forum.opennet.ru - "Выпуск межсетевого экрана firewalld 2.4.0" (29)

"Выпуск межсетевого экрана firewalld 2.4.0"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Выпуск межсетевого экрана firewalld 2.4.0"	+/–
Сообщение от opennews (?), 07-Ноя-25, 09:21
Сформирован выпуск динамически управляемого межсетевого экрана firewalld 2.4.0, реализованного в форме обвязки над пакетными фильтрами nftables и iptables. Firewalld запускается в виде фонового процесса, позволяющего динамически изменять правила пакетного фильтра через D-Bus, без необходимости перезагрузки правил пакетного фильтра и без разрыва установленных соединений. Проект уже применяется во многих дистрибутивах Linux, включая RHEL 7+, Fedora 18+ и SUSE/openSUSE 15+. Код firewalld написан на языке Python и распространяется под лицензией GPLv2... Подробнее: https://www.opennet.me/opennews/art.shtml?num=64197
Ответить \| Правка \| Cообщить модератору

Оглавление

Ага, в случае с nftables не работает Только systemctl restart firewalld service , сисадмин (?), 09:21 , 07-Ноя-25, (1) +4

Что ты ожидаешь от тех, кто в третьем десятилетии 21 века до сих пор не умеет в , Аноним (14), 11:09 , 07-Ноя-25, (14) +2

да уж а ведь это все пользователи винды если соотнести с количеством пользова, Аноним (28), 14:49 , 07-Ноя-25, (28)

firewalld - бесполезное нагромождение Разработчики позиционируют его как реализ, Shellpeck (?), 09:24 , 07-Ноя-25, (2) +14

Те, кому требуется более сложная настройка межсетевого экрана, могут отказаться , Аноним (3), 09:43 , 07-Ноя-25, (3) +1

Такое ощущение, что разработчики не знали, куда ещё можно пухтон пристроить , Аноним (6), 09:58 , 07-Ноя-25, (6) +2

Перепиши на Swift , Аноним (23), 14:30 , 07-Ноя-25, (23)

Спасибо Вот за такие крупицы мудрости опытных людей - я и люблю опеннет , Аноним (5), 09:56 , 07-Ноя-25, (5) +4
К сожалению докер не поддерживает пока nftables Если по работе нужно - приходит, leap42 (ok), 10:03 , 07-Ноя-25, (8) +2
Какой смысл обвинять надстройку для нубов в том, что она не подходит для продвин, Ан333ним (?), 10:46 , 07-Ноя-25, (10) +3
Это идея ufw А firewalld только добавляет сложности с зонами , Соль земли2 (?), 11:41 , 07-Ноя-25, (16)
Оно ээээ из коробки - container ready и нормально сосуществует с миллионом , User (??), 11:51 , 07-Ноя-25, (18) +1

Женособаки подтянулись quote - container ready и нормально сосуществует с милли, Shellpeck (?), 12:06 , 07-Ноя-25, (19)

Неа Я уже слишком стар для этой фигни - но если что, бороду-в-свитере поносить , User (??), 12:25 , 07-Ноя-25, (20) +1
Атомарно заменять правила Когда у тебя из 3,5 это незаметно Когда у тебя их 3,, Аноним (34), 16:28 , 07-Ноя-25, (34)

и как это умеет firewalld, дергающий iptables как бэкенд , Аноним (35), 16:57 , 07-Ноя-25, (35)

Почему это Например, ноутбук бывает в разных местах и ему полезны разные профил, Аноним (22), 14:02 , 07-Ноя-25, (22)

насколько я вижу в ufwне сложно создавать профили,причем тут есть и 3 предустано, Аноним (28), 14:57 , 07-Ноя-25, (30)

подпишусь конечно под каждым словом однако в защиту наверное можно сказать что о, fvl (?), 16:27 , 07-Ноя-25, (33)

И чем оно отличается от 100500 других фаерволов , Аноним (14), 10:59 , 07-Ноя-25, (11)

ufw default deny incomingufw allow sshкак-то куда проще, чем сабж , Аноним (14), 11:05 , 07-Ноя-25, (12) +2

Где взять для Linux элементарный Personal Firewall с GUI Чтобы это ловило все п, Ананоним (?), 13:53 , 07-Ноя-25, (21)

вот попробуйте - https github com evilsocket opensnitchнепритязательно, умеет , eugeny (?), 14:32 , 07-Ноя-25, (24) +1
Ну, вообще - в репозитории твоего дистрибутива, но можно и отсюда https github, User (??), 14:36 , 07-Ноя-25, (25)
Это тебе в KDE https invent kde org plasma plasma-firewallРаньше выглядело так, Аноним (-), 15:05 , 07-Ноя-25, (32)

оно лучше ufw , Аноним (28), 14:36 , 07-Ноя-25, (26)

Для дома или old-school standalone-сервера да Для всякой энтерпрайзятины контей, User (??), 14:44 , 07-Ноя-25, (27)

на десктопе локалхост,стоит ufw и конечно никаких сверх задач не исполняет видим, Аноним (28), 14:51 , 07-Ноя-25, (29)

Ага Если на десктопе же окажется еще вот и docker то уже дискуссионно, оно там , User (??), 14:57 , 07-Ноя-25, (31)

Сообщения [Сортировка по времени | RSS]

1. "Выпуск межсетевого экрана firewalld 2.4.0" +4 +/–

Сообщение от сисадмин (?), 07-Ноя-25, 09:21

> firewall-cmd --reload
Ага, в случае с nftables не работает.
Только systemctl restart firewalld.service.

