Выбор файерволла для изучения

1

1

Господа хорошие, здравствуйте. С переходом на центось столкнулся с такой штукой, как firewalld. Так звёзды сложились, что я как раз подошёл к теме файерволлов и теперь стою перед выбором.

Firewalld вроде мощный, простой, но стоит ли учить его? RHEL манит, однако Debian, Бубунта и вообще все - это iptables.

Если есть тут люди, которые давно связаны с серверами и маршрутизаторами, то хотелось бы услышать их мнение. Стоит ли связываться? И какие аргументы говорят в пользу обоих?

Ссылка

←	pacman предлагает один и тот же пакет из разных реп, как сделать автовыбор?

Настройка ufw для доступа к сайту через openvpn

→

Может сразу с nftables начать?

~~Oleg_Iu~~ ★
(18.11.21 02:05:31 MSK)

firewalld это фронтенд к бэкендам iptables/nftables. То есть его нужно сравнивать не с iptables, а с каким-нибудь ufw из Ubuntu.

iptables объявлен deprecated, так что актуально разбираться в nftables.

~~commagray~~ ★★★★★
(18.11.21 02:08:58 MSK)
Последнее исправление: commagray 18.11.21 02:11:20 MSK (всего исправлений: 2)

Ссылка

В таком случае выбор между firewalld и nftables. Спасибо.

Anley
(18.11.21 02:11:10 MSK) автор топика

Ответ на: комментарий от Anley 18.11.21 02:11:10 MSK

Не между, а нужно знать оба. firewalld создаёт nftables-правила, которые в свою очередь управляют ядерным netfilter. Очень желательно понимать, как работает каждый компонент в этой цепочке. И учитывать слой совместимости с iptables.

~~commagray~~ ★★★★★
(18.11.21 02:16:43 MSK)
Последнее исправление: commagray 18.11.21 02:17:43 MSK (всего исправлений: 1)

Ответ на: комментарий от commagray 18.11.21 02:16:43 MSK

Понял, в таком случае вопрос снимается) Спасибо за развёрнутый ответ.

Anley
(18.11.21 02:19:33 MSK) автор топика

Ссылка

Фронтенд многим облегчает жизнь, освобождая от необходимости детально разбираться с тем, «что там внутри». Но в целом, не используют весь полный набор возможностей подсистемы.

Если уж звучит слово «изучать», то надо хорошо понимать, как работает [ip|nf]tables.

~~Oleg_Iu~~ ★
(18.11.21 02:37:59 MSK)

Ссылка

firewalld, как и другие обёртки, стоит изучать только для поддержки чужих серверов где ты его встретишь. Он ничего нового не даёт, только пытается имитировать дружественный (к нубам) интерфейс. Но на деле получается ни то ни сё - правила настоящего файрвола в итоге замусорены пачкой автосгенерированных правил, не особо рассчитанных на ручную поддержку, а правила обёртки на деле ничем не лучше того что было бы без неё вообще.

Если выбираешь ты - лучше пользоваться iptables/nftables. Из этих двух я к первому привык больше и он мне кажется понятнее, но не буду категоричен - возможно это просто привычка.

firkax ★★★★★
(18.11.21 03:50:42 MSK)