https://www.opennet.ru/openforum/vsluhforumID3/135257.html Сформирован выпуск динамически управляемого межсетевого экрана firewalld 2.3, реализованного в форме обвязки над пакетными фильтрами nftables и iptables. Firewalld запускается в виде фонового процесса, позволяющего динамически изменять правила пакетного фильтра через D-Bus, без необходимости перезагрузки правил пакетного фильтра и без разрыва установленных соединений. Проект уже применяется во многих дистрибутивах Linux, включая RHEL 7+, Fedora 18+ и SUSE/openSUSE 15+. Код firewalld написан на языке Python и распространяется под лицензией GPLv2...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=62183<br> https://www.opennet.ru/openforum/vsluhforumID3/135257.html#76 Sun, 10 Nov 2024 01:16:13 GMT Разрешите докопаться<br><br>- Если локальная сеть будет в зоне trust, то правила не будут применяться. Там уже стоит ACCEPT по умолчанию на все входящие<br>- Правила будут применться к новым соеденениям(ct state { established, related } accept), текущая ssh сессия будет работать<br>- У firewalld есть опция --persistent. Команды без нее не сохраняться постоянно. Так что всегда можно откатить, ну или на худой конец перезагрузить комп<br>- У firewall-cmd есть опции timeout(или как-то так), которые отменят команду через заданное время. Вполне подходит для любителей заблокиновать ssh<br><br>В вот в чем firewalld однозначно плох, так это поддержка ipv6. MASQURADE, port forwading извольте писать через rich syntax(по сути nft)<br> https://www.opennet.ru/openforum/vsluhforumID3/135257.html#75 Sat, 09 Nov 2024 08:36:41 GMT квалифицированные не хотят мараться об nft<br><br> https://www.opennet.ru/openforum/vsluhforumID3/135257.html#74 Sat, 09 Nov 2024 08:36:14 GMT проблема ваших поделок именно в том, что у вас ВСЕ примеры - "не самые лучшие с точки зрения безопасности".<br><br>Сделай-ка мне в качестве самого примитивного образца - простой белый список для подключений к ssh. Я сказал - ssh, а не всей зоны public, там кроме него есть другие сервисы!<br><br> https://www.opennet.ru/openforum/vsluhforumID3/135257.html#73 Fri, 08 Nov 2024 11:01:28 GMT &gt;а зачем?<br><br>Затем чтобы в интернет ходили только те приложения, которым это явно разрешено, а не "кто угодно входи-выходи, у нас двери нараспашку".<br> https://www.opennet.ru/openforum/vsluhforumID3/135257.html#72 Fri, 08 Nov 2024 07:08:39 GMT &gt; Откуда они могут знать, на каком порту мне нужно запускать сервисы?<br><br>Если ты запускаешь сферический http сервер, порты очевидны и дефолтные прописаны (а точнее - вероятнее даже просто протянуты http/https протоколы). Хочешь нестандартную настройку &#8212; пишешь сам. Про полную поддержку любых сервисов никто и не говорил.<br><br>&gt; Ну, а вручную xml писать какое-то сомнительное удовольствие, даже по сравнению с nft.<br><br>Да, полная хрень, каждый раз плююсь.<br> https://www.opennet.ru/openforum/vsluhforumID3/135257.html#71 Fri, 08 Nov 2024 04:52:26 GMT &gt; Девособаки - неосиляторы? Планировать надо от требований ИБ, а не против них. <br>&gt; А firewalld - это имитация.<br>&gt; Если уж на то пошло, то нужно юзать коммерческий настоящий фаервол для <br>&gt; виртуализированных сред в целях микросегментации сетей, а не эту игрушку. У <br>&gt; нее черным по белому в доке написано - для рабочих станций <br>&gt; и простых инсталляций.<br><br>Угу. Firewalld, сталбыть, имитация, а bashпортянко (Шоб уж совсем-Ъ!) с правилами в legacy-синтаксисе, делающая "чуть более сложное"(ТМ) (Главное потом суметь "смежникам"(ТМ) доказать, чтоэтонеты - ну или быстро-быстро поправить, а потом уже "доказать"(ТМ)) - самая что ни на есть "информационная безопасность"(ТМ) и есть, ясно-понятно. <br> https://www.opennet.ru/openforum/vsluhforumID3/135257.html#70 Fri, 08 Nov 2024 03:34:57 GMT Откуда они могут знать, на каком порту мне нужно запускать сервисы? <br><br>Ну, а вручную xml писать какое-то сомнительное удовольствие, даже по сравнению с nft.<br> https://www.opennet.ru/openforum/vsluhforumID3/135257.html#69 Thu, 07 Nov 2024 19:48:50 GMT SElinux?<br> https://www.opennet.ru/openforum/vsluhforumID3/135257.html#68 Thu, 07 Nov 2024 19:46:57 GMT Достаточно одного квалифицированного админа, а не десятка девособак.<br>