Ответить | Правка | Наверх | Cообщить модератору

14. "Выпуск межсетевого экрана firewalld 2.4.0" +2 +/–

Сообщение от Аноним (14), 07-Ноя-25, 11:09

Что ты ожидаешь от тех, кто в третьем десятилетии 21 века до сих пор не умеет в строки?
> Максимальный размер имён правил увеличен с 17 до 128 символов

Ответить | Правка | Наверх | Cообщить модератору

28. "Выпуск межсетевого экрана firewalld 2.4.0" +/–

Сообщение от Аноним (28), 07-Ноя-25, 14:49

да уж..
а ведь это все пользователи винды ))
если соотнести с количеством пользователей линя,
а тем более тех кто может из последних в строки,
то вообще катастрофа ))

Ответить | Правка | Наверх | Cообщить модератору

2. "Выпуск межсетевого экрана firewalld 2.4.0" +14 +/–

Сообщение от Shellpeck (?), 07-Ноя-25, 09:24

firewalld - бесполезное нагромождение.
    Разработчики позиционируют его как реализацию концепции Zonebased Firewall.\
При этом Zonebased firewall предназначен для систем с более, чем 1 интерфейсом.
идея заключается в описании зон с включением туда соответствующих интерфейсов
и правил взаимодействия между зонами, что упрощает и ускоряет разработку правил firewall.
    Идея firewalld заключается в том, чтобы оградить неокрепшую психику от "сложных правил nftables".
    В документации к firewalld вплоть до 9 верссии RHEL разработчики указывали, что firewalld
не подходит для маршрутизаторов и сложных инсталляций. С 10 версии скромно указывают, что
это подходит не для всех случаев.
    Zero trust - не, не слышали, у нас default policy accept.
    По факту же в настройках firewalld не найти механизмов описания правил взаимодействия зон друг с другом,
а типичное применение firewalld подразумевает простое открытие или блокирование входящих
соединений на локальные порты системы. Если требуется организовать полноценные списки доступа
для входящих соединений от хостов/сетей источников на определённые локальные порты, то добро
пожаловать в rich rules - т.е. изучайте nftables, но сначала изучите синтаксис firewalld.
    При этом firewald лишает вас счётчиков, а нагромождение цепочек и бесполезных правил обфусцирует
путь прохождения пакета. Т.е. отладка и оптимизация правил по использованию становится практически невозможной.
Вы думаете, "изобретатели" firewalld написали нему что-то вроде packet-tracer/capture? Держите карман шире.
    Фактически же firewalld можно заменить конструкцией, покрывающей большинство применений firewalld:
define IF_INT = { eth0 }
table ip filter {
    set tcp_ports {
        type inet_service
        flags interval
        elements = { 22, 80, 443 }
    }
    set udp_ports {
        type inet_service
        flags interval
        elements = { 53, 123 }
    }
    chain INPUT {
        type filter hook forward priority filter; policy drop;
        iif "lo" accept
        ct state vmap { established : accept, related : accept, invalid : drop }
    iif $IF_INT ct state new tcp dport @tcp_ports counter accept
    iif $IF_INT ct state new udp dport @udp_ports counter accept
        icmp type timestamp-request counter drop
        ip protocol icmp counter accept
    }
}
При этом порты можно добавить командой:
nft add element filter tcp_ports '{2}'
удалить:
nft delete element filter tcp_ports '{2}'
Просмотреть:
nft list set filter tcp_ports
Посмотреть все правила:
nft list ruleset
Сложно?
Сравните это с монструозным firewalld. Ради этого стоило его городить?
Выводы:
1. firewalld - нефункционален,
2. firewalld - вреден,
3. Не умеете nftables - "не доверяйте ребёнку мужскую работу".
nftables - это мощный, функциональный и точный инструмент, который стоит изучать,
а не прятать за кучу нагромождений, которая ничего не может, а только мешает.
firewalld не привнёс ничего нового, а "с водой выплеснул и ребёнка".

Ответить | Правка | Наверх | Cообщить модератору

3. "Выпуск межсетевого экрана firewalld 2.4.0" +1 +/–

Сообщение от Аноним (3), 07-Ноя-25, 09:43

Те, кому требуется более сложная настройка межсетевого экрана, могут отказаться от firewalld и использовать только nftables. Однако большинству пользователей будет удобнее настраивать межсетевой экран через графический интерфейс firewall-config. Этот инструмент отлично подходит для простых задач, таких как открытие bittorrent-lsd.

Ответить | Правка | Наверх | Cообщить модератору

6. "Выпуск межсетевого экрана firewalld 2.4.0" +2 +/–

Сообщение от Аноним (6), 07-Ноя-25, 09:58

Такое ощущение, что разработчики не знали, куда ещё можно пухтон пристроить.

