Frage firewalld vs iptables - wann zu verwenden, welche [geschlossen]


TL: DR Bei neuen CentOS Serverinstallationen sollte ich Firewalld verwenden oder einfach das deaktivieren und zur Verwendung von / etc / sysconfig / iptables zurückkehren?


firewalld und iptables dienen ähnlichen Zwecken. Beide tun Paketfilterung - aber wenn ich es richtig verstehe, spült Firewalld nicht den gesamten Regelsatz jedes Mal, wenn eine Änderung vorgenommen wird.

Ich weiß viel über iptables, aber sehr wenig über firewalld.

Auf Fedora und RHEL / CentOS - die traditionelle iptables-Konfiguration wurde in / etc / sysconfig / iptables gemacht. Bei Firewall ist die Konfiguration in / etc / firewalld / gespeichert und besteht aus einer Reihe von XML-Dateien. Fedora scheint sich als Ersatz für diese Legacy-Konfiguration in Richtung Firewall zu bewegen. Ich verstehe, dass Firewalld iptables unter der Haube verwendet, aber es hat auch seine eigene Befehlszeilenschnittstelle und Konfigurationsdateiformat wie oben - das ist, was ich in Bezug auf die Verwendung der einen gegenüber dem anderen meine.

Gibt es eine bestimmte Konfiguration / ein bestimmtes Szenario, für das / die sich diese am besten eignen? Im Fall von NetworkMangaer vs Netzwerk scheint es, dass obwohl NetworkManager als Ersatz für die Netzwerk-Skripte gedacht war, aufgrund der fehlenden Unterstützung für Netzwerk-Bridge und ein paar andere Dinge, viele Leute es nur nicht auf Server-Setups bei verwenden alles. Es scheint also ein allgemeines Konzept zu geben: "Verwenden Sie NetworkManager, wenn Sie sich auf einem Linux-Desktop / GUI befinden, und Netzwerk, wenn Sie einen Server betreiben". Das ist genau das, was ich beim Lesen verschiedener Beiträge erfahre - aber es gibt zumindest eine Anleitung, was ein praktikabler Nutzen für diese Dinge ist - zumindest so, wie sie in ihrem aktuellen Zustand stehen.

Aber ich habe dasselbe mit firewalld gemacht und es einfach ausgeschaltet und stattdessen iptables benutzt. (Ich installiere Linux fast immer auf einem Server, nicht für den Desktop). Ist firewalld ein effektiver Ersatz für iptables und sollte ich das nur auf allen neuen Systemen verwenden?


19
2018-02-27 19:06


Ursprung


Firewalld verwendet iptables darunter. - Iain
Klar, und das macht Sinn. Aber offensichtlich gibt es einen großen Unterschied zwischen dem, wie Sie Ihre Konfiguration speichern und welches Tool Sie verwenden - iptables vs Firewall-cmd, / etc / sysconfig / iptables vs /etc/firefalld/.../*.xml Ich werde die Frage überarbeiten ein bisschen, um das klarer zu machen. - bgp
Es besteht keine Notwendigkeit, "den gesamten Regelsatz jedes Mal zu löschen, wenn eine Chance besteht" iptables. Es ist nur ein Front-End-Tool, wenn es die Tabellen spült, weil Sie es gesagt haben. - gparent
Zur Verdeutlichung verweise ich auf "service iptables restart", wodurch die Regeln entfernt und neu hinzugefügt werden. (Obwohl das den Verbindungsstatus immer noch nicht beeinflusst, ist das gut.) Sie können natürlich den Befehl iptables einfach über die Befehlszeile ausführen, um einzelne Regeln zu ändern - aber ich versuche generell, alles in / etc / sysconfig / iptables und Verwenden Sie den Befehl "service", um sich an die Konvention zu halten, die von den Tools der Distro vorgeschlagen wird. - bgp


Antworten:


Wie firewalld basiert auf der XML-Konfiguration, könnte einige denken, dass es einfacher ist, die Firewall in einer programmatischen Weise zu konfigurieren. Dies kann erreicht werden durch iptables genauso, aber auf eine andere Weise, die nicht XML ist. Wenn Sie den Weg bereits kennen iptables funktioniert, warum würden Sie alle Ihre Konfiguration auf migrieren firewalld?

Wenn Sie Ihre größte betrachten iptables Wie oft glauben Sie, dass Sie von dem dynamischen Aspekt von firewalld? In den meisten Fällen ist die Leistung von iptables ist nie das Problem. In den meisten Fällen, in denen die Leistung von iptables ist ein Problem, das durch Verwendung behoben werden kann ipset basierte Quell- / Ziel-IP-Sets.

Es ist eine andere Debatte, ob Sie NetworkManager verwenden sollten oder nicht.


6
2018-02-27 19:38



Die Leistung von iptables ist in diesem Fall irrelevant, da die Langsamkeit unabhängig davon erfolgt, ob die Regeln per eingefügt werden firewalld oder direkt mit dem iptables Werkzeug. - gparent