Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Выпуск межсетевого экрана firewalld 1.3"	+/–
Сообщение от opennews (??), 06-Янв-23, 07:37
Опубликован релиз динамически управляемого межсетевого экрана firewalld 1.3, реализованного в форме обвязки над пакетными фильтрами nftables и iptables. Firewalld запускается в виде фонового процесса, позволяющего динамически изменять правила пакетного фильтра через D-Bus, без необходимости перезагрузки правил пакетного фильтра и без разрыва установленных соединений. Проект уже применяется во многих дистрибутивах Linux, включая RHEL 7+, Fedora 18+ и SUSE/openSUSE 15+. Код firewalld написан на языке  Python и распространяется под лицензией GPLv2... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=58437
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 06-Янв-23, 07:37	+/–
А как оно определяет нестандартные порты сервисов?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #2, #3, #63

2. Сообщение от Аноним (2), 06-Янв-23, 07:43	+2 +/–
Чот мне кажется никак.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

3. Сообщение от УмЛинуса (?), 06-Янв-23, 07:56	+5 +/–
Никак. Ручками вводим.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

4. Сообщение от Аноним (4), 06-Янв-23, 08:06	+1 +/–
Прекрасная альтернатива страшному iptables. Правила хранятся в декларативном виде в XML-файле. А в iptables предлагается писать императивные баш-портянки со страшным синтаксисом. Если в этом мире и есть что-то лучше, чем firewalld, так это nftables, где тоже декларативно описываешь правила в симпатичном nft-файле. firewalld - для домохозяек (в хорошем смысле), nftables - для профессионалов, а iptables - для ходячих доказательств простой истины "старую собаку новым трюкам не научишь".
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #6, #19, #32, #77

5. Сообщение от ааноним (?), 06-Янв-23, 08:44	+/–
Как он в сравнении с убунту фаерволом?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #14, #65

6. Сообщение от ivan_erohin (?), 06-Янв-23, 08:58	–5 +/–
> А в iptables предлагается писать императивные баш-портянки со страшным синтаксисом. а еще ... а еще ...они не "идемпотентные" ! (что бы это не значило в понимании смузи-опсов). ps: откройте для себя уже firehol.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #7

7. Сообщение от pin (??), 06-Янв-23, 09:13	+9 +/–
> firewalld - для домохозяек (в хорошем смысле), nftables - для профессионалов, а iptables - для ходячих доказательств Ути-пути. Вы забыли подписаться - localhost эксперт.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #11

8. Сообщение от ГруднаяЖаба (?), 06-Янв-23, 10:02	+/–
зачем оно нужно, если в иптаблес можно правила через файлик закидывать так же?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #9, #10

9. Сообщение от Аноним (9), 06-Янв-23, 10:35	+/–
Плайнтекстовый файлик - это не интерпрайзно
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

10. Сообщение от Аноним (10), 06-Янв-23, 10:37	+/–
Файлы правил firewalld проще читать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #35

11. Сообщение от ivan_erohin (?), 06-Янв-23, 10:52	–2 +/–
локалхост эксперт лучше смузиопса. чем ? 1) тем что есть хоть какая-то экспертиза. 2) из первого второй получиться может, из второго первый - никогда.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #16, #20

12. Сообщение от Массоны Рептилоиды (?), 06-Янв-23, 11:04	+/–
Как сделать экспорт правил этой елды? В пригодном для импорта формате, как в iptables или nftables.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #13

13. Сообщение от Сектанты (?), 06-Янв-23, 11:21	+/–
файлы из /etc скопировать, там xml-конфиги лежат.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #17

14. Сообщение от Аноним (14), 06-Янв-23, 11:30	+1 +/–
Как небо и земля (я качестве земли выступает ufw) :( Но сабж на Ubuntu поставить можно
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

15. Сообщение от EuPhobos (ok), 06-Янв-23, 11:35	–1 +/–
> без необходимости перезагрузки правил пакетного фильтра и без разрыва установленных соединений Это как? systemctl reload nftables - не разрывает tcp-соединени. И почему отсутствие необходимости перезагрузки правил пакетного фильтра так важно? И если он является обвязкой над тем-же nftables, но не перезапускает его правила, то как блин он работает??!
Ответить | Правка | Наверх | Cообщить модератору

