nftables ááŸáá·áº iptables packet filters áá»á¬ážáá±á«áºááœáẠwrapper áá¯á¶á á¶ááŒáá·áº dynamically controlled firewalld 1.0 á ááŒáá·áºáá»áááŸá¯ááᯠáááºááŒáá¬ážáá«áááºá Firewalld ááẠpacket filter á ááºážáá»ááºážáá»á¬ážááᯠááŒááºáááºá áááºááẠáááá¯á¡ááºáá² ááá¯á·ááá¯áẠáááºááŸááºáá¬ážáá±á¬ áá»áááºáááºááŸá¯áá»á¬ážááᯠáá»áá¯ážáá±á¬ááºááŒááºážáááŸááá² D-Bus ááŸáá áºááá·áº packet filter á ááºážáá»ááºážáá»á¬ážááᯠdynamically ááŒá±á¬ááºážáá²ááá¯ááºá á±ááá·áº áá±á¬ááºáá¶áá¯ááºáááºážá ááºá¡ááŒá Ạáá¯ááºáá±á¬ááºáá«áááºá ááá±á¬áá»ááºááᯠRHEL 7+á Fedora 18+ ááŸáá·áº SUSE/openSUSE 15+ á¡áá«á¡ááẠLinux ááŒáá·áºááŒá°ážááŸá¯áá»á¬ážá áœá¬ááœáẠá¡áá¯á¶ážááŒá¯áá¬ážááŒá®ážááŒá áºáááºá Firewalld áá¯ááºááᯠPython ááŒáá·áºáá±ážáá¬ážáá¬ážááŒá®áž GPLv2 ááá¯ááºá ááºá¡á±á¬ááºááœáẠááá¯ááºá ááºááá¬ážáááºá
Firewall ááᯠá á®áá¶ááá·áºááœá²áááºá¡ááœáẠFirewall-cmd utility ááᯠá¡áá¯á¶ážááŒá¯ááŒá®áž á ááºážáá»ááºážáá»á¬ážáááºáá®ážáá¬ááœáẠIP ááááºá á¬áá»á¬ážá ááœááºáááºááŒá¬ážáá¶áá»á¬ážááŸáá·áº ááá¯á·ááºáá¶áá«ááºáá»á¬ážáá±á«áºááœáẠá¡ááŒá±áá¶áá¬ážááŒááºážááá¯ááºáá² áááºáá±á¬ááºááŸá¯áá»á¬ážáá¡áááºáá»á¬ážáá±á«áºááœáẠá¡ááŒá±áá¶áá¬ážááŒááºážááŒá áºááẠ(á¥ááá¬á SSH ááá¯á·áááºáá±á¬ááºááœáá·áºááœáá·áºááẠáááºááá¯á¡ááºáááºá SSH â âfirewall-cmd âremove âservice=sshâ) ááá¯ááááºááẠâfirewall-cmd âadd âservice=sshâ ááá¯ááœáá·áºáá«á Firewall configuration ááá¯ááŒá±á¬ááºážáá²áááºá firewall-config (GTK) graphical interface ááŸáá·áº firewall-applet (Qt) applet ááá¯á·ááá¯áááºáž á¡áá¯á¶ážááŒá¯ááá¯ááºáá«áááºá D-BUS API firewalld ááŸáá áºááá·áº firewalld á á®áá¶ááá·áºááœá²ááŸá¯á¡ááœáẠáá¶á·ááá¯ážááŸá¯ááᯠNetworkManagerá libvirtá podmaná docker ááŸáá·áº fail2ban áá²á·ááá¯á·áá±á¬ ááá±á¬áá»ááºáá»á¬ážááœáẠáááá¯ááºáá«áááºá
