firewalld vs iptables - wann benutzt man welche [closed]

29

TL; DR Sollte ich bei neuen CentOS-Serverinstallationen Firewalld verwenden oder das einfach deaktivieren und wieder verwenden /etc/sysconfig/iptables?


firewalld und iptables dienen ähnlichen zwecken. Beide filtern Pakete - aber wenn ich es richtig verstehe, leert Firewalld nicht bei jeder Änderung den gesamten Regelsatz.

Ich weiß viel über Iptables, aber sehr wenig über Firewalld.

Auf Fedora und RHEL / CentOS wurde die traditionelle Konfiguration von iptables in durchgeführt /etc/sysconfig/iptables. Bei der Firewall lebt die Konfiguration /etc/firewalld/und besteht aus einer Reihe von XML-Dateien. Fedora scheint auf Firewalld umzusteigen, um diese alte Konfiguration zu ersetzen. Ich verstehe, dass Firewalld Iptables unter der Haube verwendet, aber es hat auch eine eigene Befehlszeilenschnittstelle und ein eigenes Konfigurationsdateiformat wie oben - auf das beziehe ich mich, wenn ich eins gegen das andere verwende.

Gibt es eine bestimmte Konfiguration / ein bestimmtes Szenario, für die / das jeweils am besten geeignet ist? Im Fall von NetworkMangaer im Vergleich zum Netzwerk scheint NetworkManager zwar als Ersatz für die Netzwerkskripte gedacht zu sein, aber aufgrund der mangelnden Unterstützung für die Netzwerkbrücke und einiger anderer Dinge wird es von vielen Benutzern bei Server-Setups unter möglicherweise nicht verwendet alle. Es scheint also ein allgemeines Konzept zu geben: "Verwenden Sie NetworkManager, wenn Sie unter Linux arbeiten desktop/gui, und ein Netzwerk, wenn Sie einen Server ausführen". Das ist genau das, was ich beim Lesen verschiedener Posts gelernt habe - aber es gibt zumindest eine Anleitung, wie diese Dinge verwendet werden können - zumindest in ihrem aktuellen Zustand.

Aber ich habe dasselbe mit Firewalld gemacht und es einfach ausgeschaltet und stattdessen iptables verwendet. (Ich installiere Linux fast immer auf einem Server, nicht für den Desktop). Ist firewalld ein wirksamer Ersatz für iptables und sollte ich das nur auf allen neuen Systemen verwenden?

bgp
quelle
10
Firewalld verwendet iptables darunter.
user9517 unterstützt GoFundMonica
Klar, und das macht Sinn. Aber offensichtlich gibt es einen großen Unterschied zwischen dem Speichern Ihrer Konfiguration und dem von Ihnen verwendeten Tool - iptables vs firewall-cmd, / etc / sysconfig / iptables vs /etc/firewalld/.../*.xml. Ich werde die Frage überarbeiten ein bisschen, um das klarer zu machen.
BGP
Es ist nicht nötig, "jedes Mal, wenn eine Chance besteht, den gesamten Regelsatz zu spülen" iptables. Es ist nur ein Front-End-Tool, wenn die Tabellen geleert werden, weil Sie es angewiesen haben.
Eltern
Zur Verdeutlichung beziehe ich mich auf "service iptables restart", wodurch die Regeln entfernt und neu hinzugefügt werden. (Dies hat zwar immer noch keine Auswirkungen auf den Verbindungsstatus, was auch gut so ist.) Sie können den Befehl iptables natürlich auch über die Befehlszeile ausführen, um einzelne Regeln zu ändern. Im Allgemeinen versuche ich jedoch, alles in / etc / sysconfig / iptables und zu speichern Verwenden Sie den Befehl "service", um die Konvention einzuhalten, die von den von der Distribution bereitgestellten Tools vorgeschlagen wird.
BGP

Antworten:

12

Da firewalldes sich um eine XML-Konfiguration handelt, ist es für manche möglicherweise einfacher, die Firewall programmgesteuert zu konfigurieren. Dies kann iptablesgenauso gut erreicht werden, jedoch auf eine andere Art und Weise, die nicht XML ist. Wenn Sie bereits mit der Funktionsweise vertraut sind iptables, warum sollten Sie dann Ihre gesamte Konfiguration nach migrieren firewalld?

Wenn Sie Ihren größten iptablesFirewall-Regelsatz in Betracht ziehen , wie oft würden Sie von dem dynamischen Aspekt von profitieren firewalld? In den meisten Fällen ist die Leistung von iptablesnie das Problem. In den meisten Fällen, in denen die Leistung von iptablesein Problem ist, kann dies mithilfe von ipsetQuell- / Ziel-IP-Sätzen behoben werden .

Es ist eine andere Debatte, ob Sie NetworkManager verwenden sollen oder nicht.

vtorhonen
quelle
3
Die Leistung von iptablesist in diesem Fall unerheblich, da die Langsamkeit unabhängig davon auftritt, ob die Regeln über firewallddas iptablesTool oder direkt mit dem Tool eingefügt werden .
Eltern