Ответить | Правка | Наверх | Cообщить модератору

23. "Выпуск межсетевого экрана firewalld 2.4.0" +/–

Сообщение от Аноним (23), 07-Ноя-25, 14:30

Перепиши на Swift.

Ответить | Правка | Наверх | Cообщить модератору

5. "Выпуск межсетевого экрана firewalld 2.4.0" +4 +/–

Сообщение от Аноним (5), 07-Ноя-25, 09:56

Спасибо. Вот за такие крупицы мудрости опытных людей - я и люблю опеннет.

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

8. "Выпуск межсетевого экрана firewalld 2.4.0" +2 +/–

Сообщение от leap42 (ok), 07-Ноя-25, 10:03

К сожалению докер не поддерживает пока nftables. Если по работе нужно - приходится сидеть на firewalld 🤷‍♂️

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

10. "Выпуск межсетевого экрана firewalld 2.4.0" +3 +/–

Сообщение от Ан333ним (?), 07-Ноя-25, 10:46

Какой смысл обвинять надстройку для нубов в том, что она не подходит для продвинутых пользователей.

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

16. "Выпуск межсетевого экрана firewalld 2.4.0" +/–

Сообщение от Соль земли2 (?), 07-Ноя-25, 11:41

> Идея firewalld заключается в том, чтобы оградить неокрепшую психику от "сложных правил nftables".
Это идея ufw. А firewalld только добавляет сложности с зонами.

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

18. "Выпуск межсетевого экрана firewalld 2.4.0" +1 +/–

Сообщение от User (??), 07-Ноя-25, 11:51

Оно ээээ... "из коробки":
- container ready и нормально сосуществует с миллионом автогенеренных докером-куб-прокси-чертом-в-ступе правил, чего в общем нельзя сказать про произвольную конфигурацию iptables\nftables
- (кои)как-то (через CNI-плагин или вот network-manager) отрабатывает ситуацию с дохреналлионом созаваемых "налету" CNI-интерфейсов (Но лучше-б не умел, т.к. сколько-нибудь нормально все одно, не работает при использовании network-policy, так - фланельку прикрыть от безопасника - от атакующего уже не спасёт)
- умеет применять правила "налету" без разрыва соединений (Чего нельзя было сказать про iptables per se)
- некоторым образом упрощает конфигурёж в самых простых случаях: не нужно ВООБЩЕ ничего знать об дополнительных абстракциях (IP|NF)tables (Таблицы, цепочки) - даже базового представления о "tcp\ip" - не надо "разреши SSH" и пофиг на tcp, udp, port, handshake\state и т.д. - при этом этих самых "простых" в жизни абсолютнейшее большинство, так-то
- обладает чуть более человековменяемым синтаксисом (Вкусовщина, да) в _простых_ случаях. В непростых - объем невменоза удваивается, есс-сна
- абстрагирует от конкретного бэкенда, если у тебя !вдруг! зачем-то унутре iptables - ты об этом и не узнаешь
- больмень интегрируется с внешним тулингом для желающих централизовано порулить зоопарком
Может и еще чего полезного делает, но мне в голову не приходит ).

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

19. "Выпуск межсетевого экрана firewalld 2.4.0" +/–

Сообщение от Shellpeck (?), 07-Ноя-25, 12:06

Женособаки подтянулись?
[quote]- container ready и нормально сосуществует с миллионом автогенеренных докером-куб-прокси-чертом-в-ступе правил, чего в общем нельзя сказать про произвольную конфигурацию iptables\nftables[/quote]
Фактически - отломано и выброшено. Открыть порт "всем ветрам" - это не задача firewall. Зачастую стоит задача открыть сервис для доступа для определенного списка адресов. То, как это сделали декерасты - лучше бы вообще не делали. Отношение - "а после нас хоть потоп".
[quote]- умеет применять правила "налету" без разрыва соединений (Чего нельзя было сказать про iptables per se)[/quote]
Чего iptables не умеет? Добавить, заменить, удалить правило? Может это не iptables не умеет? А куча пихтонокала, которая юзает iptables чудесным образом умеет?
[quote]- обладает чуть более человековменяемым синтаксисом (Вкусовщина, да) в _простых_ случаях. В непростых - объем невменоза удваивается, есс-сна[/quote]
Сломать функционал ради извращённых вкусов? Где тут разум и целеполагание?
[quote]- больмень интегрируется с внешним тулингом для желающих централизовано порулить зоопарком"[/quote]
"То, что мертво, умереть не может"
Суть firewalld - "сами не можем и другим не дадим".