16. Сообщение от Аноним (16), 06-Янв-23, 11:49	+3 +/–
Конечно лучше. Смузиопсу раза в 2 больше платить надо
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

17. Сообщение от Массоны Рептилоиды (?), 06-Янв-23, 11:58	+/–
Очень удобно
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #21, #37

18. Сообщение от Анноним (?), 06-Янв-23, 11:59	+/–
Один из останавливающих факторов замены Windows на Linux является отсутствие фаервола уровня приложений с вменяемым графическим интерфейсом. Вот в винде я запретил всё, и открываю понемногу конкретные ип:порт для конкретного пути к exe, например, c:/firefox_a/firefox.exe имеет один набор правил, c:/firefox_b/firefox.exe совсем другой. Я даже хз как в linux разделить установленный firefox на два раздельных, вот установил я в Debian firefox-esr а как поставить второй, чтобы бинарники разные были.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #23, #38, #41, #45, #64, #75

19. Сообщение от An0nim0us (?), 06-Янв-23, 12:05	–3 +/–
Это вообще не альтернатива.. Данный сабж просто надстройка над чем то - либо над упоминаемым iptables, либо над nfrables...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #22, #52

20. Сообщение от Аноним (20), 06-Янв-23, 12:07	+/–
> тем что есть хоть какая-то экспертиза дооооо, ты прямо блещешь, типичный иксперт опеннет > из первого второй получиться может, из второго первый - никогда на чем основано данное утверждение, трепло? что очевидно, так это то, что из тебя не получится вообще ничего и никогда
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #42

21. Сообщение от Аноним (20), 06-Янв-23, 12:08	+2 +/–
да, какие проблемы?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

22. Сообщение от Аноним (4), 06-Янв-23, 12:17	+2 +/–
очередной комментатор решил сумничать, не разобравшись в вопросе. In order to configure firewall rules for Netfilter or nftables, a firewall utility needs to be installed. Guidance has been included for the following firewall utilities: 1) FirewallD 2) nftables 3) iptables Only ONE method should be used to configure a firewall on the system. Use of more than one method could produce unexpected results. Теперь давай прочитаем еще раз: Only. ONE. Method. Should. Be. Used. To configure a firewall. Хотя может у себя в локалхосте ты и применяешь все три сразу - кто тебя знает?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #33, #34, #43, #49

23. Сообщение от Аноним (-), 06-Янв-23, 12:33	+1 +/–
> Один из останавливающих факторов замены Windows на Linux является отсутствие фаервола уровня приложений с вменяемым графическим интерфейсом. Привет из криокамеры! Открой для себя KDE. ;) https://github.com/KDE/plasma-firewall https://149366088.v2.pressablecdn.com/wp-content/uploads/202...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #25

25. Сообщение от Аноним (20), 06-Янв-23, 12:52	+2 +/–
это не application firewall, а всего лишь еще одна интерактивная обертка iptables
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23 Ответы: #27

27. Сообщение от Анноним (?), 06-Янв-23, 13:02	+/–
нажимал ответить в 2.23 а вставило после 2.25 хотя когда нажимал 2.25 еще небыло, хз как так получилось
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

28. Сообщение от Анноним (?), 06-Янв-23, 13:16	+/–
Коменты глючат - добаил комент его вставило вообще не туда, куда нажимал ответить, а потом вообще удалило.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #72

