opennews/art.shtml?num=61362 точнее из любой новости про раст
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #90

95. Сообщение от User (??), 12-Июл-24, 15:10	+/–
> А что тут признавать? Голословные утверждения админов локалхоста? Действительно. Ведь каждый не-админ не-локалхоста твёрдо знает, что ничего лучшего, чем реализованная в ядре linux'а модель безопасности нет и быть не может вот просто по тому, что. Сияющий (злые языки клевещут, что местами конечно "зияющий" - но кто из не-админов не-локалхоста их слушает?) идеал достигнут - нет предмета обсуждения.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #93

96. Сообщение от Аноним (96), 12-Июл-24, 15:16	–1 +/–
Нет AppArmor ) " $ rsync mirror.yandex.ru::ubuntu-releases/24.04/{SHA256SUMS,ubuntu-24.04-desktop-amd64.iso} ./ $ skipping non-regular file "ubuntu-24.04-desktop-amd64.iso" "
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #77

97. Сообщение от User (??), 12-Июл-24, 15:18	+/–
>> А что там по дефолту в FC18 в 2013 году воткнуто было не напомнишь? > а поддержка nftables в firewalld вышла из "technology preview" в 2018? А хз если честно. В rhel оно в районе 8.2 доехало, чотам в федоре было не особо интересно. В debian вроде в buster nftables дефолтом стал - как раз 2020 вроде.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #84

98. Сообщение от User (??), 12-Июл-24, 15:24	+1 +/–
Не-не-не. Вот почему с iptables на nftables мигрировать окнорм (и не надо про автоматику, да?) - а на firewalld "этажискрыптыправить, а у нас лапки!"? А так да, без достаточно серьёзных "why not" надо было в районе 7ой центоси на дефолт дистрибутива переходить.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #82 Ответы: #100

99. Сообщение от 111 (??), 12-Июл-24, 15:29	+/–
> gshorewall Прочитал как "КошерВолл". Подумал, что надо бы ещё и "ХаляльВолл" придумать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #68 Ответы: #105

100. Сообщение от Аноним (56), 12-Июл-24, 15:58	+/–
> Не-не-не. Вот почему с iptables на nftables мигрировать окнорм Заменили бы iptables на firewalld — тоже было бы норм, но он без iptables/nftables не работает. > а на firewalld "этажискрыптыправить, а у нас лапки!"? да не лапки, просто непонятно зачем (ну вот не сталкивался я с таким, где он прям нужен, молод еще)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #98 Ответы: #108

101. Сообщение от Аноним (101), 12-Июл-24, 16:59	+/–
Bash
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55

102. Сообщение от Аноним (102), 12-Июл-24, 16:59	–2 +/–
Ну я сам как-нибудь решу, чё мне настраивать. И в индустрии люди грамотные разберутся без указаний.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #62

103. Сообщение от Аноним (102), 12-Июл-24, 17:01	+/–
Да хоть 100 лет, непонятно зачем он нужен, когда есть такие же решения, под которые есть _уже_ вся обвязка. Чтобы что?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47 Ответы: #107

104. Сообщение от Аноним (48), 12-Июл-24, 17:37	+1 +/–
> Не должно быть у менеджера сетевых правил "интерфеса", точка. Так их и нет в firewalld. Есть правила зоны. > Вы создаёте правила и говорите, либо оно для всех, либо для одного. Ну, то есть либо ты открываешь порт "со всех доступных сторон", либо не открываешь совсем? Я понимаю, что идея что компьютер может исполнять роль гранчиного фаервола на стыке двух и более сетей - дикая, для этого нужно D-Linkпокупать, да? > Вот это предельно ясно и понятно и можно отсортировать любым способом. А уж компьютер без гуя вообще от лукавого? "New-NetFirewallRule -DisplayName "Allow HTTP" -Protocol TCP -LocalPort 80 -Action Allow" сильно проще и удобнее.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #88 Ответы: #133

105. Сообщение от Аноним (48), 12-Июл-24, 17:39	+/–
И что бы они конфликтовали, если на одну машину поставишь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #99

106. Сообщение от Аноним (48), 12-Июл-24, 17:52	+1 +/–
Бывает другое, что не все что есть в софте написано в новости про обновление версии. А то боюсь представить, как ты сильно расстраиваешься с каждой новости по обновлению ядра, ведь новые драйвера появляются на одну версию и потом пропадают, да?)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #65 Ответы: #146

107. Сообщение от User (??), 12-Июл-24, 19:18	+/–
> Да хоть 100 лет, непонятно зачем он нужен, когда есть такие же > решения, под которые есть _уже_ вся обвязка. Чтобы что? "Нет, если вы с дивана nm выпилили, net-tools установили и ifconfig'ом сеть конфигуряете, чтобы четвертьвековые скрипты не менять - то я такой подход немного даже уважаю, но всё-таки нет)"(Ц)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #103 Ответы: #116

108. Сообщение от User (??), 12-Июл-24, 19:20	+/–
>> Не-не-не. Вот почему с iptables на nftables мигрировать окнорм > Заменили бы iptables на firewalld — тоже было бы норм, но он > без iptables/nftables не работает. >> а на firewalld "этажискрыптыправить, а у нас лапки!"? > да не лапки, просто непонятно зачем (ну вот не сталкивался я с > таким, где он прям нужен, молод еще) "Нет, если вы с дивана nm выпилили, net-tools установили и ifconfig'ом сеть конфигуряете, чтобы четвертьвековые скрипты не менять - то я такой подход немного даже уважаю, но всё-таки нет)"(Ц)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #100 Ответы: #111

109. Сообщение от _ (??), 12-Июл-24, 19:28	+1 +/–
Дык необходимость в "похвалят" с возрастом сильно снижается ... :) А постит он обидную правду исключительно из вредности характера, впрочем как и я, к примеру :-)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45

110. Сообщение от _ (??), 12-Июл-24, 19:36	+/–
>добавили лишнее поле "pid" и заставили бы conntrack его заполнять Вроде кто то делал уже. Но это не сосем то - pid разный на каждом перезапуске. Другой токен нужен, и тут ... внезапно винда вперде! :) Ну и всякое делойтное что сидит на линуксе и делает вид что оно НЕ :) И кстати - ложат (кладут?) на GPL с особым цынизмом, они вам софт не поставляют, а ведро не под AGPL.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #75 Ответы: #112

111. Сообщение от Аноним (56), 12-Июл-24, 19:38	+/–
ок, убедил. Ушел ставить нетплан, снап или чего там сейчас еще "по дефолту" в дистрибутивах
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #108 Ответы: #114

112. Сообщение от нах. (?), 12-Июл-24, 19:54	+/–
> Но это не сосем то - pid разный на каждом перезапуске. ну это же ж - мы его запускали, мы ведь запускали, ГА?! Т.е. обертку для отслеживания именного своего pid я и на баше напишу, это как раз все просто. (ну а изменения в продукт вторичный от rhbm+microsoft, норовящий запускать бинарники по своему усмотрению, пусть вносит соответствующий сотрудник microsoft, на зарплате)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #110

113. Сообщение от нах. (?), 12-Июл-24, 19:55	+/–
> Человеческий сетевой экран с контролем отдельных приложений и соеднинений? ручным? Нет, это нечеловеческий.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #87

114. Сообщение от User (??), 12-Июл-24, 20:09	+/–
Ээээ, пжди - что значит "ставить", оно ж по дефолту! Или ты эта... посносить успел?! Так чо ж это я - угадал насчет ifcofig'а, получается? Дела...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #111 Ответы: #117

116. Сообщение от Аноним (4), 12-Июл-24, 22:41	+/–
Не, финт ушами не пройдет) Firewalld не является обязательным элементом и не несёт никакой добавленной стоимости. Так что это вы с дивана нам тут вещаете, пока вам говорят бест практис в индустрии.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #107 Ответы: #118

117. Сообщение от Аноним (56), 12-Июл-24, 23:18	+/–
> Или ты эта... посносить успел?! а снап уже и в центоси дефолт?! ну раз мы все про неё да про неё > Так чо ж это я - угадал насчет ifcofig'а, получается? не, systemd-networkd в основном и пара nm. В дебиане нет firewalld в дефолте
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #114 Ответы: #119

118. Сообщение от User (??), 13-Июл-24, 08:21	+/–
> Не, финт ушами не пройдет) Firewalld не является обязательным элементом и не > несёт никакой добавленной стоимости. Так что это вы с дивана нам > тут вещаете, пока вам говорят бест практис в индустрии. А ip по сравнению с ifconfig - является и несёт? А nm по сравнению с ifcfg-eth0?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #116 Ответы: #127, #130

119. Сообщение от User (??), 13-Июл-24, 08:24	+/–
>> Или ты эта... посносить успел?! > а снап уже и в центоси дефолт?! ну раз мы все про > неё да про неё >> Так чо ж это я - угадал насчет ifcofig'а, получается? > не, systemd-networkd в основном и пара nm. В дебиане нет firewalld в > дефолте Какая-то шизофрения, простите. Ещё раз - выбираете дистрибутив и используете _его_ дефолтный тулинг, если у вас нет ОЧЕНЬ серьёзных причин делать иначе. Ну и да, почему networkd/nm - это жеж сколько скрЫптов переписать пришлось? Сидели бы на devuan'е - горя не знали...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #117

123. Сообщение от Аноним (69), 13-Июл-24, 11:24	–1 +/–
Так на это и бы расчет, что домохозяйкам зайдёт.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #81 Ответы: #141

124. Сообщение от Аноним (124), 13-Июл-24, 11:31	+1 +/–
Пакеты, которые не были установлены в системе, конечно, disabled. А все предустановленные, включая firewalld, конечно, enabled.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52

125. Сообщение от Аноним (124), 13-Июл-24, 11:34	+/–
Ты на своей собственной дженту или ещё какой слаке можешь как угодно развлекаться.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29

126. Сообщение от Аноним (124), 13-Июл-24, 11:39	+/–
Одно у тебя для настройки и чтобы правила не слетали, а с другого собирай статистику сколько влезет если так нужно. Никто nft list ruleset у тебя не отбирает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #71 Ответы: #151

127. Сообщение от Аноним (56), 13-Июл-24, 13:57	+/–
> А ip по сравнению с ifconfig - является и несёт? ifconfig на момент его закапывания имел проблемы с отображением настроек сделанных через ip и пр. > А nm по сравнению с ifcfg-eth0? разве что на десктопе/ноутбуке
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #118 Ответы: #131

128. Сообщение от еропка (?), 13-Июл-24, 14:29	+1 +/–
Хотя бы тем, что в Шляпе, начиная с версии 8 (а стало быть во всех ее многочисленных клонах) нету никакого iptables. nftables там
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #91 Ответы: #144

129. Сообщение от Рокки (-), 13-Июл-24, 14:30	+/–
В современном KDE есть графический файрволл в меню настроек - это обвязка над чем? Над firewalld?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #138, #139

130. Сообщение от нах. (?), 13-Июл-24, 16:34	+/–
> А ip по сравнению с ifconfig - является и несёт? внезапно, да. Это прямой интерфейс к механизмам ядра, а не прослойка поверх прокладки. Причем это _другой_ интерфейс (ifconfig потому только до сих пор и жив, что в теории очень очень теоретически может оказаться где-то такое суперуникальное ведро что там сэкономили целых полтора килобайта и ip не работает в принципе) и в старый запихать все параметры которыми оно управляет - не то чтоб совсем невозможно, но выйдет неописуемо уродливо, см. freebsd. > А nm по сравнению с ifcfg-eth0? оверинжинеренная хрень для любителей дрисктопов. (в отличие от firewalld который действительно упрощает конфигурацию простых случаев, это - набор костылей и подпорок для альтернативно-одаренных не могущих в конфиги, эту самую конфигурацию делающий максимально неудобной для всех остальных). К счастью, редхат пока сохранил ifcfg, а убунта вообще нашла обходной путь (таки добавив прослойку к прокладке, но та действительно упрощает настройку и причем не только тривиальных конфигураций)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #118 Ответы: #132

131. Сообщение от User (??), 13-Июл-24, 19:08	+/–
>> А ip по сравнению с ifconfig - является и несёт? > ifconfig на момент его закапывания имел проблемы с отображением настроек сделанных через > ip и пр. Так не пользуйтесь ip - и проблем с отображением не будет, делов-то. Еще и скрЫпты четвертьвековой давности менять не придется. >> А nm по сравнению с ifcfg-eth0? > разве что на десктопе/ноутбуке Ну, т.е. на серверах - вы ifcfg и дергаете?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #127

