Ошибка firewall-cmd --reload и падение DNS

0

1

Здравствуйте!

Прошу прощения, если подобный вопрос уже обсуждался, но я нуб, и нуб в отчаянии, ибо не могу понять причину проблемы. В локальной сети начали как-то очень странно обваливаться сайты - выборочно не прогружается ряд сайтов с сообщением connection refused.При том, что ряд других - прогружается. Мало того, при смене DNS-сервера в настройках DHCP сервера рабочие станции на Windows ловят не провисанный DNS, а отражают в графе «DNS-сервер» адрес локальный шлюза. Операционная система прокси - CentOS 7. Полез в прозрачный прокси, который мониторит данную подсеть И увидел, что встроенный фаерволл ругается. Новые правила принимать не хочет, ибо

firewall-cmd --reload

Error: COMMAND_FAILED: Direct: '/usr/sbin/iptables-restore -w -n' failed: iptables-restore: line 7 failed

Вывод состояния службы выдает вот что. systemctl status firewalld -l

firewalld.service - firewalld - dynamic firewall daemon
   Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled; vendor preset: enabled)
   Active: active (running) since Fri 2019-08-02 13:45:25 +10; 7h ago
     Docs: man:firewalld(1)
 Main PID: 1047 (firewalld)
   CGroup: /system.slice/firewalld.service
           └─1047 /usr/bin/python -Es /usr/sbin/firewalld --nofork --nopid

Aug 02 13:45:33 178-218-111-83-pool.kms.multinex.ru firewalld[1047]: ERROR: '/usr/sbin/iptables-restore -w -n' failed: iptables-restore: line 7 failed
Aug 02 13:45:33 178-218-111-83-pool.kms.multinex.ru firewalld[1047]: ERROR: COMMAND_FAILED: Direct: '/usr/sbin/iptables-restore -w -n' failed: iptables-restore: line 7 failed
Aug 02 15:43:27 178-218-111-83-pool.kms.multinex.ru firewalld[1047]: ERROR: '/usr/sbin/iptables-restore -w -n' failed: iptables-restore: line 7 failed
Aug 02 15:43:27 178-218-111-83-pool.kms.multinex.ru firewalld[1047]: ERROR: COMMAND_FAILED: Direct: '/usr/sbin/iptables-restore -w -n' failed: iptables-restore: line 7 failed
Aug 02 15:43:34 178-218-111-83-pool.kms.multinex.ru firewalld[1047]: ERROR: '/usr/sbin/iptables-restore -w -n' failed: iptables-restore: line 7 failed
Aug 02 15:43:34 178-218-111-83-pool.kms.multinex.ru firewalld[1047]: ERROR: COMMAND_FAILED: Direct: '/usr/sbin/iptables-restore -w -n' failed: iptables-restore: line 7 failed
Aug 02 16:18:13 178-218-111-83-pool.kms.multinex.ru firewalld[1047]: ERROR: '/usr/sbin/iptables-restore -w -n' failed: iptables-restore: line 7 failed
Aug 02 16:18:13 178-218-111-83-pool.kms.multinex.ru firewalld[1047]: ERROR: COMMAND_FAILED: Direct: '/usr/sbin/iptables-restore -w -n' failed: iptables-restore: line 7 failed
Aug 02 19:56:46 178-218-111-83-pool.kms.multinex.ru firewalld[1047]: ERROR: '/usr/sbin/iptables-restore -w -n' failed: iptables-restore: line 7 failed
Aug 02 19:56:46 178-218-111-83-pool.kms.multinex.ru firewalld[1047]: ERROR: COMMAND_FAILED: Direct: '/usr/sbin/iptables-restore -w -n' failed: iptables-restore: line 7 failed

Я может чего-то не догоняю, но сама служба iptables в системе отключена, и ранее был настроен (не мной) firewall-cmd. Но вывод правл дает это iptables -L -n -v --line-numbers