Ответить | Правка | Наверх | Cообщить модератору

20. "Выпуск межсетевого экрана firewalld 2.4.0" +1 +/–

Сообщение от User (??), 07-Ноя-25, 12:25

> Женособаки подтянулись?
Неа. Я уже слишком стар для этой фигни - но если что, бороду-в-свитере поносить успел )
> [quote]- container ready и нормально сосуществует с миллионом автогенеренных докером-куб-прокси-чертом-в-ступе
> правил, чего в общем нельзя сказать про произвольную конфигурацию iptables\nftables[/quote]
> Фактически - отломано и выброшено. Открыть порт "всем ветрам" - это не
> задача firewall. Зачастую стоит задача открыть сервис для доступа для определенного
> списка адресов. То, как это сделали декерасты - лучше бы вообще
> не делали. Отношение - "а после нас хоть потоп".
Зачастую - стоит, зачастую - не стоит, а другого докера у нас для вас - ЕСТЬ, и чо-как, нраицца? Хучь - подман бери, хучь вот кубик заводи, он в этом месте не менее раскудрявый )))
Можно конечно сказать: "Вы! Вы! Вы!!! Всё! Делаете! НИРПАИЛЬНА!!!111" - но не советую, "не поймут-с, азиаты-с..."
> [quote]- умеет применять правила "налету" без разрыва соединений (Чего нельзя было сказать
> про iptables per se)[/quote]
> Чего iptables не умеет? Добавить, заменить, удалить правило? Может это не iptables
> не умеет? А куча пихтонокала, которая юзает iptables чудесным образом умеет?
Может да - но ты ж почему-то альтернативу вот в свое время на bash'е - не написал, занят поди был?
> [quote]- обладает чуть более человековменяемым синтаксисом (Вкусовщина, да) в _простых_
> случаях. В непростых - объем невменоза удваивается, есс-сна[/quote]
> Сломать функционал ради извращённых вкусов? Где тут разум и целеполагание?
Так кто ж его тебе "сломал"-то, а? Хочешь - пользуйся, хочешь - не пользуйся, можешь вот даже всё rich-rules делать -  кто мешает-то?
> [quote]- больмень интегрируется с внешним тулингом для желающих централизовано порулить
> зоопарком"[/quote]
> "То, что мертво, умереть не может"
> Суть firewalld - "сами не можем и другим не дадим".
firewalld - для человеков, iptables\nftables - для машин. В той портянке, что на типовой ноде наавтогенерилась - ты один черт, не разберешься - она меняется как бы не быстрее, чем ты до конца долистаешь ).

Ответить | Правка | Наверх | Cообщить модератору

34. "Выпуск межсетевого экрана firewalld 2.4.0" +/–

Сообщение от Аноним (34), 07-Ноя-25, 16:28

> Чего iptables не умеет?
Атомарно заменять правила. Когда у тебя из 3,5 это незаметно. Когда у тебя их 3,5 тысячи — уже начинаешь замечать. Когда их под 10к, понимаешь почему существует nftables. Истерика от питона феноменальная у тебя конечно. Что, даже такой простой язык не осилил? Беда.

Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

35. "Выпуск межсетевого экрана firewalld 2.4.0" +/–

Сообщение от Аноним (35), 07-Ноя-25, 16:57

>> Чего iptables не умеет?
> Атомарно заменять правила.
и как это умеет firewalld, дергающий iptables как бэкенд?

Ответить | Правка | Наверх | Cообщить модератору

22. "Выпуск межсетевого экрана firewalld 2.4.0" +/–

Сообщение от Аноним (22), 07-Ноя-25, 14:02

> При этом Zonebased firewall предназначен для систем с более, чем 1 интерфейсом.
Почему это? Например, ноутбук бывает в разных местах и ему полезны разные профили для разных сетей. У той же Ubuntu с ufw это придется делать через костыли.

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

30. "Выпуск межсетевого экрана firewalld 2.4.0" +/–

Сообщение от Аноним (28), 07-Ноя-25, 14:57

насколько я вижу в ufw
не сложно создавать профили,
причем тут есть и 3 предустановленных,
которые можно и редактировать..
но кто ж это из юзеров умеет, даже при наличии документации ))

Ответить | Правка | Наверх | Cообщить модератору

33. "Выпуск межсетевого экрана firewalld 2.4.0" +/–

Сообщение от fvl (?), 07-Ноя-25, 16:27

подпишусь конечно под каждым словом.
однако в защиту наверное можно сказать что он разрабатывался ещё во времена до nft.

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

11. "Выпуск межсетевого экрана firewalld 2.4.0" +/–

Сообщение от Аноним (14), 07-Ноя-25, 10:59

> реализованного в форме обвязки над пакетными фильтрами nftables и iptables
И чем оно отличается от 100500 других "фаерволов"?

Ответить | Правка | Наверх | Cообщить модератору

12. "Выпуск межсетевого экрана firewalld 2.4.0" +2 +/–

Сообщение от Аноним (14), 07-Ноя-25, 11:05

ufw default deny incoming
ufw allow ssh
как-то куда проще, чем сабж.

Ответить | Правка | Наверх | Cообщить модератору

21. "Выпуск межсетевого экрана firewalld 2.4.0" +/–

Сообщение от Ананоним (?), 07-Ноя-25, 13:53

Где взять для Linux элементарный Personal Firewall с GUI? Чтобы это ловило все попытки любых приложений лезть в сеть и покказывало диалог для решений пользователя "пущать или не пущать". Скучаю по виндовым персональным файрволам из 2005 года.