132. Сообщение от User (??), 13-Июл-24, 19:16	+/–
>> А ip по сравнению с ifconfig - является и несёт? > внезапно, да. Это прямой интерфейс к механизмам ядра, а не прослойка поверх > прокладки. Для _программиста_ возможно - а для пользователя не все ли равно, "прослойка", "прокладка" или аж прям прямой интерфейс к? Нет, есть конечно сыроеды, которые в борьбе с вот этим всем к плодам матери-земли непосредственно приникают - но кагбээ... > Причем это _другой_ интерфейс (ifconfig потому только до сих пор и жив, > что в теории очень очень теоретически может оказаться где-то такое суперуникальное > ведро что там сэкономили целых полтора килобайта и ip не работает > в принципе) и в старый запихать все параметры которыми оно управляет > - не то чтоб совсем невозможно, но выйдет неописуемо уродливо, см. > freebsd. Ну вот как раз во фре - вполне даже ничего вышло. В линуксьях да, уродливо - но они _в принципе_ в дизайн (Даже cli-утилит) не способны - куды не глянь. Хоть в iptables, хоть в git...  ip по сравнению с linux'овывм ifcofig'ом получше конечно - но тоже такоэ. >> А nm по сравнению с ifcfg-eth0? > оверинжинеренная хрень для любителей дрисктопов. (в отличие от firewalld который действительно > упрощает конфигурацию простых случаев, это - набор костылей и подпорок для > альтернативно-одаренных не могущих в конфиги, эту самую конфигурацию делающий максимально > неудобной для всех остальных). Ну вот кто бы спорил...  networkd кстати малость даже получше смотрится ). > К счастью, редхат пока сохранил ifcfg, а убунта вообще нашла обходной путь > (таки добавив прослойку к прокладке, но та действительно упрощает настройку и > причем не только тривиальных конфигураций) Дблин. Ну что вы так к прослойкам-к-прокладке относитесь? Машина небось с АКПП и гидроусилителем руля - или вот сцепление без синхронизатора и рулить реечкой? Вполне нормально netplan получился - тот случай, когда "дополнительный" уровень абстракции не "лишний".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #130 Ответы: #137

133. Сообщение от нах. (?), 13-Июл-24, 20:15	+/–
> Я понимаю, что идея что компьютер может исполнять роль гранчиного фаервола на стыке двух > и более сетей - дикая, для этого нужно D-Linkпокупать, да? для этого достаточно правил форварда. Отдельных совершенно от правил доступа. И таки единственое неоспоримое достоинство линукса - что у него уже 25 лет они - отдельны. (фиредырды таки успешно сводит и это к х-ю - поскольку файрволом как раз и не является) У вендыпоганой для этого надо было покупать isa, который сперва превратили в tmg (обло, озорно, стозевно и cepит под себя) а потом со словами "брр, что это за х-ню мы породили?!" тем чем породили, тем и убили. Причем это точно были не руки. Теперь таки надо покупать - дырлинк. С linoops но без firewalld (последнее неточно). MS слилась. > А уж компьютер без гуя вообще от лукавого? "New-NetFirewallRule -DisplayName "Allow HTTP" > -Protocol TCP -LocalPort 80 -Action Allow" сильно проще и удобнее. а он уже был открыт. Приятного тебе развлечения безгуя выяснять, каким из стапитисот возможных способов, если ты заранее не знаешь как называется это правило и сколько их. И это только пакетный фильтр локалхоста. Попробовал бы ты поадминить tmg. У нас весь отдел (включая и меня, вроде как не должно было касаться, но вот) три дня бухал, рвал баяны и жег фейерверки когда мы эту хтонь сумели заменить на железки. (и свалить их обслуживание на сетевое подразделение, хахахаха, жалкие неудачники)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #104

134. Сообщение от нах. (?), 13-Июл-24, 20:43	+/–
> Точно подмечено. Что ожидать от псевдофайрвола, который не использует ip-адреса а если найду?! firewall-cmd --zone=ssh-access --add-source=127.0.0.0/8 (да, это феерично криво, и ломает его интеграцию с nm, но так - можно) > И нужна ли вообще эта нелепая прокладка между командной строкой и iptables/nftables. судя по тому что ты ниасилил даже ман прочитать - таким вот точно нужна. Потому что удержать в голове весь миллион кракозябов конфига nft ты точно не сможешь и какую-то фигню нагородишь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #152

135. Сообщение от Аноним (135), 13-Июл-24, 21:05	+/–
>Оно нелогично и слишком сложно, точка Не осилил, ясно. Сразу бы с этого начал.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #64

136. Сообщение от Аноним (136), 13-Июл-24, 23:01	+/–
Золотые слова бро! ППКС В виндовс файрвол настраивается и используется интуитивно, отличный инструмент, образец как надо делать что то для обычных пользователей. Те у кого настройка чего либо (не работа) это хобби/работа это отдельная тема.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #64

137. Сообщение от нах. (?), 14-Июл-24, 00:23	+/–
> Для _программиста_ возможно - а для пользователя не все ли равно А пользуемому и не надо задавать такие вопросы. Пусть дальше смотрит свой тик-ток. Он все равно ни тем ни другим не пользуем. > Ну вот как раз во фре - вполне даже ничего вышло. наоборот, во фре вышло редкостное г-но с нерегулярным синтаксисом, в котором сам чорт ногу сломит, миллионом параметров (потому что специфичное для разных драйверов и разных сетей попытались затолкать в одну команду) которые невозможно запомнить, и man-"страничкой" на пару тыщ строк. Отдельно рекомендую к почитанию прекрасную идею с local0, угадай что он сегодня означает. Причем если в линуксе еще можно предположить что ifconfig может пригодиться для совместимости с какими-нибудь замшелыми скриптами 80х годов прошлого века, ему постарались сохранить тот самый синтаксис, то во фре и совместимости давным-давно нет, и вменяемости нет. > Дблин. Ну что вы так к прослойкам-к-прокладке относитесь? Машина небось с АКПП акпп не является прослойкой к прокладкам. Это принципиально другая конструкция _вместо_. А вот "роботизированные" коробки с сухим сцеплением "за что-то" все очень не любят. Затодешовенькие, поэтому что-то с нормальным гидравлическим автоматом сейчас - сильно поискать, а скоро их вообще не будет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #132

138. Сообщение от Аноним (124), 14-Июл-24, 12:06	+/–
Насколько я помню, морда к firewalld есть только одна и она была на gtk.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #129

139. Сообщение от Аноним (124), 14-Июл-24, 12:09	+/–
Впрочем, если ты имел в виду https://invent.kde.org/plasma/plasma-firewall, пишут, что работает с UFW или Firewalled, действительно
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #129

140. Сообщение от Sem (??), 15-Июл-24, 00:33	+/–
Что за ерунда с несовместимостью ipv6 и VPN? Может маршрутизацию просто настроить?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #64

141. Сообщение от Аноним (141), 15-Июл-24, 07:41	+/–
А ты всё ещё настраиваешь файрвол заклинаниями из командной строки? И как там твой локалхост? Надёжно закрыт тридцатью слоями боевой магии? Тем временем примерно все коммерческие ngfw данным давно через гуи настраиваются (например Cisco ASA 5550 с 2013 года - EoL и в ней тогда уже был gui).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #123

142. Сообщение от Аноним (124), 15-Июл-24, 15:35	+/–
>> для закрытия SSH - "firewall-cmd --remove --service=ssh" > И? А активные коннекты при этом продолжат работать? Ведь тут без разрыва > установленных соединений - это типа киллер-фича Просто добавь --reload
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #167

143. Сообщение от Аноним (124), 15-Июл-24, 15:37	+/–
> В 2024 уже есть готовый opensnitch и конструктор eBPF. А вот кому > нужен этот firewalld, когда порт можно легко открыть одной командой в > консоли или строчкой в конфиге с помощью штатного nftables? Контейнерным движкам, например, чтобы сетью через библиотеку рулить.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

144. Сообщение от Аноним (124), 15-Июл-24, 15:42	–1 +/–
> Хотя бы тем, что в Шляпе, начиная с версии 8 (а стало > быть во всех ее многочисленных клонах) нету никакого iptables. nftables там Уже нигде нет никакого iptables, даже на олдстейбле дебиана. Есть какой-то слой совместимости, который транслирует команды и правила iptables в понятные nftables. Все, кто "пользуется iptables" используют именно его.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #128 Ответы: #154, #155

145. Сообщение от Аноним (124), 15-Июл-24, 15:45	+/–
> а какое отношение фовард имеет к локальным процессам и юзерам? Виртуалки, контейнеры. Из того, что первое на ум приходит.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #85 Ответы: #153

146. Сообщение от Аноним (69), 16-Июл-24, 10:34	–1 +/–
Специалист по обновлению драйверов? :) Зачем людям, знающим iptables/nftables читать руководства для домохозяек?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #106 Ответы: #150

147. Сообщение от Аноним (147), 16-Июл-24, 10:36	+/–
> SELinux отлично настраивается ... автором ПО. А если автор не настроил, то будет много поисковой деятельности, чтобы выловить всё, к чему обращается это ПО. Что делает SELinux бесполезным, неприменимым.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

149. Сообщение от Аноним (147), 16-Июл-24, 10:42	+/–
>> Потому что используется nftables/iptables, зачем же ещё. Это как с селинуксом. > Глупостями занимаются люди. Не умеют готовить просто. Как по памяти написать анти-DDoS правило... С хорошим логгированием, чтобы в логи не чрезмерно часто записывало... С переключениями на лету. Ищут простых решений сложных ситуаций. Но такой софт если хороший, то будет сложен как ЛибреОФис, например. Либо будет тяжёлый в настройке. Либо будет уметь кроме HTTP и ICMP, да и только.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #158

150. Сообщение от нах. (?), 16-Июл-24, 10:45	+/–
> Специалист по обновлению драйверов? :) > Зачем людям, знающим iptables/nftables читать руководства для домохозяек? затем что ты только что нес дезинформацию, что "там нет адресов" про утилиту "для домохозяек". А теперь хочешь чтобы кто-то поверил что ты что-то знаешь кроме iptables/nftables/кунфу/джиу-джитсу и еще десятка страшных слов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #146

151. Сообщение от Аноним (147), 16-Июл-24, 10:48	+/–
"ruleset" может быть очень сложен, после автогенератора правил, учитывающего все возможные случаи и удобства неизвестного заранее пользователя. А тогда "nft list ruleset" НЕполезен из-за монструозности правил автогенератора. Keep it simple. Или придётся городить второй Apple, до размера которого сабжу как до соседней планеты.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #126

152. Сообщение от Аноним (69), 16-Июл-24, 10:50	+/–
> firewall-cmd --zone=ssh-access --add-source=127.0.0.0/8 А точно ли есть какой-то смысл в сей поделке, когда вариант: iptables -p 6 --dport 22 -s 127/8 -j ACCEPT и короче и сразу в байт-код, минуя прокладку в виде firewalld? Если только польза нумерофобам, которым не удержать в голове номера портов, но при этом тарабарщина вида "zone=ssh-access" вызывает какие-то ассоциативные ряды.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #134 Ответы: #157

153. Сообщение от нах. (?), 16-Июл-24, 10:52	+/–
>> а какое отношение фовард имеет к локальным процессам и юзерам? > Виртуалки, контейнеры. Из того, что первое на ум приходит. в контейнере нет настоящего forward, это такой скрытый от юзера input (причем у ip есть связнаная с этим неприятная фича... э... не будем снабжать ненужным знанием местных "специалистов", пусть дальше думают что DROP в forward их от чегототам защитит). Чисто технически - в этом случае все работает точно так же. Виртуалка - отдельная операционная система, и должна иметь собственный input фильтр, разумеется, если тебе хочется поуправлять на уровне отдельных процессов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #145

154. Сообщение от нах. (?), 16-Июл-24, 11:00	+/–
> Уже нигде нет никакого iptables, даже на олдстейбле дебиана. Есть какой-то слой А если найду? > совместимости, который транслирует команды и правила iptables в понятные nftables. Все, только он не работает, поэтому пользоваться им невозможно. Модные современные тяпляперы ведь не имеют привычки ничего доделывать нормально, хвост задрал, навалил кучку и убежал по веткам дальше. > кто "пользуется iptables" используют именно его. Разумеется, нет. Те кого пользуют - тех да, они ничего и не заметят, им и не видно что х-й в оппе сменился. cat /etc/*ease PRETTY_NAME="Debian GNU/Linux 11 (bullseye)" lsmod Module                  Size  Used by ipt_REJECT             16384  2 nf_reject_ipv4         16384  1 ipt_REJECT xt_tcpudp              20480  12 xt_state               16384  0 xt_conntrack           16384  2 iptable_filter         16384  1 xt_nat                 16384  1 iptable_nat            16384  1 lrwxrwxrwx 1 root root 25 Feb 16  2023 /etc/alternatives/iptables -> /usr/sbin/iptables-legacy сильно сомневаюсь что в 12м что-то радикально изменится. Пока в ведре не доломают окончательно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #144

155. Сообщение от Аноним (69), 16-Июл-24, 11:17	+/–
Да нифига не так. Есть модули netfilter x_tables и nf_tables, которые прекрасно поддерживаются на ядре 6.10, и могут сосуществовать. Есть утилиты для взаимодействия с модулем x_tables - iptables, и nf_tables - nftables и iptables-nft. А дальше пользуетесь тем, что знаете. Чего не хватает - доустанавливаете. Статичный пакет проходит через оба модуля, приоритет отдается запрету. Маскарадный пакет обрабатывается в приоритете модулей. Приоритет модулей устанавливается числом. Если память не изменяет, у nf_tables это 0, у x_tables - то ли -1, или -100.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #144 Ответы: #156

156. Сообщение от нах. (?), 16-Июл-24, 12:15	+/–
> Да нифига не так. Есть модули netfilter x_tables и nf_tables, которые прекрасно > поддерживаются на ядре 6.10, и могут сосуществовать. Есть утилиты для взаимодействия > с модулем x_tables - iptables, и nf_tables - nftables и iptables-nft. не переживай, это - ненадолго. Тяпляперам спать мешает мысль о том что они еще что-то работающее не доломали окончательно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #155

157. Сообщение от нах. (?), 16-Июл-24, 12:46	+/–
> А точно ли есть какой-то смысл в сей поделке, когда вариант: > iptables -p 6 --dport 22 -s 127/8 -j ACCEPT > и короче и сразу в байт-код, и сразу не работает. Поправил, не благодари. iptables -p 6 --dport 22 -s 127/8 -j ACCEPT iptables v1.8.7 (legacy): no command specified Try `iptables -h' or 'iptables --help' for more information. И вот так у вас - всьо. А когда ты все это исправишь чтоб оно хотя бы запускалось - тебя ждет следующий этап. После двух десятков вот таких заклинаний - попробуй что-то исправить. Отдельно - набранных не тобой, а тем, другим васяном. Это еще нулевой уровень. Первый - а теперь то же самое но помимо васянов там постарался дыркер (и будет - после тебя) - и надо ничего ему не сломать. Идея firewalld (помимо независимости от конкретной реализации ядерного файрвола, что само по себе неплохо) - в том что тебе не обязательно знать что там до тебя понакуролесили другие васяны, чтобы добавить еще один сервис к сотне имеющихся (причем после тебя третий васян может включить и выключить его на нужных интерфейсах, не лазя внутрь). Потому что по сути (помимо утилиты с печальным синтаксисом) это фиксация допустимого набора правил и того что этим правилам положено делать, а что нет. Ну оно немнозецько уе6@нски полуцилося... ну это как всегда. Вендофиревал требует для своей реализации другую ядерную, его скосплеить все равно не выйдет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #152

158. Сообщение от noc101 (ok), 16-Июл-24, 15:00	+/–
>>> Потому что используется nftables/iptables, зачем же ещё. Это как с селинуксом. >> Глупостями занимаются люди. Не умеют готовить просто. > Как по памяти написать анти-DDoS правило... С хорошим логгированием, чтобы в логи > не чрезмерно часто записывало... С переключениями на лету. > Ищут простых решений сложных ситуаций. Но такой софт если хороший, то будет > сложен как ЛибреОФис, например. Либо будет тяжёлый в настройке. Либо будет > уметь кроме HTTP и ICMP, да и только. Точно также как и везде.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #149

167. Сообщение от нах. (?), 17-Июл-24, 12:29	+/–
>>> для закрытия SSH - "firewall-cmd --remove --service=ssh" >> И? А активные коннекты при этом продолжат работать? Ведь тут без разрыва >> установленных соединений - это типа киллер-фича > Просто добавь --reload не поможет. reload это про другое. Там --panic как раз для таких случаев предусмотрен... не, я не знаю как ты собираешься дальше восстанавливать себе доступ. Но в целом это ровно что ты и хотел - ведь ты не оговорил что обрубая активные коннекты надо оставить доступ для тебя, любимого. И в команде только "закрытие ssh", без исключений.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #142

168. Сообщение от Shellpeck (?), 01-Окт-25, 11:26	+/–
firewalld - бесполезное нагромождение.     Разработчики позиционируют его как реализацию концепции Zonebased Firewall.\ При этом Zonebased firewall предназначен для систем с более, чем 1 интерфейсом. идея заключается в описании зон с включением туда соответствующих интерфейсов и правил взаимодействия между зонами, что упрощает и ускоряет разработку правил firewall.     Идея firewalld заключается в том, чтобы оградить неокрепшую психику от "сложных правил nftables".     В документации к firewalld вплоть до 9 верссии RHEL разработчики указывали, что firewalld не подходит для маршрутизаторов и сложных инсталляций. С 10 версси скромно указывают, что это подходит не лдя всех случаев.     По факту же в настройках firewalld не найти механизмов описания правил мнжду зонами, а типичное применение firewalld подразумевает простое открытие или блокирование входящих соединений на локальные порты системы. Если требуется организовать полноценные списки доступа для входящих содинений от хостов/сетей источников на определённые локальные порты, то добро пожаловать в rich rules - т.е. изучайте nftables, но сначала изучите сиснтаксис firewalld.     При этом firewald лишает вас счётчиков, а нагромождение цепочек и бесполезных правил обфусцирует путь прохождения пакета. Т.е. отладка правил становится практически невозможной.     Т.е. фактически можно заменить firewalld конструкцией, покрывающей большинство применений firewalld:      define IF_INT = { eth0 } table ip filter {     set tcp_ports {         type inet_service         flags interval         elements = { 22, 80, 443 }     }             set udp_ports {         type inet_service         flags interval         elements = { 53, 123 }     }     chain INPUT {         type filter hook forward priority filter; policy drop;         iif "lo" accept         ct state vmap { established : accept, related : accept, invalid : drop }                  iif $IF_INT ct state new tcp dport @tcp_ports counter accept         iif $IF_INT ct state new udp dport @udp_ports counter accept         icmp type timestamp-request counter drop         ip protocol icmp counter accept     } } При этом порты можно добавить командой: nft add element filter tcp_ports '{2}' удалить: nft delete element filter tcp_ports '{2}' Просмотреть: nft list set filter tcp_ports Посмотреть все правила: nft list ruleset Сложно? Сравните это с монструозным firewalld. Ради этого стоило его городить? Выводы: 1. firewalld - нефункционален, 2. firewalld - вреден, 3. Не умеете nftables - "не доверяйте ребёнку мужскую работу". nftables - это мощный, функциональный и точный инструмент, который стоит изучать, а не прятать за кучу нагромождений, которая ничего не может, а только мешает. firewalld не привнёс ничего нового, а "с водой выплеснул и ребёнка". Такого же мнения я и о startis storage.
Ответить | Правка | Наверх | Cообщить модератору

169. Сообщение от Shellpeck (?), 01-Окт-25, 11:27	+/–
И такой же бестолковый.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

170. Сообщение от Аноним (170), 01-Окт-25, 13:15	+/–
На том и стоит. Что нового он привносит? Это даже не zonebased firewall. Где там описание правил отношения между зонами? Там шаг влево, шаг вправо - rich rules, т.е. nftables. Тогда firewalld - просто лишняя сущность.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема