Názory k článku Firewalld: vlastní zóna a práce se sadami adres

Dekuji za clanek, zajimave! Ma nekdo praktickou zkusenost jak je na tom firewalld s performance?

Tak se zeptam jinak, ma nekdo nejakou praktickou zkusenost s nasazenim firewalld v prostredi kde je treba 12-16x 10Gbit a rychlejsich sitovych zarizeni?

Tohle je několikátý článek ze série. V prvním článku série je popsáno, co je vlastně firewalld zač – je to „jen“ konfigurační nástroj, samotné filtrování pořád dělá iptables nebo nftables. Takže pokud vám jde o výkon filtrování, to neovlivňuje firewalld, ale firewall použitý „vespod“ (samozřejmě pokud firewalld nevytvoří hloupá pravidla).

Zrovna ty hloupa pravidla me zajimaji…

Článek jsem jen prolistoval. V čem má výhodu firewalld oproti nftables? Já osobně plánuju iptables nahradit právě nftables. Má někdo argument, proč místo nftables použít firewalld?

Firewalld je integrovaný líp se systémem, takže třeba když změníš pravidla, nepotřebuješ řešit ta co tam přidal docker když startoval. Nějaká integrace je i s NetworkManagerem, ale tam netuším co to přináší.

Jakoze mi aplikace meni svevolne pravidla ve firewallu? To zni jako windows…

Zrovna Docker už to bude bezy dělat celou dekádu, takže to sice zní jako Windows, ale i jako Linux nebo kterýkoli jiný systém, který se snaží, aby ve výchozím stavu byl nejen bezpečný, ale i fungoval.

A jak chceš jednoduše zajistit správné routování do kontejneru? To chceš pokaždé řešit vše ručně? Navíc, je to zdokumentovaná vlastnost, nikdo to před uživateli netají.

Úplně stejně sahá do firewallu třeba i nahození OpenVPN tunelu. Tam je to v pořádku?

Upřímně řečeno, toto je věc, která mi na dockeru vadí nejméně.

Ja tu implementaci neznam, takze se ptam. Jak vi ten fw ze jde o docker a ne o nejaky malware? Chce to alespon sudo u tech zmen nebo jakakoliv aplikace muze delat zmeny do fw?

Existoval operacni system ktery to neresil takto hovnologicky - solaris + projekt crossbow. Plne virtualizovany stacky kontejneru.
Tohle smatani do pravidel je tak cunacke reseni ze by to ani linuxak nevymyslel.

otazka "proc firewalld misto nftables" je postavena spatne. Tady nejde o zadne "misto", protoze i kdyz pracujes s firewalld, filtruje se porad pres nftables.

Firewalld je neco jako front-end pro nftables. Skratka nastroj, kterej ty pravidla naseka misto tebe. Uznavam ze nekomu to muze zjednodusit zivot, ale ja osobne tyhle veci moc nepouzivam. Radsi si pravidla pisu sam...

Je to přesně tak, je to vlastně automatizační nástroj nad nftables. Já taky rád píšu pravidla přímo v nft, ale kolem sebe na školeních i u zákazníků vidím adminy, kteří mají Firewalld rádi. Je to pro ně připravené a často předinstalované řešení, kde stačí jen hodit službu do zóny a je to vyřešené.