Ответить | Правка | Наверх | Cообщить модератору

24. "Выпуск межсетевого экрана firewalld 2.4.0" +1 +/–

Сообщение от eugeny (?), 07-Ноя-25, 14:32

вот попробуйте - https://github.com/evilsocket/opensnitch
непритязательно, умеет в eBPF фильтры, работает много где

Ответить | Правка | Наверх | Cообщить модератору

25. "Выпуск межсетевого экрана firewalld 2.4.0" +/–

Сообщение от User (??), 07-Ноя-25, 14:36

Ну, вообще - в репозитории твоего дистрибутива, но можно и отсюда:
https://github.com/evilsocket/opensnitch
Оно, кнешн, примерно как все остальное (не)работает и вообще - "жалкое подобие левой руки"(ТМ) даже по сравению с WF, не говоря уж об Outpost'е (Царствие ему небесное!) - но хотя бы пытается решать вот эту задачу.

Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

32. "Выпуск межсетевого экрана firewalld 2.4.0" +/–

Сообщение от Аноним (-), 07-Ноя-25, 15:05

Это тебе в KDE.
https://invent.kde.org/plasma/plasma-firewall
Раньше выглядело так:
https://i0.wp.com/www.omgubuntu.co.uk/wp-content/uploads/202...

Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

26. "Выпуск межсетевого экрана firewalld 2.4.0" +/–

Сообщение от Аноним (28), 07-Ноя-25, 14:36

оно лучше ufw?

Ответить | Правка | Наверх | Cообщить модератору

27. "Выпуск межсетевого экрана firewalld 2.4.0" +/–

Сообщение от User (??), 07-Ноя-25, 14:44

Для дома или old-school standalone-сервера да. Для всякой энтерпрайзятины\контейнерятины - нет, можно сказать "не подходит". Для сколько-нибудь сложных случаев в общем не годится ни то, ни другое.

Ответить | Правка | Наверх | Cообщить модератору

29. "Выпуск межсетевого экрана firewalld 2.4.0" +/–

Сообщение от Аноним (28), 07-Ноя-25, 14:51

на десктопе локалхост,
стоит ufw и конечно никаких сверх задач не исполняет.
видимо смысла менять на ЭТО никакого (?)

Ответить | Правка | Наверх | Cообщить модератору

31. "Выпуск межсетевого экрана firewalld 2.4.0" +/–

Сообщение от User (??), 07-Ноя-25, 14:57

> на десктопе локалхост,
> стоит ufw и конечно никаких сверх задач не исполняет.
> видимо смысла менять на ЭТО никакого (?)
Ага. Если на десктопе же окажется еще вот и docker то уже дискуссионно, оно там вроде через ufw-docker hook подключалось или еще как-то калично - проще нафиг отключить, на десктоп-десктопе-то...

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Выпуск межсетевого экрана firewalld 2.4.0"	+4 +/–
Сообщение от сисадмин (?), 07-Ноя-25, 09:21
> firewall-cmd --reload Ага, в случае с nftables не работает. Только systemctl restart firewalld.service.
Ответить \| Правка \| Наверх \| Cообщить модератору


	14. "Выпуск межсетевого экрана firewalld 2.4.0"	+2 +/–
	Сообщение от Аноним (14), 07-Ноя-25, 11:09
	Что ты ожидаешь от тех, кто в третьем десятилетии 21 века до сих пор не умеет в строки? > Максимальный размер имён правил увеличен с 17 до 128 символов
	Ответить \| Правка \| Наверх \| Cообщить модератору


	28. "Выпуск межсетевого экрана firewalld 2.4.0"	+/–
	Сообщение от Аноним (28), 07-Ноя-25, 14:49
	да уж.. а ведь это все пользователи винды )) если соотнести с количеством пользователей линя, а тем более тех кто может из последних в строки, то вообще катастрофа ))
	Ответить \| Правка \| Наверх \| Cообщить модератору