29. Сообщение от Ilya Indigo (ok), 06-Янв-23, 13:16	+/–
Кто-нибудь может подсказать в openSUSE Tumbleweed использую сабж для маскарадинга Wi-Fi с hostapd. /etc/systemd/system/hostapd.service.d/override.conf [Unit] Conflicts=wpa_supplicant@wlo1.service [Service] ExecStartPre=/usr/sbin/ip addr add 192.168.1.1/24 dev wlo1 ExecStartPost=/usr/bin/firewall-cmd --zone=public --add-masquerade ExecStartPost=/usr/bin/firewall-cmd --zone=public --remove-interface=wlo1 ExecStartPost=/usr/bin/firewall-cmd --zone=home --add-interface=wlo1 ExecStartPost=/usr/bin/firewall-cmd --direct --add-rule ipv4 nat POSTROUTING 0 -o enp3s0 -j MASQUERADE ExecStartPost=/usr/bin/firewall-cmd --direct --add-rule ipv4 filter FORWARD 0 -i wlo1 -o enp3s0 -j ACCEPT ExecStartPost=/usr/bin/firewall-cmd --direct --add-rule ipv4 filter FORWARD 0 -i enp3s0 -o wlo1 -m state --state RELATED,ESTABLISHED -j ACCEPT ExecStop=/usr/bin/firewall-cmd --direct --remove-rule ipv4 filter FORWARD 0 -i enp3s0 -o wlo1 -m state --state RELATED,ESTABLISHED -j ACCEPT ExecStop=/usr/bin/firewall-cmd --direct --remove-rule ipv4 filter FORWARD 0 -i wlo1 -o enp3s0 -j ACCEPT ExecStop=/usr/bin/firewall-cmd --direct --remove-rule ipv4 nat POSTROUTING 0 -o enp3s0 -j MASQUERADE ExecStop=/usr/bin/firewall-cmd --zone=home --remove-interface=wlo1 ExecStop=/usr/bin/firewall-cmd --zone=public --add-interface=wlo1 ExecStop=/usr/sbin/ip addr flush dev wlo1 ExecStop=/usr/bin/kill $MAINPID Всё прекрасно работает и всегда работало, когда у сабжа бэк iptables (НЕ по умолчанию и написано deprecated), но никогда не работало с бэком nftables (по умолчанию). В чём может быть проблема и как отладить, чтобы посмотреть эти правила непосредственно в iptables и/или nftables?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #58

30. Сообщение от Аноним (30), 06-Янв-23, 13:29	+/–
(Android)"oRoot Firewall" 4pda.to/forum/index.php?showtopic=495699 Сигналит что  Firefox(будучи выключенным)  лезет в интернет . Есть такое для компа?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #40

32. Сообщение от YetAnotherOnanym (ok), 06-Янв-23, 13:57	+2 +/–
> императивные баш-портянки со страшным синтаксисом Бедненький. У тебя психологическая травма. Ну, иди ко мне, пожалею.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

33. Сообщение от Аноним (33), 06-Янв-23, 13:59	+1 +/–
Я вообще не айтишник и уж тем более не эксперт, я простой домохозяин, но в новости сказано: > реализованного В ФОРМЕ ОБВЯЗКИ над пакетными фильтрами nftables и iptables Что говорит о том, что это не замена nftables и iptables. Или это не то?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #39, #44

34. Сообщение от ещё_один_иксперд (?), 06-Янв-23, 14:13	+/–
FirewallD под капотом использует nftables или xtables, умник.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #36

35. Сообщение от Аноним (35), 06-Янв-23, 14:20	+/–
У разных людей разное мнение
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

36. Сообщение от Аноним (4), 06-Янв-23, 14:23	+/–
> FirewallD под капотом использует nftables или xtables, умник Умник, тебе еще раз написать? Не смотря на то, кто кому приходится фронтендом, использовать следует только один вариант: либо только iptables, либо только его фронтенд, либо только nftables. Поэтому firewalld является альтернативой iptables.     Альтернати́ва (фр. alternative, от лат. alternatus — другой) — необходимость выбора одной из двух или более исключающих друг друга возможностей.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34

37. Сообщение от YetAnotherOnanym (ok), 06-Янв-23, 14:24	+4 +/–
Да, это очень удобно. Добрые и мудрые волшебники из w3 создали для этого целый мир. Освоишь xml, xquery, научишься конвертить xml-конфиг в нормальный список правил с помощью xslt. К тому времени, когда ты всё это освоишь, авторы этого опуса забросят его и начнут переписывать заново на ноде с конфигами в json.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #50, #83

38. Сообщение от Аноним (35), 06-Янв-23, 14:28	+/–
В linux нет такого понятия как "путь к exe", у exe множество путей, а матчинг по PID выпилили в 2005 году как устаревший и неисправимо сломанный https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/lin... > вот установил я в Debian firefox-esr а как поставить второй, чтобы бинарники разные были. Поставь в HOME.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #51

39. Сообщение от Аноним (4), 06-Янв-23, 14:29	+1 +/–
Обвязка и альтернатива - ортогональные понятия. Vala и C - это две альтернативы, и проекту придется ВЫБИРАТЬ, на каком языке писать код. Даже не смотря на то, что Vala компилится в C. Точно так же, как и админу придется ВЫБИРАТЬ, на чем строить файрвол: средствами firewalld или на голом iptables. При этом важно учитывать, что если админ выбирает оба варианта сразу, то его следовало бы выгнать не только из компании, но и из IT в целом.     Альтернати́ва (фр. alternative, от лат. alternatus — другой) — необходимость выбора одной из двух или более исключающих друг друга возможностей.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33 Ответы: #47

40. Сообщение от Аноним (35), 06-Янв-23, 14:33	+/–
> Firefox(будучи выключенным) В android ты не контролируешь выключение или включение приложения, отсутствие окна приложения на экране не означает что оно выключено. > Есть такое для компа? Запусти firefox в отдельном network namespace и сможешь смотреть на его интерфейсе куда он ходит или под отдельным пользователем и логируй по uid в iptables.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #59

41. Сообщение от ivan_erohin (?), 06-Янв-23, 15:07	+1 +/–
> как поставить второй, чтобы > бинарники разные были. не нужно. один бинарник можно запустить от разных юзеров. и фаерволлить по юзерам. если бинарник - клиент X-сервера, то переходить в другого юзера надо по-особому: https://serverfault.com/questions/51005/how-to-use-xauth-to-...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

42. Сообщение от ivan_erohin (?), 06-Янв-23, 15:10	+3 +/–
> дооооо, ты прямо блещешь, типичный иксперт опеннет я знаю. > из тебя не получится вообще ничего и никогда ты какой-то токсичный, пора на курсы по управлению гневом.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

43. Сообщение от An0nim0us (?), 06-Янв-23, 16:45	–1 +/–
>> очередной комментатор решил сумничать, не разобравшись в вопросе. Это вы про себя? >> In order to configure firewall rules for Netfilter or nftables, a firewall utility needs to be installed. Guidance has been included for the following firewall utilities: 1) FirewallD 2) nftables 3) iptables Only ONE method should be used to configure a firewall on the system. Use of more than one method could produce unexpected results. Теперь давай прочитаем еще раз: Only. ONE. Method. Should. Be. Used. To configure a firewall. Хотя может у себя в локалхосте ты и применяешь все три сразу - кто тебя знает? давай прочитаем вместе. Написано верно, но чукча не читатель. Смысл текста не противоречит тому что это прослойка. Основной посил в том что если ты начал конфигурировать прослойкой, то конфигурируешь ею до конца, не внося напрямую правила через бэкенды - иначе работоспособность не гарантируется, что логично. Тем не менее ты можешь сконфигурировать сабж и посмотреть какие правила iptables или nftables оно нагенерировало. Далее офигеть от той дичи что оно генерит и незахотеть больше генерировать этой шляпой. Это легко перепроверить самостоятельно даже на твоем локалхосте который ти любишь упоминать. Что б окончательно поставить все точки, просто посмотри архитектуру этой шляпы и ищем знакомые слова указанные в бэкендах. https://firewalld.org/documentation/architecture.html
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #46

44. Сообщение от An0nim0us (?), 06-Янв-23, 16:47	–1 +/–
ты все верно понял, не слушай его - он фигню говорит...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33

45. Сообщение от An0nim0us (?), 06-Янв-23, 16:57	+/–
Из того что еще развивается, знаю только opensnitch (https://github.com/evilsocket/opensnitch) По поводу вменяемого GUI, то все субъективно, но можно сделать собственный GUI, который будет устаивать и работать напрямую с его демоном вместо родного.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

46. Сообщение от Аноним (4), 06-Янв-23, 17:18	+2 +/–
> Смысл текста не противоречит тому что это прослойка Смысл текста прямо противоречит твоему выкрику, что это мол "не альтернатива": > Это вообще не альтернатива Если конфигурируем этой прослойкой от начала и "до конца", то значит, что из двух альтернатив - iptables vs firewalld - мы выбрали что-то одно. А кто над кем там прослойка, и прослойка ли вообще - совершенно не важно. Так что ты все-таки, чукча, читай все тексты: и те, на которые ссылаешься, и свои собственные комменты. Но в первую очередь загугли, что такое "альтернатива":    Альтернати́ва (фр. alternative, от лат. alternatus — другой) — необходимость выбора одной из двух или более исключающих друг друга возможностей.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43 Ответы: #54

