फ़ायरवॉल बनाम iptables - जब उपयोग करना है [बंद]


29

TL; DR नए CentOS सर्वर इंस्टाल पर, क्या मुझे फ़ायरवॉल का उपयोग करना चाहिए या इसे अक्षम करना चाहिए और उपयोग करने के लिए वापस जाना चाहिए /etc/sysconfig/iptables?


फ़ायरवॉल और iptables समान उद्देश्य पूरा करते हैं। दोनों पैकेट छानने का काम करते हैं - लेकिन अगर मैं इसे सही ढंग से समझूं तो फायरवॉल पूरे नियम को नहीं बदलता है और हर बार बदलाव किया जाता है।

मैं iptables के बारे में बहुत कुछ जानता हूं लेकिन फ़ायरवॉल के बारे में बहुत कम।

फेडोरा और आरएचईएल / सेंटोस पर - पारंपरिक आईपीटेबल्स कॉन्फ़िगरेशन में किया गया था /etc/sysconfig/iptables। फ़ायरवॉल के साथ, यह कॉन्फ़िगरेशन में रहता है /etc/firewalld/और XML फ़ाइलों का एक सेट है। फेडोरा इस विरासत विन्यास के प्रतिस्थापन के रूप में फायरवालड की ओर बढ़ रहा है। मैं समझता हूं कि फ़ायरवॉल हुड के तहत iptables का उपयोग करता है, लेकिन यह भी है कि यह ऊपर के रूप में स्वयं कमांड लाइन इंटरफ़ेस और कॉन्फ़िगरेशन फ़ाइल स्वरूप है - जो कि मैं एक बनाम दूसरे का उपयोग करने के संदर्भ में बात कर रहा हूं।

क्या कोई विशेष कॉन्फ़िगरेशन / परिदृश्य है जो इनमें से प्रत्येक के लिए सबसे उपयुक्त है? NetworkMangaer बनाम नेटवर्क के मामले में, ऐसा प्रतीत होता है कि हालाँकि NetworkManager को नेटवर्क स्क्रिप्ट के प्रतिस्थापन के रूप में देखा जा सकता है, क्योंकि यह नेटवर्क ब्रिज सपोर्ट और कुछ अन्य चीजों की कमी के कारण है, बहुत से लोग इसे सर्वर सेटअप पर उपयोग नहीं कर रहे हैं सब। इसलिए "यदि आप एक लिनक्स पर हैं desktop/gui, और यदि आप एक सर्वर चला रहे हैं तो नेटवर्क का उपयोग करें" NetworkManager का उपयोग करें । यही मैं विभिन्न पदों को पढ़ने से उठाता हूं - लेकिन यह कम से कम उन चीजों के लिए एक व्यावहारिक उपयोग के रूप में एक मार्गदर्शिका देता है - कम से कम जैसे वे अपनी वर्तमान स्थिति में खड़े होते हैं।

लेकिन मैं फ़ायरवॉल के साथ यही काम कर रहा हूँ और बस इसे बंद कर रहा हूँ और इसके बजाय iptables का उपयोग कर रहा हूँ। (मैं लगभग हमेशा सर्वर पर लिनक्स स्थापित कर रहा हूं, डेस्कटॉप उपयोग के लिए नहीं)। क्या फायरवाल्ड iptables के लिए एक प्रभावी प्रतिस्थापन है और क्या मुझे सभी नई प्रणालियों पर इसका उपयोग करना चाहिए?


10
फायरवालड नीचे की ओर iptables का उपयोग करता है।
user9517 GoFundMonica

ज़रूर, और यह समझ में आता है। लेकिन जाहिर है कि आप अपने कॉन्फिगरेशन को कैसे स्टोर करते हैं और किस टूल का उपयोग करते हैं, इसके बीच एक बड़ा अंतर है - iptables बनाम फ़ायरवॉल-cmd, / etc / sysconfig / iptables बनाम /etc/firewalld/.../*.xxml प्रश्न को संशोधित करेगा। थोड़ा स्पष्ट करने के लिए।
bgp

हर बार एक मौका बनाने पर "पूरे नियम को फ्लश करने" की कोई आवश्यकता नहीं है iptables। यह सिर्फ एक फ्रंट एंड टूल है, अगर यह टेबल्स को फ्लश कर रहा है तो इसलिए कि आपने इसे बताया था।
20

स्पष्ट करने के लिए, मैं "सेवा iptables पुनरारंभ" का उल्लेख कर रहा हूं, जिससे नियमों को हटाया जा सकता है और फिर से जोड़ा जा सकता है। (हालांकि वह अभी भी कनेक्शन स्थिति को प्रभावित नहीं करता है, जो अच्छा है।) आप व्यक्तिगत नियमों को संशोधित करने के लिए कमांड लाइन से केवल iptables कमांड चला सकते हैं - लेकिन मैं आमतौर पर / etc / sysconfig / iptables में सब कुछ रखने की कोशिश करता हूं। डिस्ट्रो द्वारा प्रदान किए गए उपकरण द्वारा सुझाए गए सम्मेलन से चिपके रहने के लिए "सेवा" कमांड का उपयोग करें।
bgp

जवाबों:


12

जैसा कि firewalldXML कॉन्फ़िगरेशन पर आधारित है, कुछ सोच सकते हैं कि फ़ायरवॉल को प्रोग्रामेटिक तरीके से कॉन्फ़िगर करना आसान है। यह iptablesकेवल और साथ ही प्राप्त किया जा सकता है , लेकिन एक अलग तरीके से, जो XML नहीं है। यदि आप पहले से ही iptablesकाम करने के तरीके से परिचित हैं , तो आप अपने सभी कॉन्फ़िगरेशन को माइग्रेट क्यों करेंगे firewalld?

यदि आप अपने सबसे बड़े iptablesफ़ायरवॉल नियम को मानते हैं, तो आपको कितनी बार लगता है कि आप गतिशील पहलू से लाभान्वित होंगे firewalld? ज्यादातर मामलों में प्रदर्शन iptablesकभी मुद्दा नहीं होता है। ज्यादातर मामलों में, जहां का प्रदर्शन iptablesएक मुद्दा है, ipsetआधारित स्रोत / गंतव्य आईपी सेट का उपयोग करके तय किया जा सकता है ।

यह एक अलग बहस है कि आपको NetworkManager का उपयोग करना चाहिए या नहीं।


3
iptablesइस मामले में प्रदर्शन अप्रासंगिक है, क्योंकि सुस्ती इस बात की परवाह किए बिना होगी कि नियमों को उपकरण के माध्यम से firewalldया सीधे डाला जाता है या नहीं iptables
20
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.