áá¬ážááŸááºážáá¶áá«ááºááœáẠáááá¬áááºááŸá¬ážáá±á¬ááŒá±á¬ááºážáá²ááŸá¯ááẠáá±á¬ááºááŒááºááá¯ááºáááºáá®ááŸá¯ááᯠáá»áá¯ážáá»ááºááŒá®áž áá¯ááºáá»á¬ážááŸáá·áº áá¯ááºáá±á¬ááºááá·áºá¡ááŒá¯á¡áá°ááᯠááŒá±á¬ááºážáá²á á±ááá·áº á¡ááŒá±á¬ááºážá¡áá²áá»á¬ážááŸáá·áº áááºá ááºáá±áááºá áá¯ááºá¡ááœááºáž áááºááŸááºáá¬ážáá±á¬ á á áºáá¯ááºááŒááºážááá¯ááºáᬠááá·áºáááºáá±á¬ááºáá»á¬ážá¡á¬ážáá¯á¶ážááᯠááá¯á¡áá« firewalld áá¯ááºáá±á¬ááºáá±ááá·áº host áᶠááááºá á¬áá±ážáá¬ážáá±á¬ á¡ááœá¬ážá¡áá¬á¡ááœááºáᬠá¡áá¯á¶ážááŒá¯áá¬ážááŒá®áž ááŒááºáááºážááœá¬ážáá¬ááŸá¯ááᯠá á áºáá¯ááºááŒááºážááá¯ááºáᬠáááºáááºáá°áá«ááá»á¬áž ááá¯á¡ááºáá«áááºá áááá¬áááºááŸá¬ážáá±á¬ááŒá±á¬ááºážáá²ááŸá¯áá»á¬áž-
- áááºážááᯠiptables áá»á¬ážááááºááœáẠá¡áá¯ááºáá¯ááºááẠááœáá·áºááŒá¯áá¬ážáá±á¬ áá±á¬ááºáá¶ááá¯ááºááẠá¡áá¯á¶ážáááŒá¯áá±á¬á·ááŒá±á¬ááºáž ááŒá±áá¬áá¬ážáááºá iptables áá»á¬ážá¡ááœáẠáá¶á·ááá¯ážááŸá¯á¡á¬áž áá»áŸá±á¬áºááŸááºážáááááá¯ááºáá±á¬ á¡áá¬áááºá¡ááœáẠáááºáááºááááºážááááºážáá¬ážáááºááŒá áºááŒá®ážá ááá¯á·áá±á¬áº ဠbackend ááᯠááœá¶á·ááŒáá¯ážáá¬áááºááá¯ááºáá«á
- áá¯ááºá¡ááœááºáž áááºááá·áºááá¯á·ááŒááºážáá¯ááºááᯠáá¯ááºá¡áá áºá¡á¬ážáá¯á¶ážá¡ááœáẠáá°ááá¯á¶á á¶ááŒáá·áº ááœáá·áºáá¬ážááŒá®áž ááœááºáááºá¡ááºáá¬áá±á·á áºáá»á¬áž ááá¯á·ááá¯áẠáááºážááŒá±á¬ááºážááá¯ááºáá¬áááºážááŒá áºáá»á¬ážá¡ááŒá¬áž áá¯ááºáá áºáá¯á¡ááœááºáž (á¡áá»á¬ážááŒááºáá°á ááááºááá¯á·ááŒááºážá áá¯á¶ááŒááºá áááºáá»ááá±á¬á á¡ááœááºážááá¯ááºáž á áááºááŒáá·áº) á¡ááŒá¬áž á¡á á¯á¶ááá¯ááºáá»á¬ážááᯠááœááºáááºá áœá¬ ááœá±á·áá»á¬ážááœáá·áºááŒá¯áááºá á¡ááŒá¯á¡áá°áá±á¬ááºážááᯠááŒááºá áá¯ááºáá áºáá¯á¡ááœááºáž packets áá»á¬ážáááá¯á·ááŒááºážá០áá¬ááœááºáááºá áááºááẠâfirewall-cmd âpermanent âzone public âremove-forwardâ á¡áááá·áºááᯠá¡áá¯á¶ážááŒá¯ááá¯ááºáááºá
- ááááºá á¬áá¬áá¬ááŒááºááá¯ááŒááºáž (NAT) ááŸáá·áºááá¯ááºáá±á¬ á ááºážáá»ááºážáá»á¬ážááᯠ"inet" áááá¯ááá¯áá±á¬ áááá¬ážá á¯ááá¯á· ááœáŸá±á·ááá¯ááºááẠ(ááááºá IPv6 ááŸáá·áº IPv4 á¡ááœáẠá ááºážáá»ááºážáá»á¬ážááᯠáááºááœá¬ážááẠááá¯á¡ááºáá¬áá²á·ááá·áº "ip" ááŸáá·áº "ip6" áááá¬ážá á¯áá»á¬ážááá¯á· ááœáŸá±á·áá¬ážáááºá ááŒá±á¬ááºážáá²ááŸá¯ááẠipset ááá¯á¡áá¯á¶ážááŒá¯ááá·áºá¡áá« áááºáá°áá»á¬ážááᯠáááºááŸá¬ážááá¯ááºá á±ááẠ- ipset ááá·áºááœááºážááŸá¯áá»á¬ážá áááá¹áá°áá¯á¶ážá á±á¬ááºá¡á á¬ážá áá áºáá¯ááᯠááá¯á¡áá¯á¶ážááŒá¯áá¬ážáááºá
- "--set-target" áá±á¬ááºá¡ááœááºáž áááºááŸááºáá¬ážáá±á¬ "áá°á" áá¯ááºáá±á¬ááºáá»ááºááẠááá¯á¡áá« "ááŒááºážáááº" ááŸáá·áº áá®áá»áŸáááºá áá¯ááºá¡ááœááºážááŸá áááºááŸááºáá¬ážáá±á¬ á ááºážáá»ááºážáá»á¬ážá¡á±á¬ááºááœáẠááá»áá±á¬ááºáá±á¬ áááºáá±á·áá»áºáá»á¬ážá¡á¬ážáá¯á¶ážááᯠáá¯á¶ááŸááºá¡á¬ážááŒáá·áº ááááºááá¯á·ááœá¬ážáá«áááºá ááŒáœááºážáá»ááºáá áºáá¯ááẠICMP áááºáááºáá»á¬ážá¡ááœááºáᬠááŒá¯áá¯ááºáá¬ážááŒá®ážá ááŒááºáááºážááœáá·áºááŒá¯áá²ááŒá áºáááºá á¡áá»á¬ážáá°ááŸá¬áááºáá±á¬ááºááá¯ááºáá±á¬ "áá¯á¶ááŒááºá áááºáá»ááá±á¬" áá¯ááºá¡ááœáẠá¡áá°á¡áá»áá·áºáá±á¬ááºážááᯠááŒááºááŒá±á¬ááºážáááºá¡ááœáẠá¡á±á¬ááºáá«á ááºážáá»ááºážáá»á¬ážááᯠáááºá¡áá¯á¶ážááŒá¯ááá¯ááºáááº- firewall-cmd âpermanent ânew-policy allowForward firewall-cmd âpermanent âpolicy allowForward âset-target ACCEPT firewall-cmd âpermanent â áá±á«áºáá á®-ááŸá±á·áááºááœáá·áºâadd-ingress -zone public firewall-cmd âpermanent âpolicy allowForward âadd-egress-zone trusted firewall-cmd âreload
- "--set-target catch-all" á ááºážáá»ááºážááᯠááá¯ááºáá±á¬ááºáá® á¡ááŒá¯ááá±á¬áá±á¬ááºáá±á¬ áŠážá á¬ážáá±ážáá°áá«ááá»á¬ážááᯠááá¯áá»ááºáá»ááºáž áá¯ááºáá±á¬ááºáá«áááºá áá±á¬ááºáá¯á¶áž drop ááá¯áááá·áºáá®ááœáẠâ--set-target drop|reject|acceptâ ááá¯áá¯á¶ážááá·áºáá¯ááºáá»á¬ážá¡ááœáẠá¡áá«á¡ááẠá ááºážáá»ááºážáá»á¬ážááᯠááŒááºážáááºáá« ááá¯á·ááá¯áẠáááºáá¶áá«á
- ICMP ááááºááá¯á·ááŒááºážááẠááá¯áááºááŸá host (input) ááá¯á· áá±ážááá¯á·áá¬ážáá±á¬ á¡áááºáááºáá±á·áá»áºáá»á¬ážááŸáá·áºáᬠáááºááá¯ááºááŒá®áž áá¯ááºáá»á¬ážááŒá¬áž (ááŸá±á·ááá¯á·) ááŒááºááœáŸááºážáá¬ážáá±á¬ áááºáááºáá»á¬ážááᯠáááááá¯ááºá á±áá«á
- TFTP áááá¯ááá¯áá±á¬á¡ááœáẠáá»áááºáááºááŸá¯áá»á¬ážááᯠááŒá±áá¬áá¶ááẠáá®ááá¯ááºážáá¯ááºáá¬ážááá·áº tftp-Client áááºáá±á¬ááºááŸá¯ááᯠáááºááŸá¬ážááá¯ááºáá«áááºá
- "ááá¯ááºááá¯ááº" á¡ááºáá¬áá±á·á áºááᯠáááºááá¯ááºážááá¯ááºááŒá®ážá á¡ááá·áºáá¯ááºáá¬ážáá±á¬ áááºáááºá á áºáá¯ááºááŸá¯á ááºážáá»ááºážáá»á¬ážááᯠááá¯ááºááá¯ááºááá·áºááœááºážááẠááœáá·áºááŒá¯áá¬ážáááºá ááŒááºááœáŸááºážáá¬ážáá±á¬ áááºážááŒá±á¬ááºážááŸáá·áº ááœááºááœá¬ážááá·áº áááºáá±á·ááºá»áá»á¬ážááᯠá á áºáá¯ááºááá¯ááºá áœááºážááᯠáá±á«ááºážááá·áºááŒá®ážáá±á¬áẠá€á¡ááºáá¬áá±á·á áºá¡ááœáẠááá¯á¡ááºáá»ááºááẠáá»á±á¬ááºááœááºááœá¬ážáá²á·áááºá
- áá¯á¶áá±á¡á¬ážááŒáá·áº "áááŸá" ááá¯á·ááŒá±á¬ááºážáá¬ážááá·áº CleanupModulesOnExit áá«áá¬áá®áá¬ááᯠáááºááá·áºáá¬ážáááºá á€áá«áá¬áá®áá¬ááá¯á¡áá¯á¶ážááŒá¯ááŒááºážááŒáá·áºá firewalld ááááºááŒá®ážáá±á¬áẠkernel module áá»á¬ážááᯠunloading ááᯠááááºážáá»á¯ááºááá¯ááºáááºá
- áá áºááŸááºá áá Ạ(áŠážáááºáá¬áá±áá¬) ááᯠáá¯á¶ážááŒááºáá¬ááœáẠipset ááᯠá¡áá¯á¶ážááŒá¯ááẠááœáá·áºááŒá¯áá¬ážáááºá
- WireGuardá Kubernetes ááŸáá·áº netbios-ns áááºáá±á¬ááºááŸá¯áá»á¬ážá¡ááœáẠá¡áááá¹áá«ááºááœáá·áºááá¯áá»ááºáá»á¬áž ááá·áºááœááºážáá¬ážáááºá
- zsh á¡ááœáẠá¡ááá¯á¡áá»á±á¬ááºááŒáá·áºá áœááºááŒááºážá ááºážáá»ááºážáá»á¬ážááᯠá¡áá±á¬ááºá¡áááºáá±á¬áºáá²á·áááºá
- Python 2 á¡ááœáẠáá¶á·ááá¯ážááŸá¯ááᯠáááºááá¯ááºážááá¯ááºáá«ááŒá®á
- ááŸá®ááá¯ááŸá¯á á¬áááºážááᯠá¡ááá¯áá»á¯á¶ážááŒá®ážáá«ááŒá®á Firewalld á¡áá¯ááºáá¯ááºáááºá¡ááœááºá Linux kernel á¡ááŒááºá áá áºáá¯áááºážáá±á¬ python á á¬ááŒáá·áºááá¯ááºáá»á¬áž dbusá gobject ááŸáá·áº nftables áá»á¬ážááᯠááᯠááá¯á¡ááºááŒá®áž ebtablesá ipset ááŸáá·áº iptables áááºáá±á·áá»áºáá»á¬ážááᯠá áááºááŒáá¯ááºááœá±ážáá»ááºááá¯ááºáááºá python libraries decorator ááŸáá·áº slip á¡á¬áž ááŸá®ááá¯ááŸá¯á០áááºááŸá¬ážááá¯ááºáá«ááŒá®á
source: opennet.ru