firewalldとiptables-どちらを使用するか[クローズ]


29

TL; DR新しいCentOSサーバーのインストールでは、firewalldを使用する/etc/sysconfig/iptablesか、それを無効にして使用に戻る必要がありますか?


firewalldとiptablesは同様の目的を果たします。どちらもパケットフィルタリングを行いますが、正しく理解した場合、firewalldは変更が行われるたびにルールセット全体をフラッシュしません。

iptablesについてはよく知っていますが、firewalldについてはほとんど知りません。

FedoraおよびRHEL / CentOSでは、従来のiptables設定はで行われました/etc/sysconfig/iptables。firewalldを使用すると、構成/etc/firewalld/が存在し、XMLファイルのセットになります。Fedoraは、このレガシー構成の代わりとしてfirewalldに移行しているようです。firewalldは内部でiptablesを使用することを理解していますが、上記のように独自のコマンドラインインターフェイスと構成ファイル形式も持っています-これは、一方と他方を使用するという意味で言及しているものです。

これらのそれぞれが最適な特定の構成/シナリオはありますか?NetworkMangaer対networkの場合、NetworkManagerはネットワークブリッジのサポートの不足などの理由でネットワークスクリプトの代替として意図されている可能性がありますが、多くの人はサーバーセットアップでそれを使用していないようです。すべて。したがって、「Linuxを使用している場合はNetworkManagerを使用desktop/guiし、サーバーを実行している場合はネットワークを使用する」という一般的な概念があるようです。それは私がさまざまな投稿を読むことから得たものです-しかし、少なくともそれらが現在の状態にある限り、それは少なくともそれらのものの実用的な使用法についてのガイドを提供します。

しかし、私はこれと同じことをfirewalldで行っており、それをオフにして代わりにiptablesを使用しています。(私はほとんどの場合、Linuxをデスクトップに使用するのではなく、サーバーにインストールしています)。firewalldはiptablesの効果的な代替物ですか?すべての新しいシステムでそれを使用するだけですか?


10
Firewalldは、下のiptablesを使用します。
user9517はGoFundMonicaを

確かに、それは理にかなっています。しかし、明らかに、設定の保存方法と使用するツールには大きな違いがあります-iptables vs firewall-cmd、/ etc / sysconfig / iptables vs /etc/firewalld/.../*.xml質問を修正しますそれを明確にするために少し。
bgp

で「チャンスがつくたびにルールセット全体をフラッシュする」必要はありませんiptables。テーブルをフラッシュするのであれば、それはフロントエンドツールにすぎません。
-gparent

明確にするために、ルールを削除して再追加する原因となる「service iptables restart」に言及しています。(それでも接続状態には影響しませんが、これは良いことです。)もちろん、個々のルールを変更するためにコマンドラインからiptablesコマンドを実行することもできます-しかし、私は通常/ etc / sysconfig / iptablesにすべてを保持しようとします「service」コマンドを使用して、ディストリビューションが提供するツールで提案されている規則に準拠します。
bgp

回答:


12

firewalldXML構成に基づいており、いくつかは、それが、プログラム的にファイアウォールを設定する方が簡単だと思うかもしれません。これiptablesも同様に実現できますが、XMLではない別の方法で実現できます。すでにその方法に慣れている場合iptables、すべての構成を移行する理由は何firewalldですか?

最大のiptablesファイアウォールルールセットを検討する場合、どの程度の頻度で動的な側面の恩恵を受けると思いますfirewalldか?ほとんどの場合、パフォーマンスがiptables問題になることはありません。パフォーマンスがiptables問題となるほとんどの場合、ipsetベースの送信元/宛先IPセットを使用して修正できます。

NetworkManagerを使用する必要があるかどうかは、別の議論です。


3
iptablesこの場合、ルールがツールを介して挿入されるfirewalldか、iptablesツールを使用して直接挿入されるかに関係なく、スローが発生するため、パフォーマンスは無関係です。
-gparent
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.