.png)
Я провожу пилотный проект по развертыванию Fedora 20, и, несмотря на наличие внешней защиты брандмауэра, местные правила гласят, что мне необходимо активировать отдельные брандмауэры на каждом хосте.
Теперь здесь новый король — firewalld, и я изучаю его приемы.
Теперь у меня есть очищенный список портов, после объявления (непубличной) зоны по умолчанию и некоторых типичных служб, а также определенной службы, все, похоже, работает нормально.
Однако при применении любых изменений (режим --permanent) и перезагрузке брандмауэра с помощью:
# firewall-cmd --reload
занимаетслишком много времени, порядка 10+ минут, чтобы закончить команду - которая весело заканчивается "успехом". Компьютер в основном бесполезен в течение всего этого времени, так как теряется связь.
Но после этого всё работает так, как и ожидалось.
Логи пока бесполезны...
Запуск/остановка службы работает отлично, занимает 1–2 секунды, чего и следовало ожидать.
Может быть, я что-то упускаю/пропускаю? Как можно устранить это раздражающее поведение?
Спасибо
решение1
Что касается устранения неполадок, здесь объясняется, как включить отладочную информацию в firewalld:
https://lists.fedorahosted.org/pipermail/firewalld-users/2013-February/000049.html
Возможно, вы также могли бы попробовать:
# firewall-cmd --complete-reload
из firewall-cmdстраницы руководства:
Полностью перезагрузите брандмауэр, даже модули ядра netfilter. Это, скорее всего, прервет активные соединения, поскольку информация о состоянии будет утеряна. Эту опцию следует использовать только в случае серьезных проблем с брандмауэром. Например, если есть проблемы с информацией о состоянии, из-за которых невозможно установить соединение с правильными правилами брандмауэра.
Если --complete-reloadокажется, что это быстрее, это может быть в пользу вашей теории висячего соединения.