înregistrare Logare
Puncte:0
avatar Server

Cum afișez întreaga stare firewalld?

drapel cn
Norman Gray

Încerc să aflu de ce un firewall nu se comportă așa cum cred că i-am cerut să se comporte și, prin urmare, încerc să aflu cum să obțin firewalld pentru a-și arăta setul complet de reguli, într-un format asemănător unui iptables Fișier de configurare. Sau un alt format â nu prea îmi pasă â atâta timp cât este la fel de lizibil ca un iptables sau pf configurație (adică, aceasta este o bară destul de mică de șters!).

  • Comenzi ca firewall-cmd --list-all âEnumerați tot ce este adăugat sau activat în zonă.â Dar aceasta listează doar interfețele, serviciile și așa mai departe, fără alte detalii. Nu pot vedea a --liste-toate-nu-cu adevărat-totul opțiune.
  • Am crezut că am găsit-o când am citit despre direct reguli, dar văd că asta se aplică doar regulilor adăugate ca reguli suplimentare âdirecteâ și nu este trapa din camera mașinilor care a apărut prima dată.
  • Văd fișierele de configurare în /etc/firewalld iar valorile implicite în /usr/lib/firewalld. Dar, deși acest lucru este promițător la prima vedere și frumos comentat, nu pare să-mi spună prea multe despre starea actuală. Întrebări de genul Aceasta sunt despre regulile de export (pentru mutarea în altă parte) și sugerează că asta este tot ce există (presupun că porturile menționate în serviciile menționate în zona publică sunt blocate pentru intrare...?).

Înțelegerea mea (corectează-mă dacă greșesc) este aceea firewalld are ceva de tip iptables în interior, care face toată munca efectivă și are niste un fel de stat care --reincarca poate găsi și, ei bine,... reîncărcați. Aceasta este starea pe care sper să o găsesc.

Poate că sunt slab, dar găsesc nivelul general de indirect și de ajutor firewall-cmd complet de neînțeles. Da, celebrul „orice problemă din știința informatică poate fi rezolvată prin adăugarea unui alt strat de indirectă”, dar uneori acest lucru poate fi dus la extreme.

S-ar putea să nu am deloc o problemă cu firewall-ul, dar nu pot afla suficient despre starea firewall-ului pentru a exclude asta. Există un caz pentru a trece la iptables (mă întreb în disperare)? Este mai multă agitație de configurat și ușor să greșești lucrurile, dar cel puțin am o idee despre ce se întâmplă.

Sunt foarte deschis să încadreze provocări sau să mi se spună că mă latră în copacul greșit.

73
0 + 0
Puncte:1
avatar Server
drapel cn
Bob

În general, aș recomanda să se uite la seturile reale de reguli de firewall pe care le rulează nucleul Linux, în loc să încerce să diagnosticheze probleme mai complexe de firewall de la "ușor de utilizat" instrumente precum firewalld (sau similar UFW și altele) și stratul de abstractizare pe care îl oferă. Adesea, odată ce înțelegeți problemele de bază, le puteți rezolva cu ușurință într-o problemă susținută de acele instrumente.

Deși unora le place [sudo] iptables-save mai bine pentru mine comanda [sudo] iptables -L -v -n este prietenul tău cel mai bun.
Adesea, atunci când discutăm despre configurații, este util să folosiți --numere-linii opțiune și pentru a vedea liniile numerice. Regula menționând #X ușurează oarecum o discuție. Amintiți-vă totuși că, implicit, iptables afișează numai tabelul FILTER și specificați altele cu -t [ nat | mangle | brut] intrerupator.

Când backend-ul nftables este folosit de firewalld, utilizați set de reguli liste nft.

(Pentru mine, firewalld este de fapt un alt front-end pentru a crea seturi de reguli care vor fi încărcate în Linux netfilter modulele nucleului. Puteți încă manipula acele backend-uri cu instrumentele lor native și de nivel mai scăzut, cum ar fi iptables sau mai modern nftables instrumente succesoare. Imaginea de mai jos arată ce alte backend-uri firewalld pot folosi și aduce împreună.)

De la https://firewalld.org/documentation/concepts.html

0 + 0
drapel cn
Norman Gray
Mulțumesc! Exact asta cautam. Văd din `firewall.conf` că folosesc back-end-ul `nftables`, așa că sunt ușor confuz că `iptables-save` produce rezultate sau este proiectat doar să funcționeze cu ambele back-end-uri? De asemenea, de unde a venit acea diagramă? Pare un document pe care ar trebui să mă uit, cel puțin pe scurt. Mă aștept că voi continua să manipulez firewall-ul RH folosind `firewall-cmd`, dar consultați această ieșire pentru a verifica ce schimbare am efectuat.
0
Răspunde
drapel cn
Bob
Dacă vă uitați la ieșirea lui `iptables -V`, este posibil să vedeți compatibilitatea cu nftables. Imaginea provine de la https://firewalld.org/documentation/concepts.html
1
Răspunde
drapel cn
Norman Gray
perfect â mulțumesc
0
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.