Артуро Борреро (Arturo Borrero), разработчик Debian, входящий в Coreteam проекта Netfilter и сопровождающий в Debian различные пакеты, связанные с nftables, iptables и netfilter, предложил перевести следующий значительный выпуск дистрибутива Debian 11 на использование nftables по умолчанию. Пакеты с iptables будут переведены в разряд необязательных опций, не входящих в базовую поставку...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=51671
уже давно использую
Мне не нравится firewall-cmd тем, что сложно создать сложное парвило. Например, открыть порт только для одного ip. rich rules сложно реализовали...
Ничего страшного... Остальным это не надо. Понимаете, надо упрощать! Порт ssh не стандартный? Для открытия порта надо сделать кнокинг? Это же так не стандартно и вообще никому не нужно. Ешьте что дали!
Тише, тише. Для этого в firewall-cmd нужно только удалить сервис ssh из используемой зоны, а остальное настраивается в /etc/knockd.conf:Command = /bin/firewall-cmd --zone=public --add-rich-rule="rule family="ipv4" source address="%IP%" service name="ssh" accept"
Command = /bin/firewall-cmd --zone=public --remove-rich-rule="rule family="ipv4" source address="%IP%" service name="ssh" accept"
Это шито??? Синтаксис?? Да там охренели все? Мои глаза сломались.
Ой это команда из винды?
Это конфиг knock-server.
генту устанавливается в три простые команды...
Чем ЭТО лучше простого iptables в конфиге? Тем что модномолодежно?
это же systemd, или ты против прогресса ?
Причем тут systemd? А, ну если ты просто его хейтер, тогда это всё обьясняет
при том, что ещё (максимум) пару раз обновиться, и без systemd "огонь-стена" не будет заводится.
"Лягушек нужно варить медленно" (с)
http://tsya.ru/mnemonic.html
>Причем тут systemd?A привязка к DBus не о чем не говорит?
>> Причем тут systemd?
> A привязка к DBus не о чем не говорит?Нуу мне говорит скорее про "кнопочку в трее" и прочий максимум десктопный уровень "безопасности"...
> "Firewalld запускается в виде фонового процесса, позволяющего динамически изменять правила пакетного фильтра через DBus"
Не всё то systemd, что прибито к dbus.
AFAIK,
D-Bus зависимость - "logind", который есть part of systemd
Не хочешь — не пользуйся.
> add-rich-ruleкак смотрится бохато!
> --add-rich-rule="rule family="ipv4"
вот только за тройные ковычки в cli поубивал бы.
Почему тройные?--add-rich-rule=
"
rule family="ipv4" source address="%IP%" service name="ssh" accept
"
Он пытался сказать «вложенные двойные».
От этого синтаксис менее yблюдочным не становится.
А ты бы как сделал?
Неосилятор? firewall-cmd --service=ssh --add-port=40022/tcp
Вот только не забудьте напомнить им еще:
semanage port -a -t ssh_port_t -p tcp 40022
а то эти неосиляторы меняют стандартный порт на ssh во имя безопасности, но при этом отключили или не имеют selinux.
Напоминает: https://www.youtube.com/watch?v=Ji0nmstAMOk
Он спрашивал про firewalld.
Ждем selinuxD.
firewall-cmd --permanent --zone=public --add-rich-rule='rule family="ipv4" source address="1.2.3.4/32" port protocol="tcp" port="4567" accept'Не сложно.
> Например, открыть порт только для одного ipЭто как раз таки просто сделано:
firewall-cmd --permanent --new-zone=test
firewall-cmd --permanent --zone=test --add-source=a.b.c.d/net
firewall-cmd --permanent --zone=test --add-port=tcp/22
firewall-cmd --reloadОпределил зону. Внёс в неё нужные адреса или сети и открыл всё, что нужно.
Вот для того, чтобы сделать маршрутизатор firewall-cmd не удобен, да. И то простой проброс сделать просто.
