web-dev-qa-db-fra.com

Centos 8 Firewalld + Nftables ou Just Nftables

Je suis sur Centos 7 depuis longtemps et j'ai été utilisé pour construire mes configurations de maturation iptables sur une variété de boîtes personnelles et professionnelles.

J'ai récemment commencé à travailler avec Centos 8 et j'ai appris le déménagement de iptables à nftables et j'ai donc pu réécrire mes règles de réparation et avoir tout ce qui est possible. Le problème était que mes règles NFT personnalisées ne persistent pas après un redémarrage, je devais manuellement systemctl restart nftables Pour récupérer mes règles.

J'ai appris que le coupable était firewalld, qui de ma compréhension (parce que je ne l'ai jamais utilisé dans Centos 7), est un outil de gestion frontal de fin de compte pour les deux iptables et nftables. .. correct? Une fois que je systemctl disable firewalld et essayé un redémarrage, mes règles nftables étaient en place comme prévu. Problème résolu.

Ma question est, quelles sont les répercussions de non pas en utilisant firewalld, nftables est toujours en cours d'exécution et active, alors je suppose que mon pare-feu est toujours en place, y a-t-il une raison pour laquelle je devrait quitter firewalld _ fonctionnant et ajuster un paramètre pour vous assurer qu'il utilise mon nftables règles de règles. Toute clarté à son utilisation serait grandement appréciée!

6
oucil

Je pense que la réponse est assez simple. Tout d'abord, vous avez fait exactement la bonne chose ...

Le pare-feu est une pure frontale. Ce n'est pas un pare-feu indépendant par lui-même. Il ne fonctionne que en prenant des instructions, puis les transformant en règles NFTABLES (anciennement iptables) et les règles NFTABLES sont le pare-feu. Vous avez donc le choix entre la course "Firewalld en utilisant nftables" et exécuter "NFTables uniquement". NFtables À son tour fonctionne directement dans le cadre du noyau, en utilisant un certain nombre de modules, qui sont en partie neufs et répétent partiellement le système "NetFilter" de crochets de noyau et de modules qui sont devenus une partie du noyau vers 2000.

Il devient assez déroutant d'exécuter un pare-feu et NFTABLES (anciennement, iptables) en parallèle, bien que je crois que certaines personnes le font. Si vous étiez habitué à gérer vos propres règles d'IPTABLES, c'est la solution idéale pour les convertir vers les règles NFTABBLES, et laissez-les être les règles de votre pare-feu. La meilleure chose à faire est de désactiver complètement et de préférer masquer le pare-feu - d'être légèrement pédant, vous pouvez exécuter:

Sudo systemctl stop firewalld
Sudo systemctl disable firewalld
Sudo systemctl mask --now firewalld

Il n'y a rien d'autre que vous devez faire. Je cours moi-même directement avec Nftables aussi. Je trouve que beaucoup plus transparent que d'utiliser une extrémité frontale (il y en a d'autres que le pare-feu bien sûr) - cela vous donne une compréhension complète de ce que vous faites, et vous pouvez facilement obtenir un examen complet de vos règles en fonctionnant Sudo nft list ruleset > /etc/nftables.conf. Et l'utilisation de tables NFT séparées dans /etc/nftables.d est un moyen agréable et facile de suivre ce que vous avez fait, et où les choses sont ...

Je suppose de ce que vous écrivez que vous savez tout cela. Mais je suis un peu d'évangéliste pour NFTABLES, et si d'autres lisent cette réponse, ils pourraient être aidés par ces petites indications. La documentation de NFTABLES est bonne, mais pas excessive.

3
henrystrick