The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Выпуск межсетевого экрана firewalld 1.2"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Выпуск межсетевого экрана firewalld 1.2"  +/
Сообщение от opennews (?), 02-Июл-22, 11:58 
Опубликован релиз динамически управляемого межсетевого экрана firewalld 1.2, реализованного в форме обвязки над пакетными фильтрами nftables и iptables. Firewalld запускается в виде фонового процесса, позволяющего динамически изменять правила пакетного фильтра через D-Bus, без необходимости перезагрузки правил пакетного фильтра и без разрыва установленных соединений. Проект уже применяется во многих дистрибутивах Linux, включая RHEL 7+, Fedora 18+ и SUSE/openSUSE 15+. Код firewalld написан на языке  Python и распространяется под лицензией GPLv2...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=57441

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от Alladin (?), 02-Июл-22, 11:58   –3 +/
Чем это лучше ufw и удобного gufw?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #18, #34, #56

2. Сообщение от Аноним (2), 02-Июл-22, 11:59   +9 +/
iptables и так надстройка над netfilter зачем дополнительная надстройка над надстройкой?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #7, #11

3. Сообщение от Олежа (?), 02-Июл-22, 12:02   –1 +/
Ждём в Debian!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #14

4. Сообщение от Sw00p aka Jerom (?), 02-Июл-22, 12:02   +/
>при создании правил отталкивается не от IP-адресов, сетевых интерфейсов и номеров портов, а от названий служб

прям ngfw какой-то

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #23

5. Сообщение от Аноним (5), 02-Июл-22, 12:05   +5 +/
Релиз обёртки над фаерволлами. Называйте вещи своими именами.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #48

7. Сообщение от DeerFriend (?), 02-Июл-22, 12:17   +3 +/
Когда иптаблесы заменяют на нфтаблесы, не все успевают или горят желанием погружаться в изменения.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #12

9. Сообщение от Аноним (9), 02-Июл-22, 13:16   –5 +/
И насколько роняет производительность эта безопасность. В ядре безопасности роняющее производительность, в интерфейсах.
Плотиш тыщи лиш бы не логало - современный мир.
Ответить | Правка | Наверх | Cообщить модератору

11. Сообщение от anonymouse (?), 02-Июл-22, 13:25   +1 +/
не надстройка, а пользовательский интерфейс для управления. Желаю удачи юзать netfilter без "надстроек".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #13

12. Сообщение от Аноним (2), 02-Июл-22, 13:27   +3 +/
так при смене бинарнечек и делает все поправки (что то типа iptables-old) пихаешь ему старый синтаксис он плюнет новый уже под нфтейбл

опять вопрос - зачем надстройка?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #19

13. Сообщение от Аноним (2), 02-Июл-22, 13:27   +1 +/
пасибо уже юзаю без надстроек, чего и всем желаю
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

14. Сообщение от Аноним (14), 02-Июл-22, 13:38   –1 +/
Не жди, просто поставь из репозиториев.
Не знаю, как в Debian, но в Ubuntu 20.04 он ставится одной командой... (Версия 0.82)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

15. Сообщение от ixpert (?), 02-Июл-22, 13:56   +/
Динамически изменять правила пакетного фильтра через D-Bus - это так важно для сервера потому что там ничего не меняется после установки, и этот фоновый процесс обязательно нужен вам. Мне нет, сразу удаляю.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #22

16. Сообщение от ананоша (?), 02-Июл-22, 14:14   +/
Если ссх не на 22 порту, оно сработает?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #25

17. Сообщение от псевдоеимус (?), 02-Июл-22, 14:14   –1 +/
мало того, что убогое, так еще завязано на дбус.

и после этого линуксоиды смеются над 3 пакетными фильтрами в бзде.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #39, #68, #78

18. Сообщение от псевдоеимус (?), 02-Июл-22, 14:22   +1 +/
они обертки. а он уровнем ниже и г-о.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

19. Сообщение от псевдоеимус (?), 02-Июл-22, 14:23   +4 +/
чтобы было непонятно, как обрабатывается пакет. магия, ололо!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

21. Сообщение от Брандмауэр без Root (?), 02-Июл-22, 14:30   +/
https://play.google.com/store/apps/details?id=app.greyshirts...
такое надо.
Ответить | Правка | Наверх | Cообщить модератору

22. Сообщение от Аноним (63), 02-Июл-22, 14:32   +/
Кроме твоего локалхоста существует ещё столько всего — целый мир! Подрастешь, пойдешь работать и сам увидишь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #27, #38, #74

23. Сообщение от QwertyReg (ok), 02-Июл-22, 14:40   –2 +/
И в каком месте?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #24

24. Сообщение от Sw00p aka Jerom (?), 02-Июл-22, 14:51   +2 +/
> И в каком месте?

в том, что "при создании правил отталкивается" от сервисов (аппликейшенов) именно ngfw разобрав сам протокол. Отсюда и весь абсурд, казаться тем чем не являешься.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23 Ответы: #29

25. Сообщение от Sw00p aka Jerom (?), 02-Июл-22, 14:57   +1 +/
> Если ссх не на 22 порту, оно сработает?

конечно, откроет вам тупо 22 порт, тут список /usr/lib/firewalld/services/

<?xml version="1.0" encoding="utf-8"?>
<service>
  <short>SSH</short>
  <description>Secure Shell (SSH) is a protocol for logging into and executing commands on remote machines. It provides secure encrypted communications. If you plan on accessing your machine remotely via SSH over a firewalled interface, enable this option. You need the openssh-server package installed for this option to be useful.</description>
  <port protocol="tcp" port="22"/>
</service>


Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #26, #92

26. Сообщение от ыы (?), 02-Июл-22, 15:13   +/
а выражения в элементах поддерживает?
что-то вроде
<port protocol="(select proto from tcp://myhost/proto)" port="http://myssite/queryfirewaldd"/>
?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #32

27. Сообщение от ixpert (?), 02-Июл-22, 15:16   +/
ваша убогая шутка про localhost настолько в тему, что это убожество только и запускать на localhostе из за кучи гуевых программок которым вдруг понадобился входящий трафик.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #67

28. Сообщение от ыы (?), 02-Июл-22, 15:21   +/
Это же классно! Можно описать сервисы своими именами потом выдавать команды
"firewall-cmd --add --service=ПолетШмеляНадГранатом"
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #40, #93

29. Сообщение от ыы (?), 02-Июл-22, 15:24   +/
> разобрав сам протокол.

Разве данная программа разбирает какието протоколы? Она отталкивается от алиасов для некоторых чисел.
Каким образом навешивание алиаса на номер порта "разбирает протокол" - загадка :)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #31

30. Сообщение от ыы (?), 02-Июл-22, 15:28   +/
>отталкивается не от IP-адресов, сетевых интерфейсов и номеров портов, а от названий служб

Прекрасно. Главное не узнать что пользоваться алиасами вовсе не обязательно (это опция а не требование), и можно указывать именно IP-адреса, сетевые интерфейсы и номера портов.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #33

31. Сообщение от Sw00p aka Jerom (?), 02-Июл-22, 15:30   +2 +/
> Разве данная программа разбирает какието протоколы? Она отталкивается от алиасов для некоторых
> чисел.

вот и написал "прям ngfw какой-то", то есть -  не разбирает протоколы, но оперирует понятием сервисов (аппликейшенов)

> Каким образом навешивание алиаса на номер порта "разбирает протокол" - загадка :)

ну как минимум "разбирает протокол" уровней L3/L4


Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29

32. Сообщение от Sw00p aka Jerom (?), 02-Июл-22, 15:31   +/
> а выражения в элементах поддерживает?
> что-то вроде
> <port protocol="(select proto from tcp://myhost/proto)" port="http://myssite/queryfirewaldd"/>

должен если ngwf


Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

33. Сообщение от Sw00p aka Jerom (?), 02-Июл-22, 15:32   +1 +/
> Прекрасно. Главное не узнать что пользоваться алиасами вовсе не обязательно (это опция
> а не требование), и можно указывать именно IP-адреса, сетевые интерфейсы и
> номера портов.