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1     2563  304K ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
2        0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
3     7086  501K INPUT_direct  all  --  *      *       0.0.0.0/0            0.0.0.0/0
4     7086  501K INPUT_ZONES_SOURCE  all  --  *      *       0.0.0.0/0            0.0.0.0/0
5     7086  501K INPUT_ZONES  all  --  *      *       0.0.0.0/0            0.0.0.0/0
6       29  1292 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate INVALID
7     5499  375K REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1     156K  122M ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
2        0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
3     6796  420K FORWARD_direct  all  --  *      *       0.0.0.0/0            0.0.0.0/0
4     6796  420K FORWARD_IN_ZONES_SOURCE  all  --  *      *       0.0.0.0/0            0.0.0.0/0
5     6796  420K FORWARD_IN_ZONES  all  --  *      *       0.0.0.0/0            0.0.0.0/0
6     6795  420K FORWARD_OUT_ZONES_SOURCE  all  --  *      *       0.0.0.0/0            0.0.0.0/0
7     6795  420K FORWARD_OUT_ZONES  all  --  *      *       0.0.0.0/0            0.0.0.0/0
8       14   560 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate INVALID
9        0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT 6637 packets, 850K bytes)
num   pkts bytes target     prot opt in     out     source               destination
1     6637  850K OUTPUT_direct  all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain FORWARD_IN_ZONES (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1     6795  420K FWDI_internal  all  --  enp4s0 *       0.0.0.0/0            0.0.0.0/0           [goto]
2        1    40 FWDI_external  all  --  enp2s0 *       0.0.0.0/0            0.0.0.0/0           [goto]
3        0     0 FWDI_public  all  --  +      *       0.0.0.0/0            0.0.0.0/0           [goto]

Chain FORWARD_IN_ZONES_SOURCE (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 FWDI_drop  all  --  *      *       171.25.193.0/24      0.0.0.0/0

Chain FORWARD_OUT_ZONES (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 FWDO_internal  all  --  *      enp4s0  0.0.0.0/0            0.0.0.0/0           [goto]
2     6795  420K FWDO_external  all  --  *      enp2s0  0.0.0.0/0            0.0.0.0/0           [goto]
3        0     0 FWDO_public  all  --  *      +       0.0.0.0/0            0.0.0.0/0           [goto]

Chain FORWARD_OUT_ZONES_SOURCE (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 FWDO_drop  all  --  *      *       0.0.0.0/0            171.25.193.0/24

Chain FORWARD_direct (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 DROP       all  --  enp4s0:1 enp4s0  0.0.0.0/0            0.0.0.0/0
2        0     0 DROP       all  --  enp4s0 enp4s0:1  0.0.0.0/0            0.0.0.0/0

Chain FWDI_drop (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 FWDI_drop_log  all  --  *      *       0.0.0.0/0            0.0.0.0/0
2        0     0 FWDI_drop_deny  all  --  *      *       0.0.0.0/0            0.0.0.0/0
3        0     0 FWDI_drop_allow  all  --  *      *       0.0.0.0/0            0.0.0.0/0
4        0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain FWDI_drop_allow (1 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain FWDI_drop_deny (1 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain FWDI_drop_log (1 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain FWDI_external (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1        1    40 FWDI_external_log  all  --  *      *       0.0.0.0/0            0.0.0.0/0
2        1    40 FWDI_external_deny  all  --  *      *       0.0.0.0/0            0.0.0.0/0
3        1    40 FWDI_external_allow  all  --  *      *       0.0.0.0/0            0.0.0.0/0
4        0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0

Chain FWDI_external_allow (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate NEW mark match 0x64
2        0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate NEW mark match 0x65
3        0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate NEW mark match 0x66
4        1    40 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate NEW mark match 0x67
5        0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate NEW mark match 0x68

Chain FWDI_external_deny (1 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain FWDI_external_log (1 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain FWDI_internal (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1     6795  420K FWDI_internal_log  all  --  *      *       0.0.0.0/0            0.0.0.0/0
2     6795  420K FWDI_internal_deny  all  --  *      *       0.0.0.0/0            0.0.0.0/0
3     6795  420K FWDI_internal_allow  all  --  *      *       0.0.0.0/0            0.0.0.0/0
4        0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0

Chain FWDI_internal_allow (1 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain FWDI_internal_deny (1 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain FWDI_internal_log (1 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain FWDI_public (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 FWDI_public_log  all  --  *      *       0.0.0.0/0            0.0.0.0/0
2        0     0 FWDI_public_deny  all  --  *      *       0.0.0.0/0            0.0.0.0/0
3        0     0 FWDI_public_allow  all  --  *      *       0.0.0.0/0            0.0.0.0/0
4        0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0

