LINUX.ORG.RU
ФорумAdmin

Странные правила iptables в федоре по умолчанию

 , , ,


0

4

Для чего в Fedora 22 по умолчанию такие правила?

# iptables -nL 

...
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp dpts:1025:65535 ctstate NEW
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpts:1025:65535 ctstate NEW
...
Deleted

Последнее исправление: Deleted (всего исправлений: 1)
ipsec+openswan centos 7 хосты сетей не пингуют друг друга
Проблемы с монтированием usb на Raspberry

В федоре теперь firewalld заведует фаерволлом. У него есть зоны, в том числе и зона trusted, которая принимает всё. Возможно это её правила.

Ivan_qrt ★★★★★
()
Ответ на: комментарий от Ivan_qrt

Mожет быть. Но это дефолт.

Чот там дофига сущностей: 

block
dmz
drop
external
FedoraServer
FedoraWorkstation
home
internal
public (default, active)
trusted
work

По дефолту была FedoraWorkstation, не пойму в чем прикол. поставил public

Deleted
()
Ответ на: комментарий от kostik87

Потому iptables и показывает правила от firewalld.

Ivan_qrt ★★★★★
() 
# service firewalld stop
Deleted
()
Ответ на: комментарий от Deleted

Если ничего не путаю, то дефолтные сущности там одинаковые и для Workstation, и для server. Разница только в том, что применяется по-умолчанию.

CaveRat ★★
()

Это все технические моменты. Firewalld неплох, хотя бы тем, что там есть пресеты, и я могу включить разрешение для mdns не залезая в вики за номером порта и протоколом.

Вопрос был зачем они открыли все порты выше 1025? И я ж правильно понимаю смысл этой настройки? udp dpts:1025:65535 ctstate NEW

Deleted
()
Последнее исправление: Deleted (всего исправлений: 1)
Ответ на: комментарий от i_gnatenko_brain

По-моему, это нецелесообразно, такие правила. Плохой, плохой дефолт. Это что касается открытия этих портов. А еще глаз дергается, когда к десятку зон (избыточных, на мой взгляд) добавлены еще свои Fedora* да еще и с большой буквы. Опять самому все лепить... Основная зона, Разрешить все, Запретить все - было бы достаточно для дефолта.

Deleted
()
Ответ на: комментарий от Deleted

на твой взгляд — избыточны. на мой — нет.

по поводу нецелесообразности — http://thread.gmane.org/gmane.linux.redhat.fedora.devel/201978

там больше 50 сообщений в рассылке на эту тему. Если вкратце, не нравится - сам меняй на нужную зону.

i_gnatenko_brain ★★★★
()
Ответ на: комментарий от i_gnatenko_brain

Блин, ну вы даете. Я пока все не прочитал. Но ведь «you forget about DLNA sharing, and some more GNOME services.» это не мотив для открытия 1025:65535 по дефолту. Потому что есть firewallD - он и признан решить проблемы открытия портов по запросу, интерактивно для любых пользовательских сервисов и приложений. Зачем городить опасный дефолт-то? Возвращаетесь к iptables, но с другим именем, как было в дистрах, в которых были дефолтом разрешающие все правила?

Дефолтные настройки системы защиты должны быть witelist-ом узкого множества необходимых приложений. Как скоро вы начнете рекомендовать отключить selinux и дефолты разрешающие все ставить? :)

Deleted
()
Ответ на: комментарий от Deleted

и много ли «пользовательских сервисов и приложений» поддерживают firewalld? вот по этому пока и открыли все порты. когда будет xdg-app, kdbus, тогда и можно будет разговор вести

i_gnatenko_brain ★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
ipsec+openswan centos 7 хосты сетей не пингуют друг друга
Admin
Проблемы с монтированием usb на Raspberry