у микроскопов тоже есть такая опция как забивать гвозди.


Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30

34. Сообщение от Anonim (??), 02-Июл-22, 15:44   +3 +/
Он лучше буквально во всём. Попробуй и сам поймёшь. Разработчикам респект и уважение.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

36. Сообщение от Аноним (36), 02-Июл-22, 17:23   +4 +/
iptables/nftables и так обновляют правила в ядре без разрыва соединений.
nftables точно загружает новый набор правил транзакционно.
С этой точки зрения ничего, что нельзя сделать при помощи iptables/nftables/ipset, в firewalld нет.

И зоны там дурацкие.
Лучше непосредственно юзать iptables/nftables или на крайняк shorewall.
Вот я давно писал как логично можно организовать правила
http://handmade-linux-firewall.narod.ru/

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #41, #45

38. Сообщение от Aninim (?), 02-Июл-22, 17:44   +/
вообще все настройки делаютя на фаерволах инфраструктуры (циски жуниперы брокейды ил  хуавеи - кому что нравится/купили) а не на серверах
да и с кубом он сам всем управляет сетью без шаловливых ручек одмина
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #71

39. Сообщение от Anonimussh (?), 02-Июл-22, 17:48   +/
я кайфую от PF особено его таблички искаропки, и не надо, что то типа ipset городить
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

40. Сообщение от нига (?), 02-Июл-22, 17:49   +1 +/
залетаешь такой и начинает исслудование и раскопки что и где накручено наверчено
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #43

41. Сообщение от Аноним (36), 02-Июл-22, 18:03   +1 +/
И, да, firewalld это просто обертка, которая генерит набор правил iptables/nftables из своего формата конфигурации и как именно эти правила организованы и насколько эффективно - это вопрос требующий изучения.

Документация очень слабая

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36 Ответы: #51

42. Сообщение от BrainFucker (ok), 02-Июл-22, 18:17   +/
> Добавлены сервисы с поддержкой gpsd, ident, ps3netsrv, CrateDB, checkmk, netdata, Kodi JSON-RPC, EventServer, Prometheus node-exporter, kubelet-readonly

Э... то есть там для каждого приложения нужна своя поддержка? Ужас какой...

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #98

43. Сообщение от ыы (?), 02-Июл-22, 19:22   +/
так для того же и сделано. разве нет?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40

44. Сообщение от Аноним (44), 02-Июл-22, 19:25   +/
Когда сделают фильтр по имени процесса, просящего доступ в сеть? Чтобы я себе мог просто белы список процессов составить.

Столько лет Линуксу, а такой базовой фичи нет для пользователя недоверенных программ. Может я чего не понимаю.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #46, #50, #52, #58, #59, #61, #64, #72, #79, #84

45. Сообщение от ыы (?), 02-Июл-22, 19:26   +1 +/
Более того, при попытке сделать конфигурацию отличную от "локалхост хомячка" - тут же оказывается что весь сахар этой обертки - исчезает бесследно, и нужно описывать все как и раньше, построчно, без всяких алиасов, указывая порты, ip, и протоколы...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36

46. Сообщение от ыы (?), 02-Июл-22, 19:27   +/
Когда доля линукса на десктопе станет больше погрешности измерения - сразу же появится... Наверное :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44 Ответы: #49

48. Сообщение от Ку (?), 02-Июл-22, 19:36   +/
Что не является оберткой и как этим управлять?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #81

49. Сообщение от Аноним (49), 02-Июл-22, 19:42   +/
Иными словами - никогда)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46

50. Сообщение от slepnoga (??), 02-Июл-22, 19:44   +/
>Когда сделают фильтр по имени процесса, просящего доступ в сеть..

сделали, примерно в 2005-м году.И даже как всегда,более чем одним способом.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44

51. Сообщение от An0nim0us (?), 02-Июл-22, 20:15   –2 +/
Изучал что эта обертка генерит на выходе - ужаснулся и после этого на норм проектах стараюсь не юзать. Что б было понятно вместо 5 строчек которые вы бы написали без нее - это чудо генерит в 20 раз больше и многое из того что получаем просто нах не нужно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41 Ответы: #69

52. Сообщение от gapsf2 (??), 02-Июл-22, 21:27   +/
С этим все непросто.
Когда-то можно было фильтровать по pid, но это убрали.
И прям по имени процесса или файла скорее всего никто никогда в ядре уже делать не будет, т.к. с точки зрения ядерщиков, все что можно сделать в юзерспейс не надо тащить в ядро.
Кроме того имя процесса/команды неоднозначно: их может быть несколько.
Для входящих соединений определить процесс, который получит пакет в общем случае затруднительно.
В любом случае придется самому мастерить, сам я таким не занимался.
На данный момент с помощью iptables можно фильтровать по
-m cgroup --path...
По сути это  все, что доступно непосредственно по процессам.

1 Пробовать/смотреть куда системд пихает процесс в cgroups и использовать -m cgroup --path если получится

2 Пробовать по разному использовать network namespaces
https://unix.stackexchange.com/questions/68956/block-network...
Причем в каждом пространстве имен собственные интерфейсы, таблицы маршрутизации и набор правил фаервола.
Наверное это самый перспективный и гибкий вариант.

3 Запускать приложения под другим пользователем и использовать для фильтрации
-m owner...

4 Пробовать selinux, apparmor, ясно что это гемор, хотя...
https://askubuntu.com/questions/679474/how-to-block-internet...
Т.е. apparmor настроить не очень сложно и можно прям по путям в фс огрничения делать.
Тоже неплохой вариант.

5 Пробовать готовые проги, я нашел
https://github.com/evilsocket/opensnitch
https://douaneapp.com/

Эти проги gui и интерактивные, как именно они реализуют этот функционал - над смотреть исходники.

Как видно вариантов много, поэтому ждать реализации этого прямо в ядре+iptables/nftables нет смысла.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44 Ответы: #54

53. Сообщение от Аноним (53), 02-Июл-22, 22:22   +1 +/
Нужен systemd-firewalld
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #55, #70

54. Сообщение от Аноним (-), 02-Июл-22, 23:03   +/
мониторит прок судя по коду. вообще лютое г
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52

55. Сообщение от Аноним (-), 02-Июл-22, 23:04   +2 +/
и systemd-firefox ну и иногда systemd-tuxracerd
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53 Ответы: #62

56. Сообщение от Аноним (56), 02-Июл-22, 23:27   –2 +/
> Чем это лучше ...

Ничем. Как видишь суффикс *d - выпиливай под корень.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #63, #91

57. Сообщение от Аноним (57), 03-Июл-22, 01:11   +/
И тут они обнаружили фатальный
недостаток...
Ответить | Правка | Наверх | Cообщить модератору

58. Сообщение от john_erohin (?), 03-Июл-22, 07:43   –1 +/
> фильтр по имени процесса

на винде это уже проходили.
через несколько итерций пришли к подписанным бинарникам или хэшам.
не надо так.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44

59. Сообщение от Аноним (59), 03-Июл-22, 09:44   +/
Вы хотите аналог Windows Filtering Platform?

В Windows много файрволов, но один пласт API для написания собственного файрвола. В Linux, наоборот, один файрвол и куча разных несовместимых API для его настройки.

> Столько лет Линуксу, а такой базовой фичи нет для пользователя недоверенных программ. Может я чего не понимаю.

Да, вы не понимаете объем задачи: https://docs.microsoft.com/en-us/windows/win32/fwp/windows-f...

Даже если брать ту "мизерную" функцию с всплывающими окошками, разрешить процессу то-то и то-то, придётся реализовать RPC. Тут две проблемы:
- ответственность и её перекладывание. Для разработчиков ядра userspace как бы "вне зоны ответственности". Вечная игра в горячую картошку.
- драматизм вокруг RPC. На стороне ядра и в юзерспейсе должно находиться единое RPC, манипулирующее сложными структурами данных. Помните эпопею про kdbus и то как его не приняли (по вполне техническим причинам) дальнейшие попытки переизобрести "нормальное" RPC вроде проекта bus1, не знаю насколько оно живое.
Далее прочитайте этот же тред выше и пронаблюдайте количество болезных истеричек у которых dbus воду в кране выпил и как это "не нужно на сервере". В Linux очень много RPC-подсистем с убогой архитектурой. Одна из них Netlink, которая есть в ядре, но отстаёт от требований юзерспейса. Вот её надо менять для решения целого ряда задач, но там же визгу будет...

D-Bus сам по себе при этом мягко говоря не эталон. Он слишком сложен и перегружен функционалом, потому что это универсальная шина IPC+RPC. Нужен аналог COM+/DCOM, работающий в клиент-серверном режиме без всякого Multicast-а и не зависящий от сетевой подсистемы. Но такого API в ядре нет.

> Чтобы я себе мог просто белы список процессов составить.

В Windows можно не только белый список составить, там можно еще и взять список и настроить так чтобы на определенные процессы траффик не проходил без аутентификации и шифрования ipsec. То есть файрвол пропустит входящий траффик к порту только если есть ipsec и пользователь такой-то и с компьютера такого-то. Но научить линуксоидов ipsec-у для создания демилитаризованных зон... они единственное своё юзерспейсное RPC выпиливают в порыве белой горячки. Всё это малореализуемо.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44

60. Сообщение от Аноним (-), 03-Июл-22, 11:35   +3 +/
> Для изменения конфигурации межсетевого экрана также может использоваться графический интерфейс firewall-config (GTK) и апплет firewall-applet (Qt).

Спасибо, не знал, что интерфейсы есть!

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #80

61. Сообщение от Qanon (?), 03-Июл-22, 12:56   +/
Уже давно сделали, давно юзаю и вам желаю https://github.com/evilsocket/opensnitch
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44

62. Сообщение от microsoft (?), 03-Июл-22, 13:39   +/
Былоб так круто. Разрешаю, реализовывайте.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55

63. Сообщение от Аноним (63), 03-Июл-22, 14:12   +2 +/
Начни с ntpd.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56 Ответы: #85

64. Сообщение от Аноним (63), 03-Июл-22, 14:17   +1 +/
Давно сделали, но ты не осилил. Называется SELinux.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44

65. Сообщение от Annno (?), 03-Июл-22, 16:09   +/
firewalld - пришло твое время.

p.s. этож все для неосиляторов nftables/iptables

nftables учат походу только ботаны

Ответить | Правка | Наверх | Cообщить модератору

67. Сообщение от Аноним (67), 03-Июл-22, 18:59   +/
здесь это самая уместная шутка, ведь уровень комментаторов ей полностью соответствует
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27

68. Сообщение от Аноним (67), 03-Июл-22, 19:00   +1 +/
> мало того, что убогое,

твою биографию тут все уже наизусть знают

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

69. Сообщение от Аноним (67), 03-Июл-22, 19:05   +1 +/
давай конкретный воспроизводимый пример, трепло
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51

70. Сообщение от Аноним (67), 03-Июл-22, 19:09   +2 +/
о, завсегдатаи с шутками за 100. опеннет стабилен
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53

71. Сообщение от Аноним (71), 03-Июл-22, 20:29   +/
А вот и мамкины ибэшники подъехали, у которых внутри домашнего ланчика фаерволлы не нужны.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38 Ответы: #75

72. Сообщение от Аноним (71), 03-Июл-22, 20:32   +/
> Когда сделают фильтр по имени процесса, просящего доступ в сеть?

Когда ты опишешь надёжный, непротиворечивый и невзламываемый метод определения имени процесса. В любой ОС на выбор.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44 Ответы: #73

73. Сообщение от ыы (?), 04-Июл-22, 09:25   +/
Зачем его "определять"? Он известен изначально.

Вы вероятно думаете, что процесс инициируется в момент появления пакета на интерфейсе? Тоесть ничего небыло и вдруг:
Пакет на интерфейсе!!! ААААА!!! Что с ним делать !??!! ...ааааа..паника.. откуда взялся этот пакет !?? ... ааааа [стук головы об радиатор процессора]... что делать??

Такое да? :)

В момент появления пакета на интерфейсе -  за ним уже давно наблюдали, и откуда он взялся хорошо известно. Просто в винде файрвол писали для людей, а в линуксе - для маршрутизатора ...

Как только количество линуха на десктопе превысит погрешность измерения -  ктото озаботится и напишет обертку под механизмы которые в ядре были давным давно и которую гордо назовет НекстГенерейшенЮзерАппликейшенФайрвол...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #72 Ответы: #99

74. Сообщение от bOOster (ok), 04-Июл-22, 11:29   +1 +/
Это точно, поголовно лезут в IT даже те кто ничерта в этом не понимает и в целом не хотят понимать. В результат выплывают вот такие вот поделки. Облегчить жизнь лохам и осложняющую серверную платформу в принципе.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22

75. Сообщение от 1 (??), 04-Июл-22, 11:39   +/
*V*ланчика
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #71

76. Сообщение от pfg21 (ok), 04-Июл-22, 12:09   +/
т.е. если я файл своей кривой поделки проименую ssh то получу все возможности ssh, однако мысль мне нравитца.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #77

77. Сообщение от ыы (?), 04-Июл-22, 13:22   +/
>т.е. если я файл своей кривой поделки

Да.

>проименую ssh

Ну допустим...

>то получу все возможности ssh,

Схуали?

>однако мысль мне нравитца.

Штирлиц подумал мысль... Ему понравилось и он подумал еще :)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #76 Ответы: #82

78. Сообщение от Аноним (78), 04-Июл-22, 14:07   +/
В БЗДе нет Дбус?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #83, #96

79. Сообщение от Аноним (78), 04-Июл-22, 14:14   +/
>Может я чего не понимаю.

Башескритования не понимаешь. Можно по PID. А чтобы его получить, есть Bash.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44

80. Сообщение от Аноним (78), 04-Июл-22, 14:16   +/
Какввенде!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #60

81. Сообщение от pfg21 (ok), 04-Июл-22, 14:56   +/
ну дык истинный бог. который онные атомы для оберток и наштамповал.  
управлять, расти тебе дитятко до ентого... еще долго и трудно...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48

82. Сообщение от pfg21 (ok), 04-Июл-22, 14:59   +/
срояли йопт, оно ж того именования сервисов читает, а эта вещчъ гвоздями не прибитая.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #77 Ответы: #87

83. Сообщение от BorichL (ok), 04-Июл-22, 15:52   +1 +/
В базовой системе конечно нет, нахрена там этот дерибас? Уязвимости собирать? Если тебе надо dbus - ставишь из портов, а так ну нахрен он например в FAMP'е?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #78

84. Сообщение от BorichL (ok), 04-Июл-22, 15:57   +/
Вероятно ты вообще слабо понимаешь, что это, зачем это и как всё это работает. Хомячковый фаерволл вобщем то занимает всего несколько строк правил и достаточен для одминов локалхоста и территориально расположен в его роутере.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44 Ответы: #88

85. Сообщение от Минона (ok), 04-Июл-22, 15:59   +/
В centos он выпилен в пользу chrony
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #63 Ответы: #90

87. Сообщение от ыы (?), 04-Июл-22, 20:31   +/
> именования сервисов читает

из простого текстового файла, который никакого отношения ни к реальным сервисам, ни к ИМЕНАМ ФАЙЛОВ не имеет.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #82

88. Сообщение от ыы (?), 04-Июл-22, 20:34   +/
это в линухе так. файрвол стоит "гдето там на роутере и имеет пару правил".
А в нормальной адекватной ОС- файрвол стоит на компе юзера, и педантично управляет допуском и блокированием работы с сетью каждого конкретного процесса в системе.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #84 Ответы: #89

89. Сообщение от BorichL (ok), 04-Июл-22, 21:07   +/
> это в линухе так. файрвол стоит "гдето там на роутере и имеет
> пару правил".
> А в нормальной адекватной ОС- файрвол стоит на компе юзера, и педантично
> управляет допуском и блокированием работы с сетью каждого конкретного процесса в
> системе.

Насчёт адекватности такой ОС есть большие сомнения. Ну для мамкиного хакера такая может и пойдёт. А обычному юзеру этот типа фаерволл нахрен не упёрся, юзеру надо, чтобы работало, а не пыталось блокировать то, что он хочет.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #88

90. Сообщение от Аноним (90), 05-Июл-22, 10:18   +/
Так chronyd же... Придется выпиливать (

   1691 ?        S      0:00 /usr/sbin/chronyd -F 2

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #85

91. Сообщение от Аноним (90), 05-Июл-22, 10:20   +/
Ну httpd заменим на nginx. atd, crond - выкинуть заменив systemd-timers. smbd - нефиг виндузятникам потакать, пусть ставят нормальные ОС, выкинем.

А что брать вместо rsyslogd? Вместо smartd? Вместо sshd, наконец?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56

92. Сообщение от Аноним (90), 05-Июл-22, 10:22   +/
Так для этого поддерживается добавление своего сервиса sshd-my-cool-port...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

93. Сообщение от Аноним (90), 05-Июл-22, 10:24   +/
Это фигня. Куда важнее фича что можно открыть порт на минуту или на 10 минут, типа нужно что-то проверить или эксперимент произвести, а потом не забывать закрыть. Вот firewalld сам закроет ка было через заданное время.

Очень полезная фича при поиске неясных проблем.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #94

94. Сообщение от gapsf2 (ok), 05-Июл-22, 11:26   +/
Вот наивные - думают, что это некий эксклюзив firewalld и что только благодаря firewalld такое возможно.
Это не так.
Реализовано это (может быть) с помощью возможностей ipset: при добавлении в список можно указать таймаут, по истечении которого элемент будет удален из списка *автоматически* (т.е. ядром).
Ну и очевидно, примитивно манипуляцией правилами iptables/nftabels через cron.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #93 Ответы: #95

95. Сообщение от Аноним (90), 05-Июл-22, 12:36   +1 +/
Брр. Почему *только*?

Это очевидно делается руками или через крон. Просто firewalld делает это автоматически, убирая риски забывчивости. Типа "вот мне порт открыть на минуту, погонять iperf" а потом гоняем 5 минут и забываем. Ну от этого открытого порта проблем не будет, но ситуации разные бывают. Вы что, думаете кто-то полезет крон джоб писать каждый раз для этого?

А тут эта фича ничего не стоит в плане усилий, добавил --timeout и оно само выключится.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #94

96. Сообщение от псевдоеимус (?), 05-Июл-22, 19:27   +/
штатно конечно нет. омнопроги тянут по зависимостям.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #78

97. Сообщение от Аноним (97), 06-Июл-22, 11:11   +/
когда уже появиться mycomputerd ???
Ответить | Правка | Наверх | Cообщить модератору

98. Сообщение от Аноним (90), 06-Июл-22, 22:30   +/
Речь просто про более фичастый вариант бывшего /etc/services (который некорректен в плане tcp/udp, смешивает в кучу абстрактные протоколы и конкретные программные реализации, плохо отражает приложения которым нужно более одного порта и тп). Т.е. да, поддерживается список определений, какие порты какое приложение требует. Они в раздельных файлах, поэтому определение может идти в конкретном приложении, а не общем firewalld.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42

99. Сообщение от Аноним (99), 08-Июл-22, 12:24   +/
Просто ты не отличаешь L4 файрвол от L7 файрвола.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #73


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру