firewalld говно

Причем, насколько я понимаю, основной selling point firewalld был в том, что соединения не рвутся при изменении правил, а теперь nftables это умеет по умолчанию.

Соединения никогда при изменении правил не рвались. Ну кроме случаев когда изменение заключалось в зафайрволивании имеющихся соединений или ещё каком специальном влезании в их работу.

А разве нормального гуя к нему нет? Его selling point(c) был в том, что тебе не надо пердолиться с правилами netfilter, а можно уютно переключать зоны, слоняясь от вафли к вафле. Это как бы подразумевает мышевозность.

Я не большой мастер секьюрности, но настроить и понять iptables мне было СИЛЬНО проще.

А я так и не смог заставить себя осилить nft. Синтаксис iptables намного понятнее.

тебе не надо пердолиться с правилами

Как я могу почувствовать это?

В моем понимании, если инструмент создан для безопасности, он должен сразу давать понять я защищен или нет. target: default – что это? Русская рулетка?

настроить и понять iptables

А потом, когда придет время заменить iptables на что-то другое будешь орать: ряяя, не хочу Y! Зачем мне навязывают его, я уже привык к X и он меня устраивает!

Да какая разница? Были ipchains, стали iptables, будут ipcubes, потом - будут iphexahedrons...

Я о том, что ты - в мире, где сделано как надо - вообще не должен видеть консоль. Должен быть гуй с натыкиванием простых правил для зон и привязка этих зон к сети, потому что этот инструмент создан не для безопасности, а для удобства юзера. Безопасность у нас уже была и так. Рассуждения здесь такие: сама концепция переключения зон подразумевает мотающуюся между сетями железку, то есть ноут. Ноут без гуя, где мамкин рут машет фаерволлом в консольке, временами спускаясь на уровень nft - это идиотизм, такого вообще не должно быть.

Вот я и удивляюсь, неужто до сих пор нет вменяемых гуйцов.

Можешь мне сказать по скрину какая тут политика по-умолчанию?

https://qu.ax/OxfCq

Гуй, юзер-френдли тут не причем. Просто этот софт написан некомпетентными людьми.

Можешь мне сказать по скрину какая тут политика по-умолчанию?

Не знаю, вижу только один из дофига табов.

Они пустые. Это, кстати, высер той-же Шапки.

https://qu.ax/B7ciB

Да я бы и на слово поверил, чего ты так ответственно. Я ж не спорю, а просто недоумеваю.

На главной странице https://firewalld.org/ я нашел четыре упоминания слова «simple».

Ну так ты не должен лезть сам в nft, а для пользователя фуриволд вполне себе симпл. Хочу днс - открыл днс, хочу другое - открыл другое.

Пользую его для настройки оконечных узлов, полет вроде нормальный, хз откуда претензии.

для каждой зоны этот дефолт свой.

Откуда инфа? Вроде default это REJECT + пара icmp типов. Это один из типов таргетов, которых 4 и они ведут себя одинаково для всех зон, где упомянуты. Если это не так то дай линк почитать.

Вот всегда считал, что все линуксовые фаерволлы, что iptables, что firewalld - не для людей. Оно норм, когда к этому есть гуй, или какая-то автоматизация, а в плане человекочитаемости там всегда было плохо, в отличии, скажем, от pf, который, напротив, читать куда проще.

Запусти GUI firewall-config, протыкай чекбоксы, пропиши пару-тоойку нужных портов, закрой тулзу, больше её никогда не запускай. Profit!

firewall-config.

Там даже нельзя фильтровать исходящий трафик. И в firewalld тоже. Без костылей.

Видимо, целевой аудитории пофиг. Очевидно, я попадаю в ЦА.

Как-то пытался сохранить свои правила на сервере в nft, nft не все смог.
Будет iptables, пока не выпилят.

Откуда инфа? Вроде default это REJECT + пара icmp типов. Это один из типов таргетов, которых 4 и они ведут себя одинаково для всех зон, где упомянуты. Если это не так то дай линк почитать.

Вы должны понимать, что я начал с ним знакомиться несколько дней назад и что-то могу напутать (учитывая, что у меня только базовые знания iptables).

Но вот мы смотрим документацию:

**If unspecified**, the default behavior applies: ICMP will be accepted and everything else will be rejected.

Т.е., вроде бы все так, как ты говоришь, но дьявол в деталях:

1. Это поведение только для INPUT. Для FORWARD полиси ACCEPT. И для OUTPUT тоже ACCEPT.

2. Второе это If unspecified – т.е. это поведение можно переназначить в конфиге.

Моя претензия к firewalld даже не в том, как он работает, а как отдает информацию пользователю.

Например, как я вижу нормальный юзер-френдли фаерволл:

$ firewall show rules

ZONE: home

INPUT:
policy: DROP
allow services: icmp, ssh
allow ports: 8080/tcp

OUTPUT:
policy: ACCEPT
allow services: all
allow ports: all

Базовая настройка, ты сразу видишь какой трафик разрешен, какой запрещен и т.д. subj выводит информацию так, что ничерта не понятно. Причем, это не потому что я тупой или не знаком с ним, он просто всратый.

