firewalld vs iptables: cuándo usar qué

firewalld vs iptables: cuándo usar qué

TL;DR En las nuevas instalaciones del servidor CentOS, ¿debería usar firewalld o simplemente desactivarlo y volver a usarlo /etc/sysconfig/iptables?


firewalld e iptables tienen propósitos similares. Ambos filtran paquetes, pero si lo entiendo correctamente, firewalld no elimina todo el conjunto de reglas cada vez que se realiza un cambio.

Sé mucho sobre iptables pero muy poco sobre firewalld.

En Fedora y RHEL/CentOS, la configuración tradicional de iptables se realizó en /etc/sysconfig/iptables. Con firewalld, su configuración reside /etc/firewalld/y es un conjunto de archivos XML. Fedora parece estar avanzando hacia firewalld como reemplazo de esta configuración heredada. Entiendo que firewalld usa iptables bajo el capó, pero también tiene su propia interfaz de línea de comando y formato de archivo de configuración como se indicó anteriormente, que es a lo que me refiero en términos de usar uno frente al otro.

¿Existe una configuración/escenario particular para el que cada uno de estos sea más adecuado? En el caso de NetworkMangaer vs network, parece que aunque NetworkManager puede haber sido pensado como un reemplazo de los scripts de red, debido a su falta de soporte de puente de red y algunas otras cosas, muchas personas simplemente no lo usan en configuraciones de servidor en todo. Por lo tanto, parece haber un concepto general de "use NetworkManager si está en Linux desktop/guiy la red si está ejecutando un servidor". Eso es justo lo que aprendo al leer varias publicaciones, pero al menos da una guía sobre cuál es el uso viable para esas cosas, al menos tal como están en su estado actual.

Pero he estado haciendo lo mismo con firewalld y simplemente lo apagué y usé iptables en su lugar. (Casi siempre instalo Linux en un servidor, no para uso de escritorio). ¿Es firewalld un reemplazo efectivo para iptables? ¿Debería usarlo en todos los sistemas nuevos?

Respuesta1

Como firewalldse basa en la configuración XML, algunos podrían pensar que es más fácil configurar el firewall de forma programática. Esto también se puede lograr de iptablesla misma manera, pero de otra manera, que no es XML. Si ya está familiarizado con el funcionamiento iptables, ¿por qué migraría toda su configuración a firewalld?

Si considera su iptablesconjunto de reglas de firewall más grande, ¿con qué frecuencia cree que se beneficiaría del aspecto dinámico de firewalld? En la mayoría de los casos, el rendimiento iptablesnunca es el problema. En la mayoría de los casos en los que el rendimiento iptableses un problema, se puede solucionar utilizando ipsetconjuntos de IP de origen/destino basados.

Es un debate diferente si se debe utilizar NetworkManager o no.

información relacionada