DR Nas novas instalações do servidor CentOS, devo usar o firewalld ou apenas desativá-lo e voltar a usar o /etc/sysconfig/iptables?
firewalld e iptables servem a propósitos semelhantes. Ambos fazem filtragem de pacotes - mas se bem entendi, o firewalld não libera todo o conjunto de regras cada vez que uma alteração é feita.
Eu sei muito sobre iptables, mas muito pouco sobre firewalld.
No Fedora e RHEL/CentOS - a configuração tradicional do iptables era feita em /etc/sysconfig/iptables. Com o firewalld, sua configuração reside /etc/firewalld/e é um conjunto de arquivos XML. O Fedora parece estar migrando para o firewalld como um substituto para esta configuração legada. Eu entendo que o firewalld usa iptables nos bastidores, mas também possui sua própria interface de linha de comando e formato de arquivo de configuração como acima - que é a que estou me referindo em termos de uso de um versus o outro.
Existe uma configuração/cenário específico para o qual cada um deles é mais adequado? No caso do NetworkMangaer vs rede, parece que embora o NetworkManager possa ter sido concebido como um substituto para os scripts de rede, devido à falta de suporte à ponte de rede e algumas outras coisas, muitas pessoas simplesmente não o estão usando nas configurações do servidor em todos. Portanto, parece haver um conceito geral de "use o NetworkManager se você estiver no Linux desktop/guie a rede se estiver executando um servidor". Isso é exatamente o que aprendi ao ler vários posts - mas pelo menos fornece um guia sobre o que é um uso viável para essas coisas - pelo menos no estado atual.
Mas tenho feito a mesma coisa com o firewalld e apenas desligá-lo e usar o iptables. (Quase sempre instalo o Linux em um servidor, não para uso em desktop). O firewalld é um substituto eficaz para o iptables e devo usá-lo apenas em todos os novos sistemas?
Responder1
Como firewalldé baseado na configuração XML, alguns podem pensar que é mais fácil configurar o firewall de forma programática. Isso iptablestambém pode ser alcançado , mas de uma maneira diferente, que não é XML. Se você já está familiarizado com o iptablesfuncionamento, por que migraria toda a sua configuração para firewalld?
Se você considerar seu maior iptablesconjunto de regras de firewall, com que frequência você acha que se beneficiaria do aspecto dinâmico do firewalld? Na maioria dos casos, o desempenho iptablesnunca é o problema. Na maioria dos casos em que o desempenho iptablesé um problema, pode ser corrigido usando ipsetconjuntos de IP de origem/destino baseados.
É um debate diferente se você deve ou não usar o NetworkManager.