Представь, что у тебя есть какая-то охранная система в доме. И вместо того, чтобы сказать, что у тебя все надежно защищено, она тебе пишет Target: default. Какая твоя реакция будет?

Как-то пытался сохранить свои правила на сервере в nft, nft не все смог.

Скорее это ты просто не смог, я так понимаю, что nftables – это полная замена и даже сам iptables под капотом сейчас использует nftables.

Второе это If unspecified – т.е. это поведение можно переназначить в конфиге.

Не припомню такой функции, а вот свои зоны и сервисы я делал.

Это поведение только для INPUT. Для FORWARD полиси ACCEPT. И для OUTPUT тоже ACCEPT.

Это уже за пределы скоупа фуриволд выход, он не создан для администрирования транзитного трафика.

subj выводит информацию так, что ничерта не понятно

Не потверждаю, там буквально тоже самое, просто полей больше.

Какая твоя реакция будет?

Я изучал документацию по фуриволд, я просто знаю, что значит default. Если ты идешь в инструмент контроля трафика и хочешь его админить «по наитию» - это не очень правильно. Огнестены - самые опасные инструменты в каком-то смысле, сначала читаешь документацию - потом идешь ковыряться. Я так делал, у меня нет претензий к фуриволд, я знаю что он может и, что важнее - что он НЕ может.

nft я аналогично изучал и «черерненький» пояс имел - динамические списки с массивами и прочей ерундой делал и админил, прикольная ерунда.

Крч если бы ты начал с документации - треда бы не было.

затрахался я с этими апитейблсами...реально без гуя и когда ты никогда этого не делал оч сложно, более менее вменяемый интерфейс сделали в opensense, но там я тоже не смог сделать то что мне надо(настроить черные списки)

firewalld говно

Да.

Причем, насколько я понимаю, основной selling point firewalld был в том, что соединения не рвутся при изменении правил, а теперь nftables это умеет по умолчанию.

Они и раньше не рвались.

А я так и не смог заставить себя осилить nft. Синтаксис iptables намного понятнее.

Аналогично. Но в моем случае я это списываю на лень, ну и принцип «работает не трогай», в том смысле, что чего-то специфичного от nft мне пока не понадобилось.

А потом, когда придет время заменить iptables на что-то другое будешь орать: ряяя, не хочу Y!

Зачем орать-то? За 30 лет изменений было не так много, ipfw, ipchains, iptables, nftables. Причем первые три уложились в первое десятилетие, а для последнего сделали обертку.

Скорее это ты просто не смог, я так понимаю, что nftables – это полная замена и даже сам iptables под капотом сейчас использует nftables.

Это смогешь?
-A PREROUTING -s 10.10.10.0/24 -p udp --dport 53 -m string --hex-string «|056f6e696f6e00|» --algo bm -m comment --comment «tor onion» -j REDIRECT --to-port 5353

Чего с iptables-то не так? Линейный набор правил.

Это уже за пределы скоупа фуриволд выход, он не создан для администрирования транзитного трафика.

Прелестно, прелестно! (с) Ворона из мультика.
Ну или голосом Гибсона из фильма «Расплата»: Ну и нафига ты тогда нужен?

-A PREROUTING -s 10.10.10.0/24 -p udp --dport 53 -m string --hex-string «|056f6e696f6e00|» --algo bm -m comment --comment «tor onion» -j REDIRECT --to-port 5353

+1 за модуль string

Я, может, и нет, а <сами знаете кто> вполне :)

# Make sure you have a nat table and a prerouting chain base set up
table ip nat {
    chain prerouting {
        type nat hook prerouting priority filter; policy accept;

        # The translated rule:
        ip saddr 10.10.10.0/24 udp dport 53 @th,64,48 0x056f6e696f6e00 redirect to :5353 comment "tor onion"
    }
}

Ну или голосом Гибсона из фильма «Расплата»: Ну и нафига ты тогда нужен?

Для администрирования файера на оконечном устройстве, тут все очевидно. Дает удобный быстрый понятный способ открыть\закрыть порты в формате сервисов - все.

Если надо из каждого инструмента делать комбайн - это к врачу.

Это можно было бы сказать про какой-нибудь ufw, но точно не про firewalld. Он сам тот еще монстр.

Думаю, простота при разработке была где-то в первой десятке, а делали его, чтобы можно было управлять фаерволлом через dbus в инфраструктуре Редхата.

Даже на сайте firewalld dbus идет первым пунктом в фичах, а что-то типа simple начинается с шестого пункта (как я угадал). Можно судить о приоритетах разработчиков.

Features

    Complete D-Bus API
    IPv4, IPv6, bridge and ipset support
    IPv4 and IPv6 NAT support
    Firewall zones
    Predefined list of zones, services and icmptypes
    Simple service, port, protocol, source port, masquerading, port forwarding, icmp filter, rich rule, interface and source address handlig in zones
    Simple service definition with ports, protocols, source ports, modules (netfilter helpers) and destination address handling
...

Complete D-Bus API

Это и есть simple. Можно все сделать программно, утенок за пультом даже ничего не поймет.

Firewall zones

Сюда же. Отказ от списка, упрощение менеджмента - вкл или не вкл, другого не дано.

Сгенерировать файлик сервиса, одним пинком его включить\выключить - вместо ковыряния с бесконечными списками и приоритетами, где хз куда можно пристроиться, учитывая уникальный замысел(тм) каждого поциента.

ip saddr 10.10.10.0/24 udp dport 53 @th,64,48 0x056f6e696f6e00 redirect to :5353 comment «tor onion»

Теперь остается поверить этому <сами знаете кто>, что это будет работать. Что вряд ли.

Для администрирования файера на оконечном устройстве, тут все очевидно.

Ну т.е. вот у меня есть оконечное устройство, на котором поднят libvirt со своей сетью на отдельном интерфейсе и эта дрянь даже не осилит в правила для отдельных VM ?

Если надо из каждого инструмента делать комбайн - это к врачу.

Недокомбайн это как раз то, что и обсуждаем.

Недокомбайн это как раз то, что и обсуждаем.

Нет, он позволяет автоматизировано и просто управлять файером оконечного хоста в конкурентной среде.

Ну т.е. вот у меня есть оконечное устройство, на котором поднят libvirt со своей сетью на отдельном интерфейсе и эта дрянь даже не осилит в правила для отдельных VM ?

Оконечное устройство, которое обеспечивает транзит трафика - не является оконечным устройством. Это не задача фуриволд.

А если ты сети для виртуалок терминируешь и разматываешь с помощью файера гипервизора - вопросики есть уже к тебе.

Нет, он позволяет автоматизировано и просто управлять файером оконечного хоста в конкурентной среде.

Я прочитал выхлоп маркетингово булшита.

Оконечное устройство, которое обеспечивает транзит трафика - не является оконечным устройством. Это не задача фуриволд.

Ну ЧТД. Не осилили.

А если ты сети для виртуалок терминируешь и разматываешь с помощью файера гипервизора - вопросики есть уже к тебе.

Простите, а с помощью чего вы предлагаете это делать? Может я чего-то не знаю?

Я прочитал выхлоп маркетингово булшита.

Благодаря фуриволд разработчик софта может закинуть файлики, детально описывающие нужные ему конфигурации (файлы сервисов) и программно включать\отключать их независимо от того, какие еще персонажи пытаются администрировать файер - другие программы, пользователи и тп. Вместо конкурентного редактирования единого списка правил, составленного ИИшкой по пьяным промптам с гаданием, в какую из этих строк можно вкорячить свои правила.

Мне, как занятому в разработке софта под линукс - фуриволд чертовски полезен, он превратил управление межсетевым экраном в простой и понятный процесс с минимумом разборок. Я могу на лету корректировать политику фильтрации в зависимости от того, какие сервисы пользователь захотел включить, ну или какие потребовались в моменте - и сразу прикрыть по необходимости.

Вот эту задачу решает фуриволд.

Ну ЧТД. Не осилили.

Потому что не нужно. Для администрирования транзитных узлов используйте nft и сами решайте свою задачу - автоматика не сможет распарсить все многообразие шизозамыслов.

Простите, а с помощью чего вы предлагаете это делать? Может я чего-то не знаю?

Тут я некорректно прочел - для маленьких инсталляций действительно следует разводить через гипервизор. И опять же - тогда вам нужен nft, фуриволд отвечает за защиту самого гипервизора как конечного узла.

меня всегда «радовало» в нем множество зон, которые как бы интуитивные: private, work, home, но внезапно эта FedoraWorkstation . Что как бы говорит, мейнтейнеры плюют на концепцию, и продавливают свой профиль. ну а нафига? это выглядит странно

Я не ради бессмысленного спора, а просто похихикать: выражение «превратил управление межсетевым экраном в простой и понятный процесс» выглядит забавно в свете признаваемой и даже подчеркиваемой неспособности сабжа работать именно в качестве МЕЖСЕТЕВОГО (см. «защита конечного хоста») экрана.

признаваемой и даже подчеркиваемой неспособности сабжа работать именно в качестве МЕЖСЕТЕВОГО

Мне лень писать «брандендшмауер», термин такой, что поделать.

но внезапно эта FedoraWorkstation . Что как бы говорит, мейнтейнеры плюют на концепцию, и продавливают свой профиль. ну а нафига? это выглядит странно

На самом деле, очень даже понятно. Если пользователь установит свежую Федорку и у ничего не будет работать, вряд ли он похвалит дистрибутив за секурность. Вот они и предоставляют полностью открытую сеть. Конешно, неплохо было бы пользователю сообщить, что вот есть фаерволл, его неплохо было бы настроить, для дома за натом вот так, для публичного вайфая вот так, таким образом открыть порт, так разрешить сервис.

используй ufw, он проще.

Не, мне проще будет освоить nftables. В конце концов, ничего сложного я не делаю, мне задать политику для INPUT/OUTPUT/FORWARD, да открыть нужные порты.

Если поделка Шапки добавляет хоть какие-то возможности автоматизации, то поделка Каноникла вообще бесполезная.

Учить несколько разных синтаксисов фаерволлов – это уже странное.