>> Например, открыть порт только для одного ip
> Это как раз таки просто сделано:Вчетверо проще, чем одной строчкой iptables, действительно.
Соединения и в iptables при перегрузке правил не рвались. Эка новация!
Подтверждаю, ни единого разрыва с ноября прошлого года
Подтверждаю. С фига ли им рваться если conntrack не сбрасывать.
Тем не менее, происходила перезагрузка всех правил.
>через DBusсовсем озверели? сначала от dbus этой отвяжите, сделайте чтобы те у кого уже есть правила iptables не обламались, тогда можно подумать. systemd уже впилили всем на радость, бракоделы хреновы
Ну firewalld пока что безболезненно выпиливается даже из шапки… Кажется… Надо бы проверить на всякий.
да, без проблем выпиливается одной командой
так в этом и смысл - интеграция с systemd ;-)
Мы учтём Ваше мнение.
А может сразу уже поставить CentOS и не изображать разработку независимого дистрибутива? Ликвидность проекта Debian с каждым годом всё ближе и ближе к нулю.
Ни для кого не новость, дебилиан берут исключительно по старой привычке. Проект совершенно скурвился.
Ииии??? В замен что уже берут?
Убунту :)
Ставьте в продакшен Manjaro, который не грузится после чистой установки, установки обновлений, перезагрузки. Сарказм.
Надо было ставить FreeBSD.
Windows 10, очевидно же.
ну пока ещё миксер (МХ) живёт на демьяне без s-d. Опть же - "диван". Хотя как по мне - последний глюкавее (первый тоже местами не подарок, но в целом народ пока "горит", а потому допиливают ореперативно. Опять же требования к железу нормальные)
>ну пока ещё миксер (МХ) живёт на демьяне без s-d.каким образом у вас MX без systemd? Пробовал 18.3 c xfce стоит там systemd, более того, при попытке выпилить её, так же как и в Debian норовит с собой снести пол DE.
> каким образом у вас MX без systemd?оно там "по требованию" - при желании можно в грубе выбрать и запуститься под ним, а так systemV+шимка (systemd-shim) в деле. SysD на диске есть (что бы то самое DE его видело), но не работает (шимка вместо) - любая попытка вызвать в терминале что-то специфическое для s-d вызывает ругань на предмет "ты с начала запустись под ним, а потом требуй")
Кстати - наглядный пример того, как sys-d въедается всистемы и насколько труднее с каждым днём становится его выпилить (но пацаны вроде стараются. Да и 19й к НГ обещает быть конфеткой).Хотите совсем что бы не было в системе - ставьте его старшего брата: antiX (у них даже сайт один) - там голый SystemV.
Правда там своё DE доставлять надо (и фиг знает что сейчас встанет из приличного, что бы не было на s-d завязок. Тот же XFCE уже что-то да притянет. Разве что кеды, но я их не ношу - не знаю как там) - по жизни-то он на убогом IceWM (там рашпиль нужен, что бы до нормального вида довести - валяется на хабре). Зато и работает на металлоломе :)ЗЫ. Для кричащих о васяноподелках - антикс с 2007 пилится и помирать не собирается, а миксер (с 14го) просто его версия "для домохозяек" (у мну в хсубунте минут тридцать доставлять софт и дошлифовыать надо, а на 19м миксере всё и сразу - как под меня делали. И не хуже. Вот подлечат там пару бажиков и перееду на него совсем: он даже работает "приятнее". Опять же "демьян" в основе :)) )
>оно там "по требованию" - при желании можно в грубе
>выбрать и запуститься под ним, а так systemV+шимка
>(systemd-shim) в деле. SysD на диске есть (что бы то самое DE его видело),
>но не работает (шимка вместо) - любая попытка вызвать в терминале
>что-то специфическое для s-d вызывает ругань на предмет
>"ты с начала запустись под ним, а потом требуй")Спасибо за разъяснение, поверю вас на слово, думал что там можно выпилить systemd полностью, как это грозились сдедать деванщики, но так и не смог, оно тянуло для удаления, считай все функциональные части DE (xfce).
