The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

Отключение Firewalld и возвращение к iptables в RHEL/CentOS 7
Использование применяемой по умолчанию в RHEL/CentOS 7 надстройки Firewalld не
всегда очевидно, поэтому бывает удобнее вернуться к классическим скриптам
работы с пакетным фильтром.

Установим классические сервисы для работы с iptables:

   yum install -y iptables-services

Настраиваем правила фильтрации в файлах /etc/sysconfig/iptables и
/etc/sysconfig/iptables-config, например, можно сохранить текущие  правила firewalld:

   iptables-save > /etc/sysconfig/iptables

Завершаем работу firewalld и запускаем сервисы iptables:

   systemctl stop firewalld && systemctl start iptables

Проверяем, что используются новые правила:

   iptables -S
   iptables -L

Для восстановления резервной копии типовых правил с другой машины  можно
воспользоваться командой iptables-restore:

   cat iptables.backup| iptables-restore -t
   service iptables save (или /usr/libexec/iptables/iptables.init save)

для возвращения настроек из /etc/sysconfig/iptables:

   systemctl reload iptables

Если всё нормально убираем активацию Firewalld при загрузке и запрещаем ручной запуск:

   systemctl disable firewalld
   systemctl mask firewalld

Активируем включение сервисов iptables при загрузке:

   systemctl enable iptables
 
25.11.2015 , Автор: Базиль
Ключи: iptables, firewalld, centos, rhel / Лицензия: CC-BY
Раздел:    Корень / Администратору / Сетевая подсистема, маршрутизация / Пакетные фильтры и фаерволы / Пакетные фильтры в Linux: iptables, ipchains

Обсуждение [ Линейный режим | Показать все | RSS ]
 
  • 1.1, Аноним (-), 09:58, 26/11/2015 [ответить] [показать ветку] [···]    [к модератору]
  • –1 +/
    Я правильно понимаю, что firewalld лучше подходит для десктопа, iptables - для сервера?
     
     
  • 2.2, _KUL (ok), 12:34, 26/11/2015 [^] [ответить]    [к модератору]
  • +/
    Есть хорошие GUI'и для айпи-таблиц, которые очень удобны для десктопов.
     
     
  • 3.3, Return76 (?), 13:21, 26/11/2015 [^] [ответить]    [к модератору]
  • +/
    > Есть хорошие GUI'и для айпи-таблиц, которые очень удобны для десктопов.

    А можно примеры этих самых GUI?

     
     
  • 4.13, Хренморжовый (?), 20:14, 26/11/2015 [^] [ответить]    [к модератору]
  • +/
    gufw, не совсем для iptables, но самое удобное что есть для десктопа)
     
     
  • 5.27, Аноним (-), 20:25, 14/12/2015 [^] [ответить]    [к модератору]
  • +/
    Бесполезная софтина. Дает сделать полторы элементарных вещи, да и то непрозрачно для юзера.
    Декстопный фаервол должен интерактивно блокировать отдельные приложения и т д. Все еще нет, да.
     
  • 2.4, Аноним (-), 13:48, 26/11/2015 [^] [ответить]    [к модератору]  
  • +/
    firewalld подходит для влажных фантазий его изобретателей, для реальной жизни лучше iptables
     
     
  • 3.5, Аноним (-), 15:57, 26/11/2015 [^] [ответить]     [к модератору]  
  • +/
    У них разный принцип конфигурирования iptables привычней, firewalld проще --pe... весь текст скрыт [показать]
     
     
  • 4.9, manofring (?), 16:22, 26/11/2015 [^] [ответить]    [к модератору]  
  • +/
    > У них разный принцип конфигурирования. iptables привычней, firewalld проще. --permanent
    > в f-d мне очень нравится. Зоны f-d - пока не понял,
    > зачем они мне; для перемещаемого между разными сетями компьютера(ноута, планшета), наверно.
    > Кроме синтаксиса конфигурирования и зон, есть еще какие-нибудь отличительные черты?

    Ну если вы постоянно перемещаетесь вам проще иметь reject зону на вашем интерфейсе, интересный подход, особо если учесть что скорее всего ноут цепляется по вафле, а если RJ45, то вашему порту придет капец и довольно быстро. А че есть планшеты на федоре/ЦентОС/Рхел/ОралкЛинукс/СайтификЛинукс - просвятите?
    Вы тока тока положили каменный топор(перешли на firewalld) и опять за старое(iptables привычней)?

     
     
  • 5.28, Аноним (-), 04:11, 15/12/2015 [^] [ответить]     [к модератору]  
  • +/
    firewalld - лишь довесок к топору iptables из лиан и шкурки гадюки доступность... весь текст скрыт [показать]
     
  • 2.25, pofigist (?), 16:12, 06/12/2015 [^] [ответить]    [к модератору]  
  • –2 +/
    О да, разумеется фаервол с зонным подходом плохо подходит для сервера, но хорошо - для десктопа. А то что его как iptables не надо каждый раз перезапускать при добавлении/изменении правила - делает его плохим выбором для сервера...
    Кратко - firewalld первый в линаксах фаервал, который хоть отдаленно похож на такие современные решения как zbfw...
    Гуй говорите не нужен? Я не хочу вас господа разочаровывать, но при планировании и развертование фаервола, прикрывающего не тлько гордый локалхост, а целую сеть - он необходим. Даже такие закоренелые поклонники командной строки как кошководы, когда речь заходит о фаерволе - сдаются и испольуют гуй...
     
     
  • 3.29, Аноним (-), 04:23, 15/12/2015 [^] [ответить]     [к модератору]  
  • +/
    так они виндовые мышевозилы а из гуя не получится сделать сложные конфигурацию ... весь текст скрыт [показать]
     
     
  • 4.34, pofigist (?), 07:51, 15/12/2015 [^] [ответить]    [к модератору]  
  • +/
    Возможности iptables? Не смешите мои тапочки - нет у него никаких достойных возможностей, да и модель дурацкая, типовая для примитивного персонального фаервола, но с традиционными для линакса ненужными усложнениями. Зачем мне знать все стадии обработки пакета ядром для написания правила? Глупость и непонятно зачем нужно - правильно спроектированный фаервол этого не требует, есть интерфейс, на нем есть входящий и исходящий трафик - от этого и танцуем. firewalld пытается хоть как-то исправить сей недостаток - получается плохо, но хорошо что хоть кто-то понимает что это необходимо сделать и пытается.
    Про невменяемость синтаксиса iptables давно жодят легенды. Сравни его с синтаксисом полноценных фаерволов типа asa или zbfw и ужаснись. firewalld опять же пытается это исправить...
    А на счет мышковозил - посмешил. Почти все на кошках удобней делать из консоли. Все кроме фаерволов. Просто пойми ты, гордый админ локалхоста, полноценный фаервол прикрывающий полноценную сеть - это действительно сложно. И без графического представления, группировки и т.д. - очень тяжко. Я понимаю что в своем линаксе ты просто не видел полноценных конфигураций - их в нем просто невозможно сделать, но ты просто поверь. Или возьми GNS и поэксперементируй...
     
     
  • 5.38, badmilkman (ok), 10:59, 12/01/2016 [^] [ответить]    [к модератору]  
  • +/
    > Зачем мне знать все стадии обработки пакета ядром для написания правила?

    Например, чтобы компетентные "советы" локалхостерам давать

     
  • 3.36, ak (??), 09:03, 31/12/2015 [^] [ответить]    [к модератору]  
  • +/
    > Даже такие закоренелые поклонники командной строки как кошководы, когда речь заходит
    > о фаерволе - сдаются и испольуют гуй...

    Надо же, не знал. Запишу себе, а то как-то не хочется из моды выходить. ;)

     
  • 1.7, manofring (?), 16:16, 26/11/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Для firewalld хейторов пишу, firewalld это не часть systemd так что как говорят овчаркам фууу, типа не трогать. Зоны это преднастроеные профили, в каждом профиле указано какие сервисы в нем доступны, т.е. если у вас сервер в dmz, указываете соответсввующую зону и вот вам счастие...ну если вы полный нуб. Firewalld проще и понятнее iptables раз в 100, дауны которые не осиливают его не осилят iptables, доказано. Не нада на меня наезжаеть, у меня Убунта, но firewalld мне нравится. Кстати в нем есть готовые правила для порт-форвардинга, Маскарадинга причем это делается 2-3 командами и понятнее чем в iptables. И да, кстати системд это тоже вещь.
     
     
  • 2.15, Добрый Дохтур (?), 14:31, 27/11/2015 [^] [ответить]    [к модератору]  
  • +/
    Пока firewalld - это кусок дурнопахнущей субстанции шоколадного цвета.
    При этом он не умеет ipset со всеми вытекающими(и тоже дурно пахнущими) последствиями.
     
     
  • 3.21, Красные Глаза (ok), 00:33, 01/12/2015 [^] [ответить]    [к модератору]  
  • +1 +/
    Умеет он все, через direct rules. Читай документацию, "линуксоид".
     
     
  • 4.30, Аноним (-), 04:24, 15/12/2015 [^] [ответить]    [к модератору]  
  • +/
    > Умеет он все, через direct rules.

    напрямую покомандовать айпитаблезом можно и без него. кусок питонятины который лишь генерирует правила iptables'у - штука странная и бесполезная.

     
  • 2.22, Аноним (-), 10:02, 01/12/2015 [^] [ответить]    [к модератору]  
  • +/
    Понятно, ты нам, братишкам, просто покушать принёс
     
  • 1.10, Аноним (-), 17:50, 26/11/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    iptables вместо firewalld может понадобиться, если захочется поставить fial2ban, он ток с iptables умеет работать
     
     
  • 2.11, manofring (?), 18:41, 26/11/2015 [^] [ответить]    [к модератору]  
  • +/
    > iptables вместо firewalld может понадобиться, если захочется поставить fial2ban, он ток
    > с iptables умеет работать

    с firewalld можно свой fial2bun написать, примитивный конечно, с этим я согласен. Ручками много правил придумывать, опять таки файл2бан для нубов которые не паряца, виндоусюзеры его любят ставить на свои впс с мегасупер сайтами на джумле и то не все.

     
     
  • 3.18, pavlinux (ok), 03:51, 30/11/2015 [^] [ответить]    [к модератору]  
  • +2 +/
    > для нубов которые не паряца, виндоусюзеры

    прорвало что ли? Ну тогда Розенталя для начала почитай. А то сам дебилом выглядишь  

     
     
  • 4.35, manofring (?), 13:55, 17/12/2015 [^] [ответить]    [к модератору]  
  • +/
    Троль пришел
     
  • 3.31, Аноним (-), 05:01, 15/12/2015 [^] [ответить]     [к модератору]  
  • +/
    не хватало кусок питона держать для генерации правил айпитаблеса правильно, нен... весь текст скрыт [показать]
     
     
  • 4.37, ak (??), 09:06, 31/12/2015 [^] [ответить]    [к модератору]  
  • +/
    > и не спасет вас fail2ban от распределенного брута.

    Чот у меня прям день открытий на OpenNet.

    Правда, что ли, не спасёт? Серьёзно? А что, сломается? Или в F2B логика проверки распределённости брута встроена, и если она говорит, что брут распределённый, то пишем в логушку "А-А-А-А-А-А!!!" и зовём abort() ?-)

     
  • 2.14, фцв (?), 21:27, 26/11/2015 [^] [ответить]    [к модератору]  
  • +/
    firewalld в fail2ban поддерживается
     
  • 2.20, Продавец_кирпичиков_из_говна (?), 17:37, 30/11/2015 [^] [ответить]    [к модератору]  
  • +/
    > iptables вместо firewalld может понадобиться, если захочется поставить fial2ban, он ток
    > с iptables умеет работать

    Да ты шо, а поцаны то и не знають.
    https://fedoraproject.org/wiki/Fail2ban_with_FirewallD

     
     
  • 3.32, Аноним (-), 05:03, 15/12/2015 [^] [ответить]    [к модератору]  
  • +/
    ваш ник очень уместен в вашем сообщении.
     
  • 1.12, manofring (?), 18:46, 26/11/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    А не проще скопировать все ваши новые правила в скрипт который rich rules в firewalld добавит? И правила старые и фаер текущий?
     
  • 1.16, nftables (?), 15:54, 29/11/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    а кто юзал nftables?
     
  • 1.19, Аноним (-), 14:45, 30/11/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Ура! Ждём статью про Systemd и журнал. Уверен что понадобится серьёзная пересборка всего, чтобы появились /etc/init.d/*
     
     
  • 2.33, Аноним (-), 05:12, 15/12/2015 [^] [ответить]    [к модератору]  
  • +/
    > всего, чтобы появились /etc/init.d/*

    юниты systemd хранятся в другом каталоге.

     
  • 1.23, Аноним (-), 00:10, 03/12/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    В чем прикол сравнивать ipt и надстройку для управления ipt?
     

    Ваш комментарий
    Имя:         
    E-Mail:      
    Заголовок:
    Текст:



      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor