TL;DR 新しい CentOS サーバーのインストールでは、firewalld を使用する必要がありますか、それともそれを無効にして、再び使用する必要があります/etc/sysconfig/iptables
か?
firewalld と iptables は同様の目的を果たします。どちらもパケット フィルタリングを行いますが、私の理解が正しければ、firewalld は変更が行われるたびにルール セット全体をフラッシュするわけではありません。
私は iptables についてはよく知っていますが、firewalld についてはほとんど知りません。
Fedora と RHEL/CentOS では、従来の iptables 構成は で行われていました/etc/sysconfig/iptables
。firewalld では、その構成は にあり/etc/firewalld/
、XML ファイルのセットです。Fedora は、この従来の構成の代わりとして、firewalld に移行しているようです。firewalld が内部で iptables を使用していることは理解していますが、上記のように独自のコマンド ライン インターフェイスと構成ファイル形式も備えています。これが、どちらを使用するかという点において私が言及しているものです。
これらそれぞれに最適な特定の構成/シナリオはありますか? NetworkMangaer とネットワークの場合、NetworkManager はネットワーク スクリプトの代替として意図されていたかもしれませんが、ネットワーク ブリッジのサポートやその他のいくつかの問題により、サーバー セットアップではまったく使用されていないようです。したがって、「Linux を使用している場合は NetworkManager を使用しdesktop/gui
、サーバーを実行している場合はネットワークを使用する」という一般的な概念があるようです。これは、さまざまな投稿を読んで私が理解した内容にすぎませんが、少なくとも現在の状態では、これらの機能の使用方法についてのガイドになります。
しかし、私は同じことをfirewalldでも行っており、firewalldをオフにして、代わりにiptablesを使用しています。(私はほとんどの場合、デスクトップ用ではなくサーバーにLinuxをインストールしています)。firewalldはiptablesの効果的な代替品ですか?また、すべての新しいシステムでfirewalldを使用するべきでしょうか?
答え1
はfirewalld
XML 構成に基づいているため、ファイアウォールをプログラム的に構成する方が簡単だと考える人もいるかもしれません。 これはiptables
、XML ではない別の方法でも同じように実現できます。iptables
の動作をすでに理解している場合、すべての構成を に移行する理由は何でしょうかfirewalld
。
最も大規模なファイアウォール ルール セットを検討した場合iptables
、 の動的な側面からどの程度の頻度でメリットを得られると思いますかfirewalld
? ほとんどの場合、 のパフォーマンスはiptables
問題になりません。 のパフォーマンスが問題になるほとんどの場合、 に基づく送信元/宛先 IP セットiptables
を使用することで修正できます。ipset
NetworkManager を使用するべきかどうかは別の議論です。