Регистрация Войти
Рейтинг:0
avatar Server

Как отобразить все состояние firewalld?

флаг cn
Norman Gray

Я пытаюсь понять, почему брандмауэр ведет себя не так, как, по-моему, я его просил, и, таким образом, пытаюсь выяснить, как получить брандмауэр чтобы показать его полный набор правил в некотором формате, напоминающем iptables Файл конфигурации. Или в каком-то другом формате — мне все равно, — главное, чтобы он был не менее читабелен, чем iptables или же пф конфигурации (т. е. это довольно низкая планка для очистки!).

  • Команды типа брандмауэр-cmd --list-all «Перечислите все, что добавлено или включено в зоне». Но это просто список интерфейсов, служб и т. д., без дополнительных подробностей. я не вижу --list-all-нет-на самом деле-все вариант.
  • Я думал, что нашел это, когда я читал о непосредственный правила, но я вижу, что это применимо только к правилам, добавленным как дополнительные «прямые» правила, и не является люком в машинное отделение, как это было сначала.
  • Я вижу файлы конфигурации в /etc/брандмауэр и значения по умолчанию в /usr/lib/брандмауэр. Но хотя это многообещающе на первый взгляд и красиво прокомментировано, на самом деле это мало что говорит мне о текущем состоянии. Такие вопросы, как Вот этот речь идет об экспорте правил (для перемещения в другое место) и предполагает, что это все, что есть (я предполагаю, что порты, упомянутые в службах, упомянутых в публичной зоне, заблокированы для входящих...?).

Я так понимаю (поправьте меня, если я ошибаюсь) брандмауэр имеет внутри что-то похожее на iptables, которое делает всю работу, и некоторый своего рода государство, которое --перезагрузить может найти и, ну... перезагрузить. Это то состояние, которое я надеюсь найти.

Возможно, я тусклый, но я нахожу общий уровень косвенности и полезности брандмауэр-cmd совершенно непонятно. Да, как известно, «любая проблема в информатике может быть решена путем добавления еще одного уровня косвенности», но иногда это может доходить до крайности.

У меня может вообще не быть проблем с брандмауэром, но я не могу достаточно разобраться в состоянии брандмауэра, чтобы исключить это. Есть ли повод перейти на iptables (интересуюсь от безысходности)? Это больше суеты в настройке и легко ошибиться, но, по крайней мере, я имею некоторое представление о том, что происходит.

Я очень открыт для создания проблем или для того, чтобы мне сказали, что я лаю не на то дерево.

73
0 + 0
Рейтинг:1
avatar Server
флаг cn
Bob

Обычно я рекомендую смотреть на фактические наборы правил брандмауэра, на которых работает ядро ​​Linux, а не пытаться диагностировать более сложные проблемы брандмауэра из "удобный" такие инструменты, как firewalld (или аналогично UFW и другие) и уровень абстракции, который он предоставляет. Часто, когда вы понимаете основные проблемы, вы можете легко решить их в вопросе, поддерживаемом этими инструментами.

Хотя некоторым нравится [sudo] iptables-сохранить лучше для меня команда [судо] iptables -L -v -n твой лучший друг.
Часто при обсуждении конфигураций полезно использовать --номера строк вариант, а также, чтобы увидеть число строк. Правило упоминания #ИКС несколько упрощает дискуссию. Помните, однако, что по умолчанию iptables отображает только таблицу FILTER, а другие вы указываете с помощью -т [ нац | калечить | сырой] выключатель.

Когда серверная часть nftables используется firewalld, используйте набор правил списка nft.

(Для меня firewalld фактически является еще одним интерфейсом для создания наборов правил, которые будут загружены в Linux. сетевой фильтр модули ядра. Вы по-прежнему можете манипулировать этими бэкендами с помощью их собственных и более низкоуровневых инструментов, таких как iptables или более современный nftables инструменты преемника. На рисунке ниже показано, что другие серверные части firewalld могут использовать и объединять.)

Из https://firewalld.org/documentation/concepts.html

0 + 0
флаг cn
Norman Gray
Спасибо! Это именно то, что я искал. Из `firewall.conf` я вижу, что использую серверную часть `nftables`, поэтому меня немного смущает, что `iptables-save` производит выходные данные, или это просто предназначено для работы с обоими внутренними частями? Кроме того, откуда взялась эта схема? Это похоже на документ, на который я должен взглянуть, хотя бы вкратце. Я ожидаю, что продолжу манипулировать брандмауэром RH с помощью `firewall-cmd`, но сверьтесь с этим выводом, чтобы проверить, какое изменение я произвел.
0
Ответить
флаг cn
Bob
Если вы посмотрите на вывод `iptables -V`, вы можете увидеть совместимость с nftables. Изображение взято с https://firewalld.org/documentation/concepts.html.
1
Ответить
флаг cn
Norman Gray
идеально - спасибо
0
Ответить
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.