tường lửa vs iptables - khi nào nên sử dụng [đóng]

29

TL; DR Khi cài đặt máy chủ CentOS mới, tôi có nên sử dụng tường lửa hay chỉ vô hiệu hóa nó và quay lại sử dụng /etc/sysconfig/iptables?

tường lửa và iptables phục vụ các mục đích tương tự. Cả hai đều thực hiện lọc gói - nhưng nếu tôi hiểu chính xác thì tường lửa sẽ không xóa toàn bộ quy tắc được đặt mỗi khi có thay đổi.

Tôi biết rất nhiều về iptables nhưng rất ít về tường lửa.

Trên Fedora và RHEL / CentOS - cấu hình iptables truyền thống đã được thực hiện /etc/sysconfig/iptables. Với tường lửa, cấu hình của nó tồn tại /etc/firewalld/và là một tập hợp các tệp XML. Fedora dường như đang tiến tới tường lửa như một sự thay thế cho cấu hình cũ này. Tôi hiểu rằng tường lửa sử dụng iptables dưới mui xe, nhưng nó cũng có định dạng tệp cấu hình và giao diện dòng lệnh riêng như trên - đó là những gì tôi đang đề cập đến khi sử dụng cái này so với cái kia.

Có một cấu hình / kịch bản cụ thể mà mỗi trong số này là phù hợp nhất cho? Trong trường hợp NetworkMangaer so với mạng, có vẻ như mặc dù NetworkManager có thể được dùng để thay thế cho các tập lệnh mạng, do nó không hỗ trợ cầu nối mạng và một số thứ khác, nhiều người không sử dụng nó trong thiết lập máy chủ tại tất cả các. Vì vậy, dường như có một khái niệm chung về "sử dụng NetworkManager nếu bạn đang sử dụng Linux desktop/guivà mạng nếu bạn đang chạy một máy chủ". Đó chỉ là những gì tôi nhận được từ việc đọc các bài đăng khác nhau - nhưng ít nhất nó đưa ra một hướng dẫn về việc sử dụng khả thi cho những thứ đó là gì - ít nhất là khi chúng ở trạng thái hiện tại.

Nhưng tôi đã làm điều tương tự với tường lửa và chỉ cần tắt nó đi và sử dụng iptables thay thế. (Tôi hầu như luôn cài đặt linux trên máy chủ, không sử dụng cho máy tính để bàn). Tường lửa có phải là sự thay thế hiệu quả cho iptables không và tôi có nên sử dụng nó trên tất cả các hệ thống mới không?

linux  networking  centos  fedora  firewalld 
bgp
nguồn
10
Firewalld sử dụng iptables bên dưới.
user9517 hỗ trợ GoFundMonica
Chắc chắn, và điều đó có ý nghĩa. Nhưng rõ ràng có một sự khác biệt lớn giữa cách bạn lưu trữ cấu hình của bạn và công cụ bạn sử dụng - iptables so với tường lửa-cmd, / etc / sysconfig / iptables so với /etc/firewalld/.../*.xml Tôi sẽ sửa lại câu hỏi một chút để làm cho rõ ràng hơn.
bgp
Không cần phải "tuôn ra toàn bộ quy tắc mỗi khi có cơ hội" iptables. Nó chỉ là một công cụ mặt trước, nếu nó làm mờ các bảng đó là vì bạn đã nói với nó.
gparent
Để làm rõ, tôi đang đề cập đến "khởi động lại dịch vụ iptables" khiến các quy tắc bị xóa và thêm lại. (Mặc dù điều đó vẫn không ảnh hưởng đến trạng thái kết nối, điều này rất tốt.) Tất nhiên bạn có thể chỉ cần chạy lệnh iptables từ dòng lệnh để sửa đổi các quy tắc riêng lẻ - nhưng tôi thường cố gắng giữ mọi thứ trong / etc / sysconfig / iptables và sử dụng lệnh "dịch vụ" để tuân theo quy ước được đề xuất bởi các công cụ được cung cấp bởi bản phân phối.
bgp

Câu trả lời:

12

Như firewalldđược dựa trên cấu hình XML, một số có thể nghĩ rằng nó dễ dàng hơn để cấu hình tường lửa một cách chương trình. Điều này cũng có thể đạt được iptables, nhưng với một cách khác, đó không phải là XML. Nếu bạn đã quen với cách iptableslàm việc, tại sao bạn sẽ di chuyển tất cả cấu hình của mình sang firewalld?

Nếu bạn xem xét iptablesbộ quy tắc tường lửa lớn nhất của mình, bạn có thường xuyên nghĩ rằng mình sẽ được hưởng lợi từ khía cạnh động của firewalldkhông? Trong hầu hết các trường hợp, hiệu suất của iptableskhông bao giờ là vấn đề. Trong hầu hết các trường hợp hiệu suất của iptablessự cố có thể được khắc phục bằng cách sử dụng ipsetcác bộ IP nguồn / đích dựa trên.

Đó là một cuộc tranh luận khác nhau về việc bạn có nên sử dụng NetworkManager hay không.

vtorhonen
nguồn
3
Hiệu suất của iptableskhông liên quan trong trường hợp này vì sự chậm chạp sẽ xảy ra bất kể các quy tắc được chèn qua firewalldhoặc trực tiếp với iptablescông cụ.
gparent
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.