>Кстати - наглядный пример того, как sys-d въедается всистемы и насколько
>труднее с каждым днём становится его выпилить (но пацаны вроде стараются.
>Да и 19й к НГ обещает быть конфеткой).Я в курсе этой отвратительной практики, самое досадное то, что именно в Debian systemd специально привязывают в качестве зависимостей на всё что можно, в том же форке без systemd на основе Arch гораздо проще поставить sysvinit.
>Хотите совсем что бы не было в системе - ставьте его старшего брата:
>antiX (у них даже сайт один) - там голый SystemV.
>Правда там своё DE доставлять надо (и фиг знает что сейчас встанет из приличного,
>что бы не было на s-d завязок. Тот же XFCE уже что-то да притянет.Спасибр, но про antiX я в курсе, по этой причине поставил именно его, и там уже не было systemd совершенно, т.к. изкоробочный antiX поставляется только с wm, я попробовал накатить привычную по Debian комбинацию: xfce+lighdm+network-manager, и всё получилось, заработало, немного странно после установки работает network-manager, но по крайней мере он позволяет выдернуть провод и вставить снова - сеть также будет работать, в отличие от девана, где такое уже не прокатывает (деванщики в итоге оказались немного криворучки, они и lightdm не осилили завести c sysvinit и заменили slim'ом + ещё несколько косяков не порешали), кстати antiX ставил последней версии - 19, так что вы зря беспокоитесь, по крайней мере xfce+lightdm+network-manager+sysvinit, без systemd, там вполне себе нормально работает, в отличие от MX и Devuan.
> самое досадное то, что именно в Debian systemd специально привязывают
> в качестве зависимостей на всё что можно, в том же форке без systemd
> на основе Arch гораздо проще поставить sysvinit.Н-да. Ну гляньте альт ещё тогда при случае:
http://altlinux.org/Starterkits/Download
http://altlinux.org/sysvinit
http://forum.altlinux.org/index.php?topic=36177
> Н-да. Ну гляньте альт ещё тогда при случае:
> http://altlinux.org/Starterkits/Download
> http://altlinux.org/sysvinit
> http://forum.altlinux.org/index.php?topic=36177Приветствую, Михаил!
Я смотрел когда-то и в на Альт, но насколько я помню у вас все сборки без systemd были только на разных wm и TDE. По вашим ссылкам я не вижу где там у вас есть сборка sysvinit + xfce + NM + lightdm, может я в глаза долблюсь, но к сожалению не вижу, по поводу последних ссылок, занятно, возможно рецепты эти вполне можно реализовать успешно, не только в Альте, но даже возможно они помогут ещё в каком-то дистрибутиве, только вот, я в разговоре сетовал на кривосборочность Devuan и не совсем честное отсутствие systemd у MX, так, если потанцевать с бубном и покопаться в настройках даже в Devuan можно будет добиться должной работы, досадно то, что товарищи позиционируют свой дистрибутив как старый добрый Debian, что какбэ намекает на качество, а по сути собрали как получилось и посчитали, что - "А, так сойдёт!".
Ну что мешало добавить исправления позже, но они этого не сделали, как не выпустили образов с исправлением проблемы с apt, тогда как даже Убунта выкатила срочное обновление установочного образа из-за этой проблемы, а деванщикам как-то пофиг, как было собрано с самого начала, так и осталось по сию пору, что говорит о многом о самой команде, зато можно трещать на форумах и чатах, что они сопротивленцы и ветераны админы линуха, и всячески задабривать посещающих обещаниями, что вот они колаборируют с этими и вот мс этими, и теперь ещё крепче будет борьба против systemd, вы бы хоть то что уже навелосипедили довели до ума чтоль, чтобы было не стыдно называться аналогом Debian, а то напоминают современных крикунов смузихлёбов, которые больше всего усилий делают на фронте громких криков в сети, чтоб больше внимания привлечь.P.S.: Прошу прощения за бугурт, просто устал от новомодной волны борцунов за всё хорошее, против всего плохого.
>> Н-да. Ну гляньте альт ещё тогда при случае:
>> http://altlinux.org/Starterkits/Download#livecd
>> http://forum.altlinux.org/index.php?topic=36177
> Я смотрел когда-то и в на Альт, но насколько я помню у
> вас все сборки без systemd были только на разных wm и TDE.Как минимум на Xfce довольно активно дорабатывается, собственно, потому ссылку на соответствующую развесистую тему форума тоже добавил (тут же его и обсуждали).
> где там у вас есть сборка sysvinit + xfce + NM + lightdm
По первой ссылке (добавил "#livecd" для большей точности):
---
Устанавливаемые LiveCD
Эти сборки в качестве системы инициализации используют в основном systemd, за исключением gnustep, icewm и xfce-sysv, где применяется sysvinit.
---Вот прямая ссылка на [симлинк на] текущую исошку для удобства: http://nightly.altlinux.org/p9/permalink/alt-p9-xfce-sysv-la... -- сейчас там чуть меньше гига.
С конструктивными замечаниями и предложениями лучше всего вот в ту ветку альтового форума, там и Speccyfighter водится как главный заинтересованный, и текущий выпускающий стартовые наборы; я тоже порой забегаю на огонёк.
Ну и я пару лет назад делал да выкладывал для кого-то попросившего пробный образ на сизифе: http://nightly.altlinux.org/sisyphus/alpha/regular-mate-sysv... -- если такой понравится больше, можно попробовать обновить и заодно собрать на текущей стабильной ветке, благо она свежая совсем: http://altlinux.org/p9
> по поводу последних ссылок, занятно, возможно рецепты эти вполне можно
> реализовать успешно, не только в Альте, но даже возможно они помогут
> ещё в каком-то дистрибутивеНадеюсь...
> только вот, я в разговоре сетовал на кривосборочность Devuan и не
> совсем честное отсутствие systemd у MXlibsystemd и что-то из утилит будет и в альте -- чтобы выпереть и их, надо либо делать source-based distro, либо устраивать отдельный репозиторий вроде такого: http://ftp.altlinux.org/pub/projects/diogenes/ZT/whatisit.txt -- там, кстати, есть более-менее всё нужное для довольно развесистого софтроутера, см. тж. http://altlinux.org/NetDev
> досадно то, что товарищи позиционируют свой дистрибутив как старый добрый
> Debian, что какбэ намекает на качество, а по сути собрали как
> получилось и посчитали, что - "А, так сойдёт!".Нуу в таких случаях обычно есть смысл "походить по рыночку" и если ничего лучше всё равно не найдётся, а надо -- помочь делать.
> P.S.: Прошу прощения за бугурт, просто устал от новомодной волны борцунов
> за всё хорошее, против всего плохого.Очень хорошо понимаю, но эмоциями делу точно не поможешь, а разве что двуручным напильником; проверено.
>Для кричащих о васяноподелках - антикс с 2007 пилится и помирать
> не собирается, а миксер (с 14го) просто его версия "для домохозяек"
> (у мну в хсубунте минут тридцать доставлять софт и дошлифовыать надо,
> а на 19м миксере всё и сразу - как под меня
> делали. И не хуже. Вот подлечат там пару бажиков и перееду
> на него совсем: он даже работает "приятнее". Опять же "демьян" в
> основе :)) )Насчёт 19 MX, они же вроде ещё даже RC вот меньше суток назад выкатили, а до этого они писали что настоятельно не рекомендуют пробовать обновляться с последней беты до релизной версии, когда она выйдет, потому что с большей вероятностью повылезают какие-нибудь проблемы, и эта версия только для теста, а 19 стоит ставить с нуля, когда она выйдет, может быть я ошибаюсь, но как я понял они не заморачиваются с переходными пакетами, как тот же Debian, и судя по вашим подробным сообщениям вы производите впечатление пользователя MX с каким-то опытом, скажите пожалуйста, как этот дистрибутив ведёт себя при переезде срелиза на релиз, когда уже следующий выходит? Получается ли у MX безпроблемно обновляться, или же там всё так е печально как у linuxmint, которые всегда рекомендуют ставить новый релиз на чистую с нуля?
Нуу некоторые сперва кладут, затем есть что взять.
Fedora/RHEL
А такие как ты тока ноют тут и ноют, нет взять да как сделать лутше.
Чтобы потом такие, как ты, сказали ему "нинужна, фу, маргинальщина, васяноподелие"?
Это ты уже додумал за меня и за меня решил. Но ничо ничо лелей себя и ной дальше.
>А может сразу уже поставить CentOS и не изображать разработку независимого дистрибутива? Ликвидность проекта Debian с каждым годом всё ближе и ближе к нулю.Почему нет кубунту и минт от центоса?
Может быть потому, что пользователи CentOS видят её исключительно через окно PuTTy и Terminal.app ???
Зачем тогда это рекламировать на каждом углу?
Спроси у Денисок Поповых из Debian.
Есть как минимум одно учреждение в РФ, причём очень государственное и таки даже стратегически важное (нет, не военные и не службисты), где CentOS успешно используют в качестве десктопа. И пока что не собираются отказываться от этой практики.
Независимый девуян.
>Независимый девуян.он не независим, а таки очень зависит от Debain и от его инфраструктуры, а то что они там объявили про пересборку пакетов для отвязки от systemd, так они пересобирают, и отвязывают, но замещают довольно криво, т.е. нет такого качества, как было в Debian до переезда на system, десктопы девана производят впечатление васянской сборки, коих полно на рутрекуре, зато они громко борцунствуют на всевозможных форумах и прочих площадках, жаль только словестно.
Тогда как тот же antiX не пукая громко в лужу, собирает таки дистрибутив, где DE живёт без systemd вполне себе пролноценно, и да, именно DE, т.е. можно свободно установить xfce или mate из репов штатными средствами, с нужными компонентами и не надо будет никаких бубнов, чтобы это всё работало.
а разве последний xfce (4.14) уже не хочет что-то видеть там из sysd? Крыса времён 14й убунты (4.10?) точно не хотела, а новой же вроде нужно - или я что-то проспал?
Я даже не уверен, что LХDE уже может без этой наркоты, не говоря уже о том, что на третьем гноме сделано.
А так да - антикс штука, похоже, зачётная.
Кстати - нет ли кнопикс тоже с с sysd свалил (на какой-то knoppix-autoconfig)ЗЫ. Пробовал на своём "диван" завести - "ниасилил"(tm). То тут не взлетает, то там отваливается - думаю, что из за старогоо "демьяна". У меня и на чистой-то половина не взлетат, а допиливать лень - я уже старенький и "у меня лапки"(с)
"И жить неохота и застрелиться лень"(с)
> а разве последний xfce (4.14) уже не хочет что-то видеть там из
> sysd? Крыса времён 14й убунты (4.10?) точно не хотела, а новой
> же вроде нужно - или я что-то проспал?Даже если крыса от разработчиков и позволяет не использовать systemd безальтернативно, то кто же ей даст альтернативу в Debian. они там наоборот сосутся в дёсны с systemd, такое впечатление, что ещё крепче, чем в красношляпных отпрысках. В своё время на заре всего этого бугурта вокруг systemd команда xfce обещала оставлять возможность работы с альтернативами systemd, пруфов искать не буду, лениво, но вроде даже было на опеннете.
По воводу того может ли работать новый xfce без systemd, ну гентушники же как-то осиливают такое провернуть, а между прочим деванщики кричали что будут портировать к себе решения гентушнеков и просто опакечивать systemd-зависимые пакеты в deb, но как видим antiX на текущий момент, пусть даже и со стабильного Debian осилили, а деванщики даже прошлый релиз так и нешмогли нормально сделать, чтоб не стыдно было, если от девана ставить вариант с DE, то преследует ощущение наколенного поелия, в отличие от того же antiX, а что касается безиксового серверного варианта, про который тут в соседнем треде возмущался бравый деванист, так в без иксов и в Debian по сию пору пожно поставить, хоть runit, хоть sysvinit, хоть с openrc, может быть это со временем сломают в Debian, но на момень всей этой драмы вокруг Debian, Devuan и с/без systemd всё крутилось именно вокруг "десктопного вопроса".
Когда CentOS научиться обновляться до следующей версии, тогда и поговорим. А то сейчас даже винда(sic!) уже худо-бедно научилась обновляться с версии на версию (8->10), а центось всё никак не осилит.
рано, надо еще годика 2-4 попревращать его в центось
netfilter - да. firewalld - нет.
Куча програмок перестанет работать. Зачем оно мне? Чем дальше дебиан развивается, тем он дальше от своих пользователей. Мирок сам в себе.
пользуюсь ufw, для меня что-то поменяется?
ufw - надстройка над iptables. Его собираются вывести из предустановленных по умолчанию пакетов, но в репах оно остается.Так что нет - ничего не поменяется
установил Debian 10.1 через netinstall, поставил кучу сервисов, докеров... после чего ufw появился только после apt install, не был предустановлен
Писать сложные правила по логике firewalld это просто ад. Rich rules по сути тот же iptables, но с надстройкой, которая только путаницу создает.
Попробовали настроить его для OpenVPN-сервера - вполне работоспособно, но через пару месяцев сами с трудом поняли, что и для чего сделано. Переделали по старинке - просто и понятно.
Единственное для чего применим и логичен firewalld это всевозможные гипервизоры - KVM, Virtuozzo, Kubernetus (Docker) и прочие. Сложные правила там бывают редко т.к. в большинстве случаев представляют собой список сетей из которых можно управлять сервером + зоны для различных VM или контейнеров.
Еще firewalld может пригодится, если правила часто меняются скриптами - если скриптов много то очень легко проморгать ситуацию, которая всё сломает.
Ставить по умолчанию firewalld я бы не стал, а сделал бы рекомендуемым при установке libvirt, docker и т.п.
И вот он наш спаситель, первый кто не стал ныть а обьяснил на примере зачем нам это надо.
Редкий случай, когда в каментах нашёлся не просто пользователь онтопика, а пользователь линукса вообще...
Rich rules конечно не очень удобно сделано, вот ipset, zones и привязка сетевых интерфейсов к зонам очень удобна. Особенно когда на серваках интерфейсы с разными именами и особенно для управления системами упражнения конфигурациями.
Если нормально разобраться то в случае большого количества правил, firewalld гораздо нагляднее и удобнее чем по старинке.
Единственное, черезжопная работа проброса порта с одного сетевого интерфейса на другой той же машины. Да и сделать это можно только на половину.
>Rich rules по сути тот же iptables, но с надстройкой, которая только путаницу создает.firewalld может использовать в качестве бэкенда как iptables, таки и nftables. И именно для этого развели зоопарк со своим собственным, стремным вариантом синтаксиса правил. Лучше бы сразу определились :(
firewalld без systemd не работает, да?
к след мажорному релизу уже нет
И это хорошо. Надо усиливать присутствие сд чтобы о башпортянках все забыли как о страшном сне.
А если не вызывать в каждой строчке внешние команды, а использовать встроенные возможности Bash по обработке строк, работе с массивами и т.д., то получается элитная портянка!
Поколение Next-Next ?
Ага, и очередной торчок впридачу.