47. Сообщение от Аноним (47), 06-Янв-23, 17:42	+2 +/–
firewalld внутри себя запускает либо nftables, либо фронтенд утилиты iptables. iptables и nftables на самом деле настраивают netfilter. firewalld напрямую netfilter не настраивает. Значит firewalld — это обвязка над уже существующими методами управления файерволом, а не альтернативный *фронтенд* для управления файерволом. Иначе файерволом можно и ansible назвать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39 Ответы: #48

48. Сообщение от Аноним (4), 06-Янв-23, 18:14	+/–
> это обвязка над уже существующими методами управления файерволом nftables - это userspace-фронтенд над подсистемой ядра nftables. iptables - это тоже просто userspace-фронтенд над подсистемой ядра Netfilter. А теперь докажи, что эти фронтенды (userspace-утилиты, обрати внимание) что-то настраивают "напрямую", а не просто "нижайше просят ядро применить такие-то настройки". Твоя проблема в том, что ты почему-то думаешь, что "обвязка" и "альтернатива" -- это термины, которые могут противоречить или не противоречить друг другу. А я говорю, что это независимые категории, как "оранжевый" и "со вкусом апельсина". Иными словами, в ядре две взаимопересекающиеся подсистемы: nftables и Netfilter. А конечных userspace-утилит для взаимодействия с ними -- как минимум три, и вот среди этих трех ТУЛЗОВ и предлагается выбирать: firewalld REPLACES iptables as the default firewall management TOOL. > Иначе файерволом можно и ansible назвать. Можно, называй. Собственно, в NixOS есть свой собственный файрвол, тоже работающий поверх xxtables: networking.firewall.enable. И угадай что? Если ты хочешь перейти на "просто iptables", то тебе нужно... отключить файрвол! Отключить файрвол NixOS разумеется:     networking.firewall.enable = false; Таким образом, никто (НИКТО) кроме тебя не считает, что "файрволов ровно два".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47

49. Сообщение от Аноним (49), 06-Янв-23, 18:46	+/–
> очередной комментатор решил сумничать, не разобравшись в вопросе. Чего там разбираться в запущенности вопроса? Настоящей домохозяйке файрвол уже настроенный должен поставляться, а то много молока может убежать.😎
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22

50. Сообщение от Аноним (49), 06-Янв-23, 18:56	+/–
Всё, к чему прикасается гомо сапиенс, превращается в говно? )
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37 Ответы: #68, #73

51. Сообщение от Аноним (49), 06-Янв-23, 19:01	+/–
> матчинг по PID выпилили в 2005 году как устаревший Почему оно в данный(текущий по-русски) момент применено? )
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38

52. Сообщение от Аноним (52), 06-Янв-23, 19:07	+/–
Альтернатива способу конфигурации, а не самому сервису, епт. Можно было бы и допетрить
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #55

53. Сообщение от OpenEcho (?), 06-Янв-23, 19:32	+/–
> Код firewalld написан на языке Python А че не nodejs? И где вообще интуитивно понятный Электрон?
Ответить | Правка | Наверх | Cообщить модератору

54. Сообщение от An0nim0us (?), 06-Янв-23, 19:53	+1 +/–
в контексте IT, если рассматривать архитектуру то это Frontends над 1 из Backend'ов и это не может быть альтернативой просто потому что мы не можем выбрать и использовать его без бэкенда. т.э. выбирая Firewalld, ты вместе в ним выбираешь и iptables или nftables, которые между собой являются альтернативными реализациями (считай альтернативами). Иначе можно дойти до того что называть Firefox аналогом nginx, или pma аналогом mysql. С философской точки зрения можешь называть хоть лягушкой, но в профессиональной среде их нельзя характеризовать как аналоги.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46 Ответы: #66

55. Сообщение от An0nim0us (?), 06-Янв-23, 19:58	+/–
Мы же на сайте для гуманитариев... Тогда уж и ложка альтернатива тарелке - можно есть ложкой, а можно лицо мокать в кастрюлю и есть.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52 Ответы: #56, #67