Chain FWDI_public_allow (1 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain FWDI_public_deny (1 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain FWDI_public_log (1 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain FWDO_drop (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 FWDO_drop_log  all  --  *      *       0.0.0.0/0            0.0.0.0/0
2        0     0 FWDO_drop_deny  all  --  *      *       0.0.0.0/0            0.0.0.0/0
3        0     0 FWDO_drop_allow  all  --  *      *       0.0.0.0/0            0.0.0.0/0
4        0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain FWDO_drop_allow (1 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain FWDO_drop_deny (1 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain FWDO_drop_log (1 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain FWDO_external (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1     6795  420K FWDO_external_log  all  --  *      *       0.0.0.0/0            0.0.0.0/0
2     6795  420K FWDO_external_deny  all  --  *      *       0.0.0.0/0            0.0.0.0/0
3     6795  420K FWDO_external_allow  all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain FWDO_external_allow (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1     6781  419K ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate NEW

Chain FWDO_external_deny (1 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain FWDO_external_log (1 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain FWDO_internal (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 FWDO_internal_log  all  --  *      *       0.0.0.0/0            0.0.0.0/0
2        0     0 FWDO_internal_deny  all  --  *      *       0.0.0.0/0            0.0.0.0/0
3        0     0 FWDO_internal_allow  all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain FWDO_internal_allow (1 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain FWDO_internal_deny (1 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain FWDO_internal_log (1 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain FWDO_public (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 FWDO_public_log  all  --  *      *       0.0.0.0/0            0.0.0.0/0
2        0     0 FWDO_public_deny  all  --  *      *       0.0.0.0/0            0.0.0.0/0
3        0     0 FWDO_public_allow  all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain FWDO_public_allow (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate NEW
2        0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate NEW

Chain FWDO_public_deny (1 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain FWDO_public_log (1 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain INPUT_ZONES (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1     5587  384K IN_internal  all  --  enp4s0 *       0.0.0.0/0            0.0.0.0/0           [goto]
2     1499  118K IN_external  all  --  enp2s0 *       0.0.0.0/0            0.0.0.0/0           [goto]
3        0     0 IN_public  all  --  +      *       0.0.0.0/0            0.0.0.0/0           [goto]

Chain INPUT_ZONES_SOURCE (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 IN_drop    all  --  *      *       171.25.193.0/24      0.0.0.0/0

Chain INPUT_direct (1 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain IN_drop (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 IN_drop_log  all  --  *      *       0.0.0.0/0            0.0.0.0/0
2        0     0 IN_drop_deny  all  --  *      *       0.0.0.0/0            0.0.0.0/0
3        0     0 IN_drop_allow  all  --  *      *       0.0.0.0/0            0.0.0.0/0
4        0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain IN_drop_allow (1 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain IN_drop_deny (1 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain IN_drop_log (1 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain IN_external (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1     1499  118K IN_external_log  all  --  *      *       0.0.0.0/0            0.0.0.0/0
2     1499  118K IN_external_deny  all  --  *      *       0.0.0.0/0            0.0.0.0/0
3     1499  118K IN_external_allow  all  --  *      *       0.0.0.0/0            0.0.0.0/0
4      130  5180 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0

Chain IN_external_allow (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1      175 10460 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:22 ctstate NEW
2        0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:10001 ctstate NEW
3        1    60 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:10000 ctstate NEW

Chain IN_external_deny (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 REJECT     all  --  *      *       51.15.96.247         0.0.0.0/0            reject-with icmp-port-unreachable
2        0     0 REJECT     all  --  *      *       171.25.193.0/24      0.0.0.0/0            reject-with icmp-port-unreachable
3        0     0 REJECT     all  --  *      *       51.15.47.17          0.0.0.0/0            reject-with icmp-port-unreachable
4        0     0 REJECT     all  --  *      *       80.66.135.13         0.0.0.0/0            reject-with icmp-port-unreachable

Chain IN_external_log (1 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain IN_internal (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1     5587  384K IN_internal_log  all  --  *      *       0.0.0.0/0            0.0.0.0/0
2     5587  384K IN_internal_deny  all  --  *      *       0.0.0.0/0            0.0.0.0/0
3     5587  384K IN_internal_allow  all  --  *      *       0.0.0.0/0            0.0.0.0/0
4        0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0

Chain IN_internal_allow (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate NEW mark match 0x69
2        0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:631 ctstate NEW
3        0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            224.0.0.251          udp dpt:5353 ctstate NEW
4     1179 92826 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:137 ctstate NEW
5       73 16589 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:138 ctstate NEW
6        0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:22 ctstate NEW
7        0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:10001 ctstate NEW
8        0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:3128 ctstate NEW
9        0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:10000 ctstate NEW

Chain IN_internal_deny (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 REJECT     all  --  *      *       171.25.193.0/24      0.0.0.0/0            reject-with icmp-port-unreachable