А причём тут какой-то Next-Next к тому, что Bash - это ужас?
Правильно глаголишь, true админы пишут на классическом sh/dash :)
Но боюсь Next-Nextу не понять...
> Правильно глаголишь, true админы пишут на классическом sh/dash :)dash сам по себе глючный ужас, увы.
> Но боюсь Next-Nextу не понять...
...в квадрате.
Это утёнку не понять чего-то. Потому что он считает что-то увиденноеb и привычное идеалом.
Вот и всё.
Короче время идёт. Технологии меняются.
Не низменными остаются люди $CURRENT-1 технологии круче чем $CURRENT
Какому-то поколению не понять.Ну и так же от фанатизма зависит, когда я пишу костыли на BASH, то я пишу костыли на BASH.
А для кого-то это прикосновение к мудрости древних друидов.
> Короче время идёт. Технологии меняются.
> Не низменными остаются люди $CURRENT-1 технологии круче чем $CURRENT
> Какому-то поколению не понять.На чистом шеле пишут во основом для переносимости и самое главное для секъюрности(т.к. "о великий баш" имеет сетевую поддержку, что очень любят зacранцы-кулхакеры и первое что они делают при успешном хаке, так это - реверс шел на свою тачку через баш, ибо баш везде(почти)), а также потому что, - это работало, работает и будет работать одинаково сквозь десятилетия, независимо от типа используемого юникса, а не из-за закостенолости и не желания учить что то новое...
Но это приходит к сожалению только с годами...
Ну не доходит.Понимаешь разницу между "необходимостью" и "как бы лучше без нелепого легаси"?
Я даже не знаю как ограниченному максималисту это объяснить, это самому понять надо. Ну вот чтобы проще может быть:
Big Endian и Little Endian. Ну мало логики, как не крути, но вот так получилось.
Человек с ЧСВ типа тебя будет даже чесать своё достоинство рассказывая про Гулливера. Что вот нажо книжки читать. И прочее... От этого особо больше логики не будет. Ну вот так сложилось.
Так и тут.
Не, ты не пони, ты просто обыкновенное невоспитанное - хaмло...
> И это хорошо. Надо усиливать присутствие сд чтобы о башпортянках все забыли
> как о страшном сне.Судя по твоим стонам, ты баш ещё в трёх поколениях вспоминать будешь.
Уже записался на лоботомию (Право Забыть), или сначала других зазываешь?
А что конкретно тебе не нравится в bash?
когда rpm как основной пакетный менеджер ждать?
не rpm, а yum (dnf не ждите, в дебиане любят несвежее).
И толку с yum без rpm?
Спрашивали пакетный, а не репозиториев.
Уже давно есть https://tracker.debian.org/pkg/rpm
Жаль, что пока нет годного мануала по nftable на русском, может кто напишет?
Его и на английском-то нет. Хочешь понять, как оно работает или не работает - сиди и кури сорцы. Причём самое поганое - не только юзерспейсной утилиты, но и собственно /net/netfilter в ядре.
>например, для открытия доступа к SSH нужно выполнить "firewall-cmd --add --service=ssh", для закрытия SSH - "firewall-cmd --remove --service=ssh"А откуда ему знать на каком порту работает ssh?
у него в файле /etc/services записано
man 5 services
/etc/services ?
# cat /etc/ssh/sshd_config | grep 'Port'
Port 22022# cat /etc/services | grep 'ssh'
ssh 22/tcp # SSH Remote Login Protocol
> Для управления межсетевым экраном используется утилита firewall-cmd, которая при создании правил отталкивается не от IP-адресов, сетевых интерфейсов и номеров портов, а от названий службВсе-таки каждый должен заниматься своим делом. Зачет фраерволу знать именя служб и прочее. Лишнее наслоение, которое нужно отчечь бритвой Оккама.
Модно и молодёжно... кстати заделать комплексные правила в firewalld увы нельзя....
/etc/services ?
А это и не имена служб вовсе, это просто поименованные шаблоны правил, которые для удобства назвали именами служб.
Нормальный application firewall в линуксе по-прежнему недоступен.
Douane — https://douaneapp.com/
FirewallD вроде как из красношляпы родом? Опять впердоливание всякого ???
бета тестеров не хватает.
> FirewallD вроде как из красношляпы родом? Опять впердоливание всякого ??Ну пишите сами, а не ждите, пока красношляпа вам напишет.
> Ну пишите сами, а не ждите, пока красношляпа вам напишет.А мне и iptables как-то жить не мешает. И даже (хипстерам назло) - SysVInit! :D
кто-нибуть потом обязательно запилит свой недодистр "debian без nftables"
Я буду просто редактировать /etc/nftables.conf. Это покрывает 100% моих потребностей.А firewalld удалять или вырубать.
Ничего не имею против firewalld, удобная обвязка, но мне вот что не с ней не понятно:
1. Почему она не имеет штатной возможности объявить SNAT без rich rule? Когда я последний раз ею пользовался, оно умело маскарад в привязке к сетевому интерфейсу, что конечно же хватит многим, но не всем.
2. Отсутствует штатная возможность без rich rule разблокировать некоторые протоколы для сетевых интерфейсов, например vrrp.Приду пример:
Есть 2 сервера, на каждом из которых 2 сетёвки. Первая смотрит видит сеть 192.168.192.0/24, а вторая 10.10.10.0/24. Назначены IP 192.168.192.100, 10.10.10.100 и 192.168.192.101, 10.10.10.101 соответственно.
Также есть keepalived, в котором есть 2 инстанса и они объединены в группу. Получились 2 VIP: 192.168.192.168 и 10.10.10.10Если мы создадим SNAT 192.168.192.168 -> 10.10.10.10 и установим 10.10.10.10 как default gateway для машинок в сети 10.10.10.0/24, то у нас появился отказоустойчивый роутер.
Если мы настроим группу серверов из сети 10.10.10.0/24 на keepalived, то сможем организовать L4 Load Balancing посредством манипуляций с DNAT для клиентов из 192.168.192.0/24 при условии отсутствия клиентов в 10.10.10.0/24.
Это совершенно типовая задача, ну как 2 пальца об асфальт, но вот firewalld, который обвязка над iptables/nftables почему-то:
1) Не работает с VIP, судя по всему by design
2) Не работает с SNAT, попросту не умеет.
3) Требует инородных, ручных правил для работы с разрешением мультикаст-протокола.
И вот этим-то он и отталкивает, на самом деле. Нахрена нужна обвязка над iptables, для работы с которой пользователю (в этом случае администратору, но всё равно он выступает как пользователь) нужно знать сразу несколько синтаксисов и firewalld и iptables, а теперь еще и nftables. Очень спорный продукт...
> Нахрена нужна обвязка над iptables, для работы с которой пользователю
> (в этом случае администратору, но всё равно он выступает как пользователь)
> нужно знать сразу несколько синтаксисов и firewalld и iptables,
> а теперь еще и nftables.Типичный результат разработки контингентом, который планирует жарку слона, ощупав хвост, увы...
shorewall превратится в тыкву или нет?
Интересно, а когда поддержку netsh завезут ...
Пусть базовая поставка Debian будет какой угодно, главное чтобы можно было его настроить, как необходимо под себя.
Использование firewalld для меня обычно заканчивалось пачкой rich rule и просмотром выхлопа iptables-save, т.к. нифига не понятно что он там наколбасил на самом деле.В общем лишняя прослойка которая в основном только усложняет жизнь, а не
упрощает.Nftables одобряю.
Погодите... я десятку поставил, там УЖЕ nftables. wtf??
Дебиан идёт по стопам Федоры.
Что интересно, ФИО предлагателя firewalld не упомянули. Скрывается, мерзавец.