56. Сообщение от An0nim0us (?), 06-Янв-23, 19:58	+1 +/–
* можно есть ложкой, а можно лицо мокать в тарелку и есть.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55

57. Сообщение от verh010m (?), 06-Янв-23, 21:12	+/–
А как оно может открыть доступ к какому-либо Порту с какого-либо определённого IP? И никому больше
Ответить | Правка | Наверх | Cообщить модератору

58. Сообщение от pin (??), 06-Янв-23, 21:36	+5 +/–
ОМГ, тут кто-то про про баш портянки ныл. А это шедевр.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29 Ответы: #62

59. Сообщение от firewalld 1 (?), 06-Янв-23, 22:10	+/–
"смотреть на его интерфейсе куда он ходит" нет интереса. Вполне достаточно что "NoRoot Firewall" запрещает и извещает. ------- Через  synaptic установил firewalld 1.1 и получил чёрный экран вместо рабочего стола. Лечение - удаление  папок и файлов "firewalld" .
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40

60. Сообщение от Аноним (60), 06-Янв-23, 23:23	+/–
Помнится поднимал номад, и это чудо (firewalld) было установлено предыдущим админом. Докер влез со своими правилами,firewalld со своими. Я как посмотрел чего они там нагенерили чуть не поседел. Это траблешутить в принципе невозможно. Снес нах это firewalld.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #61, #71

61. Сообщение от пох. (?), 07-Янв-23, 00:18	+/–
Внезапно, доскер совместим с firewalld. Более того, одна из целей создания самого firewalld - дать простую возможность конфигурировать файрвол разным подобным штукам, и чтоб они друг другу при этом все не попереломали. > Это траблешутить в принципе невозможно. Да, не для обезьянок. Это ж надо документацию прочитать хоть разок, а у них смузи киснет. А не лезть "смотреть что они нагенерили". Ты когда у тебя падает файрфокс - лезешь в бинарный код, ща тут разберусь и пару бит пофикшу, или все же - в его исходники? > Снес нах это firewalld. И правильно, зачем нам эти фиреволы ненужные, только время тратить. s in docker stands for "security", тем более же ж.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #60 Ответы: #74

62. Сообщение от пох. (?), 07-Янв-23, 00:25	–1 +/–
Ну вообще говоря, тут гвоздь забитый микроскопом прямо в яйцо Фаберже. Что и гвоздь из г-на, и микроскоп г-но, и Фаберже нехрен было яйца тут развешивать, это уже отдельная песня. С таким подходом не помогли бы и золотой гвоздь, и лабораторный микроскоп, только ущерба было бы больше.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #58

63. Сообщение от Vitto74 (ok), 07-Янв-23, 00:28	+1 +/–
Можно ручками указать порт, это не запрещено, а можно поправить конфиг, создав/переопределив порты служб.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

64. Сообщение от Аноним (64), 07-Янв-23, 01:11	+/–
А в виде из стора ты тоже можешь два разных фаерфокса поставить? Ну дак и в дебиане можешь скачать два разных тарбола и распаковать в разные директории. Что как маленький то?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

65. Сообщение от Fafhrd (ok), 07-Янв-23, 01:39	+/–
bash-$ firewall-cmd --add-rich-rule 'rule family="ipv4" service name="ssh" \ source address="10.1.1.0/24" accept' --permanent bash-$ ufw allow from 10.1.1.0/24 to any port 22 proto tcp
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #81

66. Сообщение от Аноним (4), 07-Янв-23, 03:13	+2 +/–
> в контексте IT Об IT у тебя весьма отдаленное представление. > ты вместе в ним выбираешь и iptables или nftables Правильно:     <...> FirewallD is dependent on the iptables package. > но в профессиональной среде их нельзя характеризовать как аналоги Садись, два:     Note: Only ONE firewall utility should be installed and configured. FirewallD is dependent on the iptables package. (обрати внимание, что оба утверждения стоят рядом) Таким образом, ты снова продемонстрировал всем свое невежество, утверждая, будто следует напрямую использовать оба инструмента сразу только потому, что они оба установились: > их нельзя характеризовать как аналоги
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #54 Ответы: #69

67. Сообщение от Аноним (4), 07-Янв-23, 03:17	+/–
> Мы же на сайте для гуманитариев Ну, с твоим присутствием опеннет действительно превращается в сайт ламеров: > ложка альтернатива тарелке Тебя и на кухню-то лучше не впускать, какой там IT?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55 Ответы: #70

68. Сообщение от YetAnotherOnanym (ok), 07-Янв-23, 10:30	+/–
Почти.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50

69. Сообщение от An0nim0us (?), 07-Янв-23, 12:34	+/–
>> Об IT у тебя весьма отдаленное представление. Кто б говорил - называть frontend и backend аналогами, так себе представление. >> Садись, два: С твоими знаниями в IT только мышку поменять можно доверить и то осторожно, а не знания других оценивать... >> FirewallD is dependent on the iptables package. (обрати внимание, что оба утверждения стоят рядом) а если также рядом написать "FirewallD is dependent linux kernel", то можно будет его называть альтернативой ядра линукс? Таким образом, ты снова продемонстрировал всем свое невежество, утверждая, будто следует напрямую использовать оба инструмента сразу только потому, что они оба установились. Хорошая попытка манипуляции, но при этом можна спокойно удалить фронтенд, оставив бэкенд и все будет работать, а если удалишь бэкенд оставив только фронтенд, то не будет. А так да, дли философов - это просто два отдельных пакета, которые установились.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #66

70. Сообщение от An0nim0us (?), 07-Янв-23, 12:41	+/–
>> Ну, с твоим присутствием опеннет действительно превращается в сайт ламеров: почитай про "Эффект Даннинга - Крюгера", там про тебя будет написанно. Жду когда ты на серьезных щях начнешь утверждать что firewalld альтернатива ядру линукса с той же аргументацией... >> Тебя и на кухню-то лучше не впускать, какой там IT? А ты оказывается еще и в аналогии не умеешь... Тяжелый случай, что тут скажешь...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #67

71. Сообщение от Аноним (-), 07-Янв-23, 20:30	+/–
А может тебе лучше виндовс?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #60 Ответы: #76

72. Сообщение от Аноним (-), 07-Янв-23, 20:33	+/–
А может надо просто выспаться?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

73. Сообщение от Аноним (73), 07-Янв-23, 20:35	+/–
Если это фрактал, то да...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50

74. Сообщение от ivan_erohin (?), 07-Янв-23, 21:46	–1 +/–
> И правильно, зачем нам эти фиреволы ненужные, разумеется. 1) все фаерволлы снижают производительность сети и увеличивают задержки. 2) приложения, не способные безопастно принимать и обрабатывать соединения из большого Интернета, должны быть выкинуты на помойку или замкнуты на 127.0.0.1 3) приложения, желающие поболтать со своими производителями по своей инициативе, должны быть выкинуты на помойку или получить спец.таблицу роутинга (все в null, кроме того что разрешено).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #61

75. Сообщение от Dima (??), 08-Янв-23, 02:53	+/–
держи https://safing.io/
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

76. Сообщение от пох. (?), 08-Янв-23, 17:45	+/–
Он и там запутается в фиреволе (надо сказать, траблшутить виндовый - довольно мучительно) и выключит его, как привык решать все проблемы. Так что ну нафиг, хватит нам и линуксных ботоферм.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #71

77. Сообщение от анон (?), 08-Янв-23, 19:35	+/–
У xml уйма стандартов, договоренностей, костылей, версий, а еще есть надсхема для проверки этой схемы. Он на порядок хуже баша, уж лучше json.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

78. Сообщение от Аноним (78), 08-Янв-23, 20:59	+/–
OMG -- это не "open management group", a "object management group".  Те же ребята, что корбу придумали.
Ответить | Правка | Наверх | Cообщить модератору

79. Сообщение от Аноним (-), 08-Янв-23, 21:06	–1 +/–
Короче сидим дальше на ipchains'e и ржем с этого цирка.
Ответить | Правка | Наверх | Cообщить модератору

81. Сообщение от Аноним (81), 09-Янв-23, 21:02	+/–
Да штош такое - опять лабораторный микроскоп уступил школьному на конкурсе по забиванию гвоздей!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #65

83. Сообщение от Аноним (14), 13-Янв-23, 15:57	+/–
Библиотеки? Не не слышал... Но если такие преобразования кому-то и нужны - наверняка уже есть куча готовых вариантов от разных авторов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема