linux зачем нашлепка firewalld ?

Для любителей просто поболтать

linux зачем нашлепка firewalld ?

Сообщение skoltogyan » 13 июн 2022, 13:00

firewalld - этот как-бы пользовательский интерфейс для написания правил поверх iptables/nftables.
У него свой синтаксис и свои понятия - не такие как в iptables и не такие как в nftables.
Смотрю что уже несколько лет его активно продвигают, как "по умолчанию фаервол" и дают примеры, как им пользоваться..
При этом абсолютно теряетя панимание, как делать правила в iptables и nftables(которые под капотом) и, как следствие, отдаляется панимание и вообщзе знание о iproute2......

С одной стороны: упрощает для всех сторонних приложений процес добавления нужных им правилв файрвол машины.
С другой стороны:
1) скрывает логику работы реального фаервола, того-же nftables
2) это еще одна прослойка, которая добавляет свои "програмные ошибки и ограничения" при использовании существующего на машине iptables или nftables. ...

Мне это все более напоминает windows way, причем в не лучших проявлениях.

Чисто высказался. пардон.
skoltogyan
 
Сообщения: 2043
Зарегистрирован: 12 июл 2002, 19:39
Откуда: Украина, Донецк

Re: linux зачем нашлепка firewalld ?

Сообщение Павел Гарбар » 13 июн 2022, 21:25

Сергей, привет!
firewalld не использует iptables. Поэтому iptables, ip6tables и прочие рекомендуется маскировать в systemctl.
Правила писать, на мой взгляд, удобнее. Особенно в графической консоли создавать reach rules :-)
В командной строке есть хороший параметр, которого нет в графике - timeout. Классная вещь при отладке правил, особенно в удаленном режиме :-)
Еще одна вещь, которую многие упускают - это возможность сопоставления профилей (profile/connection) NetworkManager'a с зонами firewalld. Это не очень актуально для статичных серверов, но крайне удобно для перемещающихся ноутбуков, когда они оказываются в разных средах: на работе, дома, у заказчика, в аэропорту, в другом публичном месте.
Павел Гарбар
 
Сообщения: 709
Зарегистрирован: 05 июн 2002, 09:36
Откуда: Санкт-Петербург

Re: linux зачем нашлепка firewalld ?

Сообщение skoltogyan » 14 июн 2022, 06:20

firewalld - это надстройка для пользователя для "удобства" управления тем фаерволом, шо есть в OS.
Например - nft.

в настройках firewalld указывается - для кого ему городит правила. например для nftables или iptables:
https://firewalld.org/documentation/man ... .conf.html
"...FirewallBackend
Selects the firewall backend implementation. Possible values are; nftables (default), or iptables. This applies to all firewalld primitives. The only exception is direct and passthrough rules which always use the traditional iptables, ip6tables, and ebtables backends. .."

Панимания. как именно работает nft( как проходит пакет, какой функционал), как взаимодействует это с iproute2 ... отдаляется и прячется firewalld от человека,
Более того - эта приблуда на pythone вносит свои "програмные баги" и "особености", как программного продукта. Например от апдейта к апдейту.
А это еще более отдаляет внимание от панимания того фаервола, для которого firewalld городит правила. да и поиcки, почему работает не так, как хочется так-же отдаляются.
Почему ? , imho - добавлен еще один слой, который потенциально не может не вносить сових нюансов:
с firewalld:
пользователь--->[СИНТАКСИС_FIREWALD]-->[firewalld]--->городит прравила для nft---->[ NFT ]
без firewalld:
пользователь--->городит прравила для nft---->[ NFT ]

Наверное, если для персонального ноута с "NetworkManager"(nmcli) управлением, а не "Wicked" - оно имеет смысл,
Особенно, если ориентироваться на то, что-бы пользователь не заморачивался вопросом "а как оно работает", что под капотом...

Таймауты , про которые писали, которые удобны при удаленной отладки фаервлоа "firewalld" - да этого нет в nftables.system(iptables).
я такое решаю так:
1. шедулю cron-ом ребут тачки или рестарт живого фаервола nftables.system на нужное мне время
2. горожу свои правила на nftables/iptables ( неважно на чем ), но без permanent записей в файл для демона.
3. смотрю как они отрабатывают. если таки ошибся и "потерял" удаленную тачку, то зашедуленное событие возвращает доступность

Не нравится мне добавление приблуд поверх фаерволов, для "упрощения управления фаерволом"..это IMHO.
skoltogyan
 
Сообщения: 2043
Зарегистрирован: 12 июл 2002, 19:39
Откуда: Украина, Донецк

Re: linux зачем нашлепка firewalld ?

Сообщение Иван Левшин aka Ivan L. » 14 июн 2022, 09:26

Привет,

Слушай, а во времена SuSEfirewall2 ты прям руками iptables правил? Как по мне, так firewalld - удобнее. Я, правда, давно уже "так себе админ", у меня очень нечасто возникает необходимость настраивать файрволл...
Иван Левшин aka Ivan L.
 
Сообщения: 2579
Зарегистрирован: 05 июн 2002, 18:36
Откуда: Новомосковск, Тул. обл.

Re: linux зачем нашлепка firewalld ?

Сообщение Павел Гарбар » 14 июн 2022, 11:22

Коллеги, привет!
ИТ-мир давно меняется... И линуксы тоже. Многие вещи стараются делать более "клиентоориентированными". А клиентами для линуксов являются не только админы "старого и старинного разлива", но и обычные пользователи. Как, например, объяснить главному бухгалтеру с ноутбуком и терминальным доступом к 1С, что ей нужно переписывать правила iptables, когда она из дома приходит в офис или поехала на дачу? А так связка NetworkManager + firewalld это сделает. Еще раз обозначу - это не имеет большого значения для серверов в стойке, которые после инсталляции никуда не ездят и IP-адреса не меняют (ну может один раз в своей жизни).
Да, есть админы, которые всё могут описать и с помощью ipXtables и для пограничных устройств это может и нужно, но для основного объема установленной техники это не очень удобно.
Так что новые инструменты имеют право на жизнь :-)
Павел Гарбар
 
Сообщения: 709
Зарегистрирован: 05 июн 2002, 09:36
Откуда: Санкт-Петербург

Re: linux зачем нашлепка firewalld ?

Сообщение skoltogyan » 14 июн 2022, 11:27

Иван Левшин aka Ivan L. писал(а):Привет,

Слушай, а во времена SuSEfirewall2 ты прям руками iptables правил? Как по мне, так firewalld - удобнее. Я, правда, давно уже "так себе админ", у меня очень нечасто возникает необходимость настраивать файрволл...


всегда и тольку руками и iptables , тогда и nft - нынче
skoltogyan
 
Сообщения: 2043
Зарегистрирован: 12 июл 2002, 19:39
Откуда: Украина, Донецк

Re: linux зачем нашлепка firewalld ?

Сообщение Иван Левшин aka Ivan L. » 14 июн 2022, 19:58

skoltogyan писал(а):всегда и тольку руками и iptables , тогда и nft - нынче

Дядь Сереж, снимаю шляпу. Ты крут, честно. Я, видимо, скотина ленивая - но так и не добрался до дзена в исполнении iptables. Говорят, в nftables оно еще более забористое...
Иван Левшин aka Ivan L.
 
Сообщения: 2579
Зарегистрирован: 05 июн 2002, 18:36
Откуда: Новомосковск, Тул. обл.

Re: linux зачем нашлепка firewalld ?

Сообщение skoltogyan » 14 июн 2022, 22:45

дело не в крутости.
за..ало , шо приходится изучать понятия и синтаксис этой нашлепки и потом все одно приходится копатсья внутри iptables/nftables что-бы разобраться - это баг нашлепки или шо...особенно ктогда это роутер и нужны вещи сложнее чем открыть порт.
тупо ощущение бессмысленности траты времени на изучение еще и этой хрени(лень), плюнул и решил сократить , ограничившись чисто ipt/nft.
skoltogyan
 
Сообщения: 2043
Зарегистрирован: 12 июл 2002, 19:39
Откуда: Украина, Донецк

Re: linux зачем нашлепка firewalld ?

Сообщение skoltogyan » 15 июн 2022, 14:52

+5копеек про использование "нашлепок"
Вышел Leap15.4. - OK
Ставлю его с нуля.
Перехожу к этапу запрета firewalld ( ну, как мне нравится. ведь никто не запрещает) что-бы чисто nft и я сам его крутил.
Но перед этим было чисто любопытно глянуть на ПРИЕХАВШЕЕ.
Выполнил:
systemcll stop firewalld
systemctl start firewalld
systemctl status firewalld -l
увидел - ошибки.....связанные с модулями пайтона, который и обеспечивает этот firewalld..
Заглянул в журнал:
............................
Jun 11 16:36:23 nkmh systemd[1]: firewalld.service: Deactivated successfully.
Jun 11 16:36:23 nkmh systemd[1]: Stopped firewalld - dynamic firewall daemon.
Jun 11 16:36:23 nkmh systemd[1]: Starting firewalld - dynamic firewall daemon...
Jun 11 16:36:23 nkmh systemd[1]: Started firewalld - dynamic firewall daemon.
Jun 11 16:36:23 nkmh sudo[3449]: pam_unix(sudo:session): session closed for user root
Jun 11 16:36:23 nkmh firewalld[3491]: ERROR: Calling pre func <bound method Firewall.full_check_config of <class 'firewall.core.fw.Firewall'>(True, True, True, 'INIT', False, '', {}, [], True, True, True, False, 'off')>(()) failed: check_config_dict() takes 2 positional arguments but 3 were given
Jun 11 16:36:23 nkmh firewalld[3491]: ERROR: Calling pre func <bound method Firewall.full_check_config of <class 'firewall.core.fw.Firewall'>(True, True, True, 'RUNNING', False, 'public', {}, [], True, True, True, False, 'off')>(()) failed: check_config_dict() takes 2 positional arguments but 3 were given
Jun 11 16:36:23 nkmh firewalld[3491]: ERROR: Calling pre func <bound method Firewall.full_check_config of <class 'firewall.core.fw.Firewall'>(True, True, True, 'RUNNING', False, 'public', {}, [], True, True, True, False, 'off')>(()) failed: check_config_dict() takes 2 positional arguments but 3 were given

Убедился, еще раз, в "полезности" нашлепок.
Отписался в форум opensuse. потом еще нашел на bagрепорте такое:
"https://bugzilla.suse.com/show_bug.cgi?id=1197911
... Otto Hollmann 2022-06-09 10:24:51 UTC This bug was opened for Leap 15.3 and it already received update.
But you are right, in leap 15.4 it's not yet fixed. Same patches are already submitted into maintenence, but not yet released. I will ping responsible people to get it released.
"
Как видите: в "нашлепке" - firewalld есть баг. который еще был не закомичен в релиз.
Сегодня( 15-го Июня) - фикс прилетел.
А не привыкать к "нашлепке" - так и бог с ними, с багами в firewalld...
Чисто механически - добавляется еще одна прокладка, которая автоматически снижает надежность,
ну, как и всяка прокладка, повышает "цену"...:)

:)
skoltogyan
 
Сообщения: 2043
Зарегистрирован: 12 июл 2002, 19:39
Откуда: Украина, Донецк

Re: linux зачем нашлепка firewalld ?

Сообщение Dimerson » 17 июн 2022, 11:28

Я привык к fwbuilder. Это гуй (кросплатформенный под QT) создает готовый скрипт под разные платформы:
CISCO FWSWM, CISO IOS ACL, CISO NX-OS ACL, CISCO PIX,
Juniper JunOS ACL,
ipfilter, ipfw, iptables, PF,
HP ProCurver ACL
Аватара пользователя
Dimerson
 
Сообщения: 2959
Зарегистрирован: 15 сен 2002, 14:39
Откуда: Регион 70

Re: linux зачем нашлепка firewalld ?

Сообщение skoltogyan » 19 июн 2022, 22:30

а этим fwbuilder - пользуетесь запуская прямо на том сервере для которого делаете правила или на абсолютно "левой машине" описываете в fwbuilder интерфейсы и правила и потом готовый набор переносите на сервер ?
skoltogyan
 
Сообщения: 2043
Зарегистрирован: 12 июл 2002, 19:39
Откуда: Украина, Донецк

Re: linux зачем нашлепка firewalld ?

Сообщение Dimerson » 23 июн 2022, 09:40

можно и так и так. Я прямо там рулю. ssh/x11.
скажем так балалайка где оно живет (debian) довольно заморочная. там 2 аплинка (посему plocy routing и все такое). И работает оно 24/7
так что наглядность это важно.

Поправил к примеру что-нибудь.

systemctl stop fwbuilder
systemctl start fwbuilder

много времени не занимает.
Аватара пользователя
Dimerson
 
Сообщения: 2959
Зарегистрирован: 15 сен 2002, 14:39
Откуда: Регион 70


Вернуться в Флейм

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 3

cron