Názory k článku Firewalld: vlastní zóna a práce se sadami adres
-
Filip JirsákStříbrný podporovatelTohle je několikátý článek ze série. V prvním článku série je popsáno, co je vlastně firewalld zač – je to „jen“ konfigurační nástroj, samotné filtrování pořád dělá iptables nebo nftables. Takže pokud vám jde o výkon filtrování, to neovlivňuje firewalld, ale firewall použitý „vespod“ (samozřejmě pokud firewalld nevytvoří hloupá pravidla).
-
A jak chceš jednoduše zajistit správné routování do kontejneru? To chceš pokaždé řešit vše ručně? Navíc, je to zdokumentovaná vlastnost, nikdo to před uživateli netají.
Úplně stejně sahá do firewallu třeba i nahození OpenVPN tunelu. Tam je to v pořádku?
Upřímně řečeno, toto je věc, která mi na dockeru vadí nejméně.
-
To se nevylučuje s Dockerem - nainstaloval docker a přečetl si dokumentaci. Nakonfiguroval v dockeru síť a tím v souladu s dokumentací souhlasil s tím, co bude součástí firewallu. Bez toho by kontejnery nemohly fungovat dle očekávání.
Pořád můžeš dockeru zakázat sahat na síť a pravidla si nahodit sám. Při každém spuštění kontejneru, při jeho vypnutí, při jeho vytvoření a smazání. Při takovém ladění kontejneru to můžou být i dva/tři cykly za minutu. Velice rychle bys skončil u skriptu, který to udělá za Tebe. To už není daleko od toho, aby to za Tebe dělal Docker. Zvláště, když je to zdokumentované jednání.
Mimochodem, je vidět, že s Dockerem nemáš moc zkušeností. Jinak bys věděl, že ne každý uživatel může vytvářet kontejnery a podobně. Stejně tak docker, jako aplikace, není jen jedna binárka, je to CLI frontend, daemon a sada podpůrných skriptů.
-
Oba kolem toho kroužíme, každý z druhé strany...
S tím rootem, no, máš v principu pravdu. Ale tak nějak se všichni nejen u Dockeru spoléháme na to, že si to bude dělat co chce jen v rámci definovaného chování ;)
To, že jsem psal, že nemáš s Dockerem zkušenosti, neber prosím jako nějaké dehonestování Tvé osoby. Je to poznání z mé strany, že potřebuješ lépe vysvětlit problematiku a taky jsem to tak koncipoval. Já zase neumím jiné věci.
-
Filip JirsákStříbrný podporovatel
Ja jsem si myslel doted ze o tom co ma byt ve firewallu rozhoduje spravce…
Vždyť také ano. A někdy ten správce spustí Docker a nechá ho některá pravidla nastavit (protože to dává větší smysl, než aby mu Docker vypsal „teď musíš nastavit tahle pravidla“ a správce by šel a udělal to ručně). -
otazka "proc firewalld misto nftables" je postavena spatne. Tady nejde o zadne "misto", protoze i kdyz pracujes s firewalld, filtruje se porad pres nftables.
Firewalld je neco jako front-end pro nftables. Skratka nastroj, kterej ty pravidla naseka misto tebe. Uznavam ze nekomu to muze zjednodusit zivot, ale ja osobne tyhle veci moc nepouzivam. Radsi si pravidla pisu sam...