2. "Выпуск межсетевого экрана firewalld 2.4.0"	+14 +/–
Сообщение от Shellpeck (?), 07-Ноя-25, 09:24
firewalld - бесполезное нагромождение. Разработчики позиционируют его как реализацию концепции Zonebased Firewall.\ При этом Zonebased firewall предназначен для систем с более, чем 1 интерфейсом. идея заключается в описании зон с включением туда соответствующих интерфейсов и правил взаимодействия между зонами, что упрощает и ускоряет разработку правил firewall. Идея firewalld заключается в том, чтобы оградить неокрепшую психику от "сложных правил nftables". В документации к firewalld вплоть до 9 верссии RHEL разработчики указывали, что firewalld не подходит для маршрутизаторов и сложных инсталляций. С 10 версии скромно указывают, что это подходит не для всех случаев. Zero trust - не, не слышали, у нас default policy accept. По факту же в настройках firewalld не найти механизмов описания правил взаимодействия зон друг с другом, а типичное применение firewalld подразумевает простое открытие или блокирование входящих соединений на локальные порты системы. Если требуется организовать полноценные списки доступа для входящих соединений от хостов/сетей источников на определённые локальные порты, то добро пожаловать в rich rules - т.е. изучайте nftables, но сначала изучите синтаксис firewalld. При этом firewald лишает вас счётчиков, а нагромождение цепочек и бесполезных правил обфусцирует путь прохождения пакета. Т.е. отладка и оптимизация правил по использованию становится практически невозможной. Вы думаете, "изобретатели" firewalld написали нему что-то вроде packet-tracer/capture? Держите карман шире. Фактически же firewalld можно заменить конструкцией, покрывающей большинство применений firewalld: define IF_INT = { eth0 } table ip filter { set tcp_ports { type inet_service flags interval elements = { 22, 80, 443 } } set udp_ports { type inet_service flags interval elements = { 53, 123 } } chain INPUT { type filter hook forward priority filter; policy drop; iif "lo" accept ct state vmap { established : accept, related : accept, invalid : drop } iif $IF_INT ct state new tcp dport @tcp_ports counter accept iif $IF_INT ct state new udp dport @udp_ports counter accept icmp type timestamp-request counter drop ip protocol icmp counter accept } } При этом порты можно добавить командой: nft add element filter tcp_ports '{2}' удалить: nft delete element filter tcp_ports '{2}' Просмотреть: nft list set filter tcp_ports Посмотреть все правила: nft list ruleset Сложно? Сравните это с монструозным firewalld. Ради этого стоило его городить? Выводы: 1. firewalld - нефункционален, 2. firewalld - вреден, 3. Не умеете nftables - "не доверяйте ребёнку мужскую работу". nftables - это мощный, функциональный и точный инструмент, который стоит изучать, а не прятать за кучу нагромождений, которая ничего не может, а только мешает. firewalld не привнёс ничего нового, а "с водой выплеснул и ребёнка".
Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Выпуск межсетевого экрана firewalld 2.4.0"	+1 +/–
	Сообщение от Аноним (3), 07-Ноя-25, 09:43
	Те, кому требуется более сложная настройка межсетевого экрана, могут отказаться от firewalld и использовать только nftables. Однако большинству пользователей будет удобнее настраивать межсетевой экран через графический интерфейс firewall-config. Этот инструмент отлично подходит для простых задач, таких как открытие bittorrent-lsd.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "Выпуск межсетевого экрана firewalld 2.4.0"	+2 +/–
	Сообщение от Аноним (6), 07-Ноя-25, 09:58
	Такое ощущение, что разработчики не знали, куда ещё можно пухтон пристроить.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	23. "Выпуск межсетевого экрана firewalld 2.4.0"	+/–
	Сообщение от Аноним (23), 07-Ноя-25, 14:30
	Перепиши на Swift.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "Выпуск межсетевого экрана firewalld 2.4.0"	+4 +/–
	Сообщение от Аноним (5), 07-Ноя-25, 09:56
	Спасибо. Вот за такие крупицы мудрости опытных людей - я и люблю опеннет.
	Ответить \| Правка \| К родителю #2 \| Наверх \| Cообщить модератору


	8. "Выпуск межсетевого экрана firewalld 2.4.0"	+2 +/–
	Сообщение от leap42 (ok), 07-Ноя-25, 10:03
	К сожалению докер не поддерживает пока nftables. Если по работе нужно - приходится сидеть на firewalld 🤷‍♂️
	Ответить \| Правка \| К родителю #2 \| Наверх \| Cообщить модератору


	10. "Выпуск межсетевого экрана firewalld 2.4.0"	+3 +/–
	Сообщение от Ан333ним (?), 07-Ноя-25, 10:46
	Какой смысл обвинять надстройку для нубов в том, что она не подходит для продвинутых пользователей.
	Ответить \| Правка \| К родителю #2 \| Наверх \| Cообщить модератору


	16. "Выпуск межсетевого экрана firewalld 2.4.0"	+/–
	Сообщение от Соль земли2 (?), 07-Ноя-25, 11:41
	> Идея firewalld заключается в том, чтобы оградить неокрепшую психику от "сложных правил nftables". Это идея ufw. А firewalld только добавляет сложности с зонами.
	Ответить \| Правка \| К родителю #2 \| Наверх \| Cообщить модератору


	18. "Выпуск межсетевого экрана firewalld 2.4.0"	+1 +/–
	Сообщение от User (??), 07-Ноя-25, 11:51
	Оно ээээ... "из коробки": - container ready и нормально сосуществует с миллионом автогенеренных докером-куб-прокси-чертом-в-ступе правил, чего в общем нельзя сказать про произвольную конфигурацию iptables\nftables - (кои)как-то (через CNI-плагин или вот network-manager) отрабатывает ситуацию с дохреналлионом созаваемых "налету" CNI-интерфейсов (Но лучше-б не умел, т.к. сколько-нибудь нормально все одно, не работает при использовании network-policy, так - фланельку прикрыть от безопасника - от атакующего уже не спасёт) - умеет применять правила "налету" без разрыва соединений (Чего нельзя было сказать про iptables per se) - некоторым образом упрощает конфигурёж в самых простых случаях: не нужно ВООБЩЕ ничего знать об дополнительных абстракциях (IP\|NF)tables (Таблицы, цепочки) - даже базового представления о "tcp\ip" - не надо "разреши SSH" и пофиг на tcp, udp, port, handshake\state и т.д. - при этом этих самых "простых" в жизни абсолютнейшее большинство, так-то - обладает чуть более человековменяемым синтаксисом (Вкусовщина, да) в _простых_ случаях. В непростых - объем невменоза удваивается, есс-сна - абстрагирует от конкретного бэкенда, если у тебя !вдруг! зачем-то унутре iptables - ты об этом и не узнаешь - больмень интегрируется с внешним тулингом для желающих централизовано порулить зоопарком Может и еще чего полезного делает, но мне в голову не приходит ).
	Ответить \| Правка \| К родителю #2 \| Наверх \| Cообщить модератору


	19. "Выпуск межсетевого экрана firewalld 2.4.0"	+/–
	Сообщение от Shellpeck (?), 07-Ноя-25, 12:06
	Женособаки подтянулись? [quote]- container ready и нормально сосуществует с миллионом автогенеренных докером-куб-прокси-чертом-в-ступе правил, чего в общем нельзя сказать про произвольную конфигурацию iptables\nftables[/quote] Фактически - отломано и выброшено. Открыть порт "всем ветрам" - это не задача firewall. Зачастую стоит задача открыть сервис для доступа для определенного списка адресов. То, как это сделали декерасты - лучше бы вообще не делали. Отношение - "а после нас хоть потоп". [quote]- умеет применять правила "налету" без разрыва соединений (Чего нельзя было сказать про iptables per se)[/quote] Чего iptables не умеет? Добавить, заменить, удалить правило? Может это не iptables не умеет? А куча пихтонокала, которая юзает iptables чудесным образом умеет? [quote]- обладает чуть более человековменяемым синтаксисом (Вкусовщина, да) в _простых_ случаях. В непростых - объем невменоза удваивается, есс-сна[/quote] Сломать функционал ради извращённых вкусов? Где тут разум и целеполагание? [quote]- больмень интегрируется с внешним тулингом для желающих централизовано порулить зоопарком"[/quote] "То, что мертво, умереть не может" Суть firewalld - "сами не можем и другим не дадим".
	Ответить \| Правка \| Наверх \| Cообщить модератору


	20. "Выпуск межсетевого экрана firewalld 2.4.0"	+1 +/–
	Сообщение от User (??), 07-Ноя-25, 12:25
	> Женособаки подтянулись? Неа. Я уже слишком стар для этой фигни - но если что, бороду-в-свитере поносить успел ) > [quote]- container ready и нормально сосуществует с миллионом автогенеренных докером-куб-прокси-чертом-в-ступе > правил, чего в общем нельзя сказать про произвольную конфигурацию iptables\nftables[/quote] > Фактически - отломано и выброшено. Открыть порт "всем ветрам" - это не > задача firewall. Зачастую стоит задача открыть сервис для доступа для определенного > списка адресов. То, как это сделали декерасты - лучше бы вообще > не делали. Отношение - "а после нас хоть потоп". Зачастую - стоит, зачастую - не стоит, а другого докера у нас для вас - ЕСТЬ, и чо-как, нраицца? Хучь - подман бери, хучь вот кубик заводи, он в этом месте не менее раскудрявый ))) Можно конечно сказать: "Вы! Вы! Вы!!! Всё! Делаете! НИРПАИЛЬНА!!!111" - но не советую, "не поймут-с, азиаты-с..." > [quote]- умеет применять правила "налету" без разрыва соединений (Чего нельзя было сказать > про iptables per se)[/quote] > Чего iptables не умеет? Добавить, заменить, удалить правило? Может это не iptables > не умеет? А куча пихтонокала, которая юзает iptables чудесным образом умеет? Может да - но ты ж почему-то альтернативу вот в свое время на bash'е - не написал, занят поди был? > [quote]- обладает чуть более человековменяемым синтаксисом (Вкусовщина, да) в _простых_ > случаях. В непростых - объем невменоза удваивается, есс-сна[/quote] > Сломать функционал ради извращённых вкусов? Где тут разум и целеполагание? Так кто ж его тебе "сломал"-то, а? Хочешь - пользуйся, хочешь - не пользуйся, можешь вот даже всё rich-rules делать - кто мешает-то? > [quote]- больмень интегрируется с внешним тулингом для желающих централизовано порулить > зоопарком"[/quote] > "То, что мертво, умереть не может" > Суть firewalld - "сами не можем и другим не дадим". firewalld - для человеков, iptables\nftables - для машин. В той портянке, что на типовой ноде наавтогенерилась - ты один черт, не разберешься - она меняется как бы не быстрее, чем ты до конца долистаешь ).
	Ответить \| Правка \| Наверх \| Cообщить модератору


	34. "Выпуск межсетевого экрана firewalld 2.4.0"	+/–
	Сообщение от Аноним (34), 07-Ноя-25, 16:28
	> Чего iptables не умеет? Атомарно заменять правила. Когда у тебя из 3,5 это незаметно. Когда у тебя их 3,5 тысячи — уже начинаешь замечать. Когда их под 10к, понимаешь почему существует nftables. Истерика от питона феноменальная у тебя конечно. Что, даже такой простой язык не осилил? Беда.
	Ответить \| Правка \| К родителю #19 \| Наверх \| Cообщить модератору


	35. "Выпуск межсетевого экрана firewalld 2.4.0"	+/–
	Сообщение от Аноним (35), 07-Ноя-25, 16:57
	>> Чего iptables не умеет? > Атомарно заменять правила. и как это умеет firewalld, дергающий iptables как бэкенд?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	22. "Выпуск межсетевого экрана firewalld 2.4.0"	+/–
	Сообщение от Аноним (22), 07-Ноя-25, 14:02
	> При этом Zonebased firewall предназначен для систем с более, чем 1 интерфейсом. Почему это? Например, ноутбук бывает в разных местах и ему полезны разные профили для разных сетей. У той же Ubuntu с ufw это придется делать через костыли.
	Ответить \| Правка \| К родителю #2 \| Наверх \| Cообщить модератору


	30. "Выпуск межсетевого экрана firewalld 2.4.0"	+/–
	Сообщение от Аноним (28), 07-Ноя-25, 14:57
	насколько я вижу в ufw не сложно создавать профили, причем тут есть и 3 предустановленных, которые можно и редактировать.. но кто ж это из юзеров умеет, даже при наличии документации ))
	Ответить \| Правка \| Наверх \| Cообщить модератору


	33. "Выпуск межсетевого экрана firewalld 2.4.0"	+/–
	Сообщение от fvl (?), 07-Ноя-25, 16:27
	подпишусь конечно под каждым словом. однако в защиту наверное можно сказать что он разрабатывался ещё во времена до nft.
	Ответить \| Правка \| К родителю #2 \| Наверх \| Cообщить модератору

11. "Выпуск межсетевого экрана firewalld 2.4.0"	+/–
Сообщение от Аноним (14), 07-Ноя-25, 10:59
> реализованного в форме обвязки над пакетными фильтрами nftables и iptables И чем оно отличается от 100500 других "фаерволов"?
Ответить \| Правка \| Наверх \| Cообщить модератору


	12. "Выпуск межсетевого экрана firewalld 2.4.0"	+2 +/–
	Сообщение от Аноним (14), 07-Ноя-25, 11:05
	ufw default deny incoming ufw allow ssh как-то куда проще, чем сабж.
	Ответить \| Правка \| Наверх \| Cообщить модератору

21. "Выпуск межсетевого экрана firewalld 2.4.0"	+/–
Сообщение от Ананоним (?), 07-Ноя-25, 13:53
Где взять для Linux элементарный Personal Firewall с GUI? Чтобы это ловило все попытки любых приложений лезть в сеть и покказывало диалог для решений пользователя "пущать или не пущать". Скучаю по виндовым персональным файрволам из 2005 года.
Ответить \| Правка \| Наверх \| Cообщить модератору


	24. "Выпуск межсетевого экрана firewalld 2.4.0"	+1 +/–
	Сообщение от eugeny (?), 07-Ноя-25, 14:32
	вот попробуйте - https://github.com/evilsocket/opensnitch непритязательно, умеет в eBPF фильтры, работает много где
	Ответить \| Правка \| Наверх \| Cообщить модератору


	25. "Выпуск межсетевого экрана firewalld 2.4.0"	+/–
	Сообщение от User (??), 07-Ноя-25, 14:36
	Ну, вообще - в репозитории твоего дистрибутива, но можно и отсюда: https://github.com/evilsocket/opensnitch Оно, кнешн, примерно как все остальное (не)работает и вообще - "жалкое подобие левой руки"(ТМ) даже по сравению с WF, не говоря уж об Outpost'е (Царствие ему небесное!) - но хотя бы пытается решать вот эту задачу.
	Ответить \| Правка \| К родителю #21 \| Наверх \| Cообщить модератору


	32. "Выпуск межсетевого экрана firewalld 2.4.0"	+/–
	Сообщение от Аноним (-), 07-Ноя-25, 15:05
	Это тебе в KDE. https://invent.kde.org/plasma/plasma-firewall Раньше выглядело так: https://i0.wp.com/www.omgubuntu.co.uk/wp-content/uploads/202...
	Ответить \| Правка \| К родителю #21 \| Наверх \| Cообщить модератору

26. "Выпуск межсетевого экрана firewalld 2.4.0"	+/–
Сообщение от Аноним (28), 07-Ноя-25, 14:36
оно лучше ufw?
Ответить \| Правка \| Наверх \| Cообщить модератору


	27. "Выпуск межсетевого экрана firewalld 2.4.0"	+/–
	Сообщение от User (??), 07-Ноя-25, 14:44
	Для дома или old-school standalone-сервера да. Для всякой энтерпрайзятины\контейнерятины - нет, можно сказать "не подходит". Для сколько-нибудь сложных случаев в общем не годится ни то, ни другое.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	29. "Выпуск межсетевого экрана firewalld 2.4.0"	+/–
	Сообщение от Аноним (28), 07-Ноя-25, 14:51
	на десктопе локалхост, стоит ufw и конечно никаких сверх задач не исполняет. видимо смысла менять на ЭТО никакого (?)
	Ответить \| Правка \| Наверх \| Cообщить модератору


	31. "Выпуск межсетевого экрана firewalld 2.4.0"	+/–
	Сообщение от User (??), 07-Ноя-25, 14:57
	> на десктопе локалхост, > стоит ufw и конечно никаких сверх задач не исполняет. > видимо смысла менять на ЭТО никакого (?) Ага. Если на десктопе же окажется еще вот и docker то уже дискуссионно, оно там вроде через ufw-docker hook подключалось или еще как-то калично - проще нафиг отключить, на десктоп-десктопе-то...
	Ответить \| Правка \| Наверх \| Cообщить модератору