Chain IN_internal_log (1 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain IN_public (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 IN_public_log  all  --  *      *       0.0.0.0/0            0.0.0.0/0
2        0     0 IN_public_deny  all  --  *      *       0.0.0.0/0            0.0.0.0/0
3        0     0 IN_public_allow  all  --  *      *       0.0.0.0/0            0.0.0.0/0
4        0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0

Chain IN_public_allow (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:22 ctstate NEW
2        0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:10000 ctstate NEW

Chain IN_public_deny (1 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain IN_public_log (1 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT_direct (1 references)
num   pkts bytes target     prot opt in     out     source               destination

В каком направлении мне вообще стоит копать, и что хотя бы приблизительно можно сделать? Заранее благодарен

Ссылка

←	Запрет для пользователя открывать порты

Разрешить проходящий трафик одним правилом?

→

Нужно смотреть что написано в файле с сохранёнными правилами пакетного фильтра, которые загружает iptables.

Если вы пишете, что у вас проблемы с разрешением имён, то если в правилах iptables заместо ip адреса указано доменное имя и оно не разрешается в адрес, то будут проблемы.

Просмотрите правила и проверьте, что все DNS имена разрешаются в адрес на вашем CentOS.

Вторая возможная причина - это ошибка в синтаксисе правил iptables.

Мало того, при смене DNS-сервера в настройках DHCP сервера рабочие станции на Windows ловят не провисанный DNS, а отражают в графе «DNS-сервер» адрес локальный шлюза.

Показывайте настройки, конфигурационный файл DHCP и логи.

infomeh ★★
(02.08.19 15:05:26 MSK)

Ссылка

Я может чего-то не догоняю, но сама служба iptables в системе отключена, и ранее был настроен (не мной) firewall-cmd.

firewalld это не более чем надстройка над iptables.

anc ★★★★★
(02.08.19 16:57:08 MSK)

Direct: '/usr/sbin/iptables-restore -w -n' failed: iptables-restore: line 7 failed

Причина - в содержании 7-й строки файла /usr/sbin/iptables-restore.

Приводите ее содержимое, а лучше содержимое всего файла iptables-restore.

Serge10 ★★★★★
(03.08.19 18:32:30 MSK)

Ответ на: комментарий от Serge10 03.08.19 18:32:30 MSK

Из каробки это симлинк на ELF xtables-multi. Сложновато в нем найти 7-ю строку.

anc ★★★★★
(03.08.19 19:22:51 MSK)

Ответ на: комментарий от anc 03.08.19 19:22:51 MSK

Из каробки это симлинк на ELF xtables-multi.

Интересно, а что же за скрипт он вызывает? Ошибка-то явно на стадии исполнения скрипта выскакивает...

Serge10 ★★★★★
(03.08.19 19:45:22 MSK)

Ответ на: комментарий от Serge10 03.08.19 19:45:22 MSK

iptables-restore получает на вход с stdin, а что там генерит firewalld мы не знаем.

anc ★★★★★
(03.08.19 20:00:04 MSK)

Ссылка

Ответ на: комментарий от anc 03.08.19 19:22:51 MSK

У него эту «каропку» (до него) кто-то когда-то как-то «тыкал»... пусть посмотрит file /usr/sbin/iptables-restore (или ls -l /usr/sbin/iptables-restore)

Да, я знаю вероятность минимальная, но пусть всё же проверит.

anonymous
(03.08.19 22:13:03 MSK)

Ответ на: комментарий от anonymous 03.08.19 22:13:03 MSK

В таком изложении все может быть. Я даже не стал предлагать такой вариант, хоть и думал о нем. Но раз вы предложили, действительно ТС не лишнем будет и это посмотреть. Если окажется, что «не родное» то ~~вешаться~~ перестановка с нуля и заново настраивать все.

anc ★★★★★
(03.08.19 22:26:56 MSK)

Ссылка

Ответ на: комментарий от anc 02.08.19 16:57:08 MSK

С разморозкой, товарищ — он сейчас уже напрямую с nftables работает.

Хотя в CentOS 7 может и по старинке.

Vsevolod-linuxoid ★★★★★
(03.08.19 22:30:17 MSK)
Последнее исправление: Vsevolod-linuxoid 03.08.19 22:32:55 MSK (всего исправлений: 1)

Ответ на: комментарий от Vsevolod-linuxoid 03.08.19 22:30:17 MSK

С разморозкой, товарищ — он сейчас уже напрямую с nftables работает.

Сегодня перед тем как писать, проверил на тестовой копейке7, iptables.

Хотя в CentOS 7 может и по старинке.

А где «по новинке» если не секрет?

anc ★★★★★
(03.08.19 22:40:28 MSK)

Ответ на: комментарий от anc 03.08.19 22:40:28 MSK

Fedora, RHEL 8.

Vsevolod-linuxoid ★★★★★
(03.08.19 22:48:34 MSK)

Ответ на: комментарий от Serge10 03.08.19 19:45:22 MSK

возможно

/usr/bin/python -Es /usr/sbin/firewalld --nofork --nopid

сам firewalld и есть тот скрипт

anonymous
(03.08.19 23:16:55 MSK)

Ссылка

Ответ на: комментарий от Vsevolod-linuxoid 03.08.19 22:48:34 MSK

Что же. Хорошо что научились. Когда-то давно в теме про firewalld я писал, что единственный плюс который у него может оказаться только универсальный интерфейс как для iptables так и для nftables/что-то другое, и если это будет так, то тогда можно сказать что оно нужно. Но тогда оно ещё в nftables не умело.

anc ★★★★★
(03.08.19 23:20:51 MSK)

Ответ на: комментарий от anc 03.08.19 23:20:51 MSK

единственный плюс который у него может оказаться только универсальный интерфейс как для iptables так и для nftables/что-то другое, и если это будет так, то тогда можно сказать что оно нужно.

IMHO, весьма сомнительное утверждение, учитывая, что у nftables заявлена собственная совместимость с интерфейсом iptables.

Возможно, конечно, что я что-то не понимаю, но мне исходно непонятна идея создания еще одной надстройки для управления netfilter. К тому же данная надстройка оказалась дистрибутив-специфичной, что делает весьма сомнительной трату времени на ее изучение...

Serge10 ★★★★★
(06.08.19 13:05:50 MSK)

Ответ на: комментарий от Serge10 06.08.19 13:05:50 MSK

Я рассматривал общий концепт сферически. Идея-то не плохая. Если рассматривать историю ведь приходилось изучать ipfw, ipchains, iptables теперь nftables.

у nftables заявлена собственная совместимость с интерфейсом iptables

Для ipset нет. Так что говорить о полной нельзя.

К тому же данная надстройка оказалась дистрибутив-специфичной, что делает весьма сомнительной трату времени на ее изучение...

Ну systemd тоже изначально была дистро-специфичной, однако быстро протолкнули.

anc ★★★★★
(06.08.19 19:50:16 MSK)

Ответ на: комментарий от anc 06.08.19 19:50:16 MSK

Ну systemd тоже изначально была дистро-специфичной, однако быстро протолкнули.

Ключевое слово здесь - быстро. И тому были причины - systemd при всей своей неоднозначности давал существенные преимущества - уменьшение времени загрузки, повышение гибкости настройки, вложенные зависимости сервисов и т. п. И даже несмотря на это, окончательной победу systemd назвать нельзя.

С firewalld ситуация другая - я могу ошибаться, но вроде как firewalld намного старше systemd, при этом нет никаких признаков экспансии данной надстройки за пределы экосистемы RedHat. Да и по поводу гибкости у меня большие сомнения - уверены, что любую задачу по настройке netfilter можно решить на уровне firewalld, не прибегая прямому редактированию правил iptables? Я просто ушел с продукции RedHat во времена RedHat 9, когда еще никакого firewalld не было, поэтому практически не знаком с ним...

Serge10 ★★★★★
(07.08.19 11:46:04 MSK)

Ответ на: комментарий от Serge10 07.08.19 11:46:04 MSK

но вроде как firewalld намного старше systemd

Вики говорит что моложе, 2011 и 2010 соответственно.

Да и по поводу гибкости у меня большие сомнения - уверены, что любую задачу по настройке netfilter можно решить на уровне firewalld, не прибегая прямому редактированию правил iptables?

Не уверен.

поэтому практически не знаком с ним

Я так же не знаком с ним и не собираюсь изучать. Повторю «Я рассматривал общий концепт сферически». Смотрите у меня туча правил iptables включая использование ipset. Рано или поздно мне придется погрузиться в nftables и переписать все это. А вот предположим firewalld был бы кошерной няшкой, когда-то я написал правила для него, смена iptables на nftables потом ещё на что-то прошла бы для меня незаметно.

anc ★★★★★
(07.08.19 16:21:10 MSK)
Последнее исправление: anc 07.08.19 16:23:43 MSK (всего исправлений: 1)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Запрет для пользователя открывать порты

Admin

Разрешить проходящий трафик одним правилом?

→

возможно

Похожие темы