Каким межсетевым экраном (firewall) для linux/unix вы пользуетесь?

Никаким.

никаким

Наверное, школьник Ваня из восьмого-б уже продаёт твои пароли за килограмм гашиша.

Тупо ломать нечего вот и нету.

С чего бы?

Тупо ломать нечего вот и нету.

Товарищ майор одобряет =)

Пользуюсь iptables.

В опросе есть даже всякие Vuurmuur и CSF, а FirewallD почему нет?

Так это ж фронт-енд для iptables/nftables. Как, впрочем, и Vuurmuur, да.

Ну вот где вы были месяц с лишним, пока опрос в неподтверждённых висел? Сейчас подумаю, что с этим сделать.

Подумал и добавил FirewallD. Да, получается, в опросе перемешаны сервисы, оболочки к ним и даже отдельные дистрибутивы. Но при наличии мультивыбора это не страшно, только при анализе итогов это надо учитывать.

Голосуйте на здоровье.

Посоветуйте фаер с самым удобным GUI уровня Agnitum Outpost

В смысле ? А разве могут новость подтверждать люди не понимающие в теме ?

Это не новость, а опрос.

То, что в него попали разнокалиберные программы — мой просчёт, каюсь. С другой стороны, это, может, и не совсем просчёт: при подведении итогов можно подвести как популярность бэк-ендов, так и востребованность оболочек к ним.

И что значит «не понимающие в теме»? Если ты считаешь, что опросы, да и новости подтверждают некие безгрешные гуру, то ты ошибаешься. Что-то я знаю лучше, что-то хуже. Более того, в паре случаев я действительно, прочитав опрос, делал вывод, что это не моя тема, и советовался с другими модераторами. В последние полгода это было, кажется, два раза. Один раз, посоветовавшись с коллегами, я опрос (про high availability) не стал подтверждать вообще и отправил в talks, второй раз подтвердил, но после подтверждения всё равно нашлись недовольные.

Поэтому, собственно, суть предыдущего комментария сводилась к тому, что небожителей тут нет. ЛОР — это сообщество. Обычно неподтверждённый опрос висит в неподтверждёных достаточно долго, чтобы все, кто понимает в теме, могли высказать свои замечания. И когда все молчат, а после подтверждения начинаются нарекания, меня это несколько, хм, вымораживает.

То, что в него попали разнокалиберные программы — мой просчёт, каюсь. С другой стороны, это, может, и не совсем просчёт: при подведении итогов можно подвести как популярность бэк-ендов, так и востребованность оболочек к ним.

Но оболочек лчень много и даже довольно популярные не все.

Ну добавь те, которые считаешь популярными. Судя по тому, что за «другое» проголосовал пока один человек — ещё не слишком поздно.

В опросе есть даже всякие Vuurmuur и CSF, а FirewallD почему нет?

Емнип, когда я создавал, больше пунктов и не влезало. Меня интересовали не все, а только некоторые из них, но когда я понял, что получается слишком небольшое сравнение и опрос выходит никакой, пришлось добавить другие варианты для равновесия.

В этот раз я дерьмово постарался оформить тему, поэтому приношу извинения. А предложения добавить/убрать я только поддерживаю.

NAT.

iptables

Ну если про iptables то netfilter-persistent.

Насколько я помню, можно создать опрос, отправить в неподтверждённые, а потом взять на редактирование, и тогда открывается возможность добавить ещё несколько пунктов. И так несколько раз. :)))

Другое дело, что когда количество пунктов опроса переваливает за 15-20, в них начинаешь теряться при голосовании.

Да, получается, в опросе перемешаны сервисы, оболочки к ним и даже отдельные дистрибутивы. Но при наличии мультивыбора это не страшно, только при анализе итогов это надо учитывать.

Конечно не страшно, опрос не про внутриядерные механизмы фильтрации пакетов, а про удобное апи его настройки. iptables в данном случае, думаю, это именно те, кто настраивают файрволл скриптом с обращениями к программе iptables напрямую.

Стараюсь использовать ipfw на серверах и iptables на десктопах.

А почему именно их? и почему именно в таком условии, а не наоборот?

Потому что на серверах фрибсд в котором основной файрвол ipfw (остальные какие-то непонятные да и выглядят подзаброшенными), а на десктопах линукс где всегда был iptables с ненужными обёртками, впрочем дебиан меня не грузит ими и хорошо. Знаю что сейчас появился nftables но не вижу резона его изучать, всё и так работает.

nftables

Остальное не нужно.

чем оно лучше iptables?

Оно типа новее и юзает какие то новые фичи с новых ядер. По сути это такой же переход как с ipchains на iptables.

Шапка давно внедрила firewalld с бакендом к iptables (не путать с iptables управлялкой) а потом просто за место iptables подсунула nftables и народ что юзает firewalld даже не заметил …

Никаким. айпитабля у всех есть по умолчанию трогают они её или нет

Что такое сетевой экран?

https://i0.wp.com/rubaky.ru/img/ekran-dlya-lovli-ryby-svoimi-rukami_9.jpg

чем оно лучше

чем iptables…

а если серьёзно, то например синтаксисом командной строки

Архитектурой, синтаксисом правил, атомарной загрузкой, в некоторых случаях производительностью.

синтаксисом правил

эм, нет

Вообще-то по результатам опроса iptables на первом месте и намного больше набрал голосов какого-то nftables. Так-то это всё понятно. По твоему ответу я могу понять, что тебе он просто удобнее. Я думаю, многим пользователям всё равно, если там команды/синтаксис проще, потому что они уже знают как пользоваться iptables и на нём у них всё работает.

А вот можешь объяснить, почему на него стоило бы перейти с iptables? В каких случаях он может быть лучше?

Ну как минимум мне, как пользователю gentoo нравится то, что я смог выпилить xtables из ядра, оставив только netfilter. iptables требуют xtables в ядре, тогда как nftables он не нужен.

А вообще просто посмотри на синтаксис конфигов nftables с вложенными блоками и безымянными сетами (причём не только сетами адресов как в ipset, а сетами чего угодно). Намного удобнее чем многословные конфиги iptables в которых может быть множество одинаковых строчек отличающихся одним словом.

Кому то может быть удобен импорт и экспорт правил в JSON формате для задач скриптинга.

эм, да

классический пример с wiki:

ip6tables -A INPUT -p tcp -m multiport --dports 23,80,443 -j ACCEPT
ip6tables -A INPUT -p icmpv6 --icmpv6-type neighbor-solicitation -j ACCEPT
ip6tables -A INPUT -p icmpv6 --icmpv6-type echo-request -j ACCEPT
ip6tables -A INPUT -p icmpv6 --icmpv6-type router-advertisement -j ACCEPT
ip6tables -A INPUT -p icmpv6 --icmpv6-type neighbor-advertisement -j ACCEPT

VS

% nft add rule ip6 filter input tcp dport {telnet, http, https} accept
% nft add rule ip6 filter input icmpv6 type { nd-neighbor-solicit, echo-request, nd-router-advert, nd-neighbor-advert } accept

Вообще-то по результатам опроса iptables на первом месте и намного больше набрал голосов какого-то nftables.

Миллионы мух…

У меня нет.

утя нфтабля с режимом совместимости так что считай есть.

На серверах iptables/nftables, для пекарни wifi-коробочки достаточно.

с режимом совместимости

Нет.

фиговый пример. ясно же, что надо отдельно правило сделать для icmp и там уже дебошить по типу

кстати, кто все эти люди, что ICMP рубят? я думал, что это удел вендоадминов?

ясно же

Нет, не ясно. Ну по крайней мере для неадминов.

В данном случае это неважно. Этот пример не имеет отношения к реальной жизни, а всего лишь демонстрирует различия в синтаксисе.

убого «демонстрирует»

лично для меня - неубедительно

весь смысл от nft - упрощение мультивыбора где у iptables может быть слодности и с настройкой и со скоростью обработки

и понятно, что кого это волнует - будут делать отдельную ветку для правил, а не тупо в лоб линейно

тада ладна

Ну как минимум мне, как пользователю gentoo нравится то, что я смог выпилить xtables из ядра, оставив только netfilter. iptables требуют xtables в ядре, тогда как nftables он не нужен.

Новый iptables (программа) тоже использует netfilter.

$ ls -al /etc/alternatives/iptables
lrwxrwxrwx 1 root root 22 мая  4 21:52 /etc/alternatives/iptables -> /usr/sbin/iptables-nft

Так что этот и все остальные аргументы про ядерное устройство - мимо. Это просто два разных синтаксиса к одному и тому же ядерному апи теперь.

кстати, кто все эти люди, что ICMP рубят? я думал, что это удел вендоадминов?

А чего такого? ICMP нужен для пингов (echo), для трассировки (ttl-exceed) и для уведомлений о недоступных таргетах (всякие unreachable). Всё остальное можно резать, на всякий случай, а то лень разбираться не включен ли какой хлам в ядре, который может на это остальное (например злонамеренный редирект маршрута) как-то отреагировать, и как его отключить.

Где вариант «А что это?» ?

/etc/alternatives/iptables

/etc/alternatives

Убунту идёт лесом.

Когда я переходил на nftables, я пытался сконвертировать свои правила iptables в правила nftables с помощью iptables-nft. Оказалось, что он некоторые правила, которые работали в iptables, не понимает. Проще оказалось руками переписать, хоть и подглядывая в результат конвертации.

Смущает, что уфв не совсем фаервол, он скорее гуй к айпитейблам. А айпитейблы тоже не фаервол. Но я использую одно через другое и вроде как фаервол.

Убунту идёт лесом.

Причём тут убунту?

Когда я переходил на nftables, я пытался сконвертировать свои правила iptables в правила nftables с помощью iptables-nft. Оказалось, что он некоторые правила, которые работали в iptables, не понимает. Проще оказалось руками переписать, хоть и подглядывая в результат конвертации.

Не надо ничего конвертировать, оно просто понимает синтаксис iptables, но пользуется netfilter api.