TL;DR: Sollte ich bei neuen CentOS-Serverinstallationen Firewalld verwenden oder es einfach deaktivieren und wieder zur Verwendung zurückkehren /etc/sysconfig/iptables?
Firewalld und iptables dienen ähnlichen Zwecken. Beide führen Paketfilterung durch – aber wenn ich es richtig verstehe, löscht Firewalld nicht bei jeder Änderung den gesamten Regelsatz.
Ich weiß viel über iptables, aber sehr wenig über Firewalld.
Unter Fedora und RHEL/CentOS wurde die traditionelle iptables-Konfiguration in durchgeführt /etc/sysconfig/iptables. Bei Firewalld befindet sich die Konfiguration in /etc/firewalld/und besteht aus einer Reihe von XML-Dateien. Fedora scheint sich in Richtung Firewalld als Ersatz für diese veraltete Konfiguration zu bewegen. Ich verstehe, dass Firewalld im Hintergrund iptables verwendet, aber es hat auch seine eigene Befehlszeilenschnittstelle und sein eigenes Konfigurationsdateiformat wie oben – worauf ich mich beziehe, wenn ich die Verwendung des einen gegenüber dem anderen beziehe.
Gibt es eine bestimmte Konfiguration/ein bestimmtes Szenario, für das sich jede davon am besten eignet? Im Fall von NetworkManager vs. Netzwerk scheint es, dass NetworkManager zwar als Ersatz für die Netzwerkskripte gedacht war, aber aufgrund seiner fehlenden Netzwerkbrückenunterstützung und einiger anderer Dinge viele Leute es einfach überhaupt nicht auf Server-Setups verwenden. Es scheint also ein allgemeines Konzept zu geben, das besagt: „Verwenden Sie NetworkManager, wenn Sie Linux verwenden desktop/gui, und Netzwerk, wenn Sie einen Server betreiben.“ Das ist nur das, was ich aus dem Lesen verschiedener Beiträge herausgelesen habe – aber es gibt zumindest eine Anleitung, was eine praktikable Verwendung für diese Dinge ist – zumindest in ihrem aktuellen Zustand.
Aber ich habe dasselbe mit Firewalld gemacht und es einfach ausgeschaltet und stattdessen iptables verwendet. (Ich installiere Linux fast immer auf einem Server, nicht für den Desktop-Einsatz.) Ist Firewalld ein wirksamer Ersatz für iptables und sollte ich das einfach auf allen neuen Systemen verwenden?
Antwort1
Da firewalldes auf einer XML-Konfiguration basiert, denken manche vielleicht, dass es einfacher ist, die Firewall programmgesteuert zu konfigurieren. Dies kann iptablesgenauso gut erreicht werden, aber auf eine andere Art und Weise, die nicht XML ist. Wenn Sie bereits mit der Funktionsweise vertraut sind iptables, warum sollten Sie dann Ihre gesamte Konfiguration auf migrieren firewalld?
Wenn Sie Ihren größten iptablesFirewall-Regelsatz berücksichtigen, wie oft würden Sie Ihrer Meinung nach vom dynamischen Aspekt von profitieren firewalld? In den meisten Fällen iptablesist die Leistung von nie das Problem. In den meisten Fällen, in denen die Leistung von ein Problem darstellt, kann dies durch die Verwendung von basierten Quell-/Ziel-IP-Sätzen iptablesbehoben werden .ipset
Ob Sie NetworkManager verwenden sollten oder nicht, ist eine andere Debatte.