firewalld vs iptables - 何時使用哪一個

firewalld vs iptables - 何時使用哪一個

TL;DR 在新安裝的 CentOS 伺服器上,我應該使用firewalld 還是只是停用它並重新使用/etc/sysconfig/iptables


firewalld 和 iptables 有類似的用途。兩者都進行封包過濾 - 但如果我理解正確的話,firewalld 不會在每次進行更改時刷新整個規則集。

我對 iptables 了解很多,但對 Firewalld 知之甚少。

在 Fedora 和 RHEL/CentOS 上 - 傳統的 iptables 設定是在/etc/sysconfig/iptables.對於firewalld,它的配置位於/etc/firewalld/一組XML 檔案中。 Fedora 似乎正在轉向firewalld 作為這種遺留配置的替代品。我確實知道firewalld在底層使用了iptables,但它也有自己的命令列介面和設定檔格式,如上所述——這就是我所說的使用一種與另一種的比較。

是否有最適合的特定配置/場景?在 NetworkMangaer 與網路的情況下,雖然 NetworkManager 可能旨在替代網路腳本,但由於它缺乏網橋支援和其他一些東西,許多人只是不在伺服器設定中使用它全部。因此,似乎有一個普遍的概念:「如果您在 Linux 上desktop/gui,請使用 NetworkManager;如果您正在運行伺服器,則使用網路」。這正是我從閱讀各種帖子中得到的信息 - 但它至少提供了關於這些東西的可行用途的指南 - 至少就它們目前的狀態而言。

但我一直在用firewalld 做同樣的事情,只是將其關閉並使用iptables 代替。 (我幾乎總是在伺服器上安裝linux,而不是用於桌面使用)。 firewalld 是 iptables 的有效替代品嗎?

答案1

由於firewalld基於 XML 配置,有些人可能認為以程式設計防火牆更容易。這iptables也可以透過不同的方式來實現,但不是 XML。如果您已經熟悉其iptables工作方式,為什麼要將所有配置遷移到firewalld

如果您考慮最大的iptables防火牆規則集,您認為您多久會從動態方面受益firewalld?在大多數情況下,效能iptables從來都不是問題。在大多數情況下,效能問題可以透過使用基於來源/目標 IP 集iptables來解決。ipset

是否應該使用 NetworkManager 是一個不同的論點。

相關內容