데스크탑에 방화벽을 설정하려고 합니다(현재 Fedora 29 VM을 패치하는 중입니다). 저는 "기본적으로 모든 것을 거부합니다"를 기반으로 하고 싶습니다. 기본 구문을 사용하는 것 외에는 나가는 패킷을 삭제할 수 있는 방법이 없기 firewalld.service때문에 나는 거의 즉시 비활성화하고 차단하기로 결정했습니다 . 그래서 나는 그것이 전자에 대한 현대적인 대안이기 때문에 그것에 의지하기로 결정했습니다 .firewalldiptablesnftables
문제는 시스템을 다시 시작한 후 iptables체인에 내가 설정하지 않은 몇 가지 규칙이 있다는 것입니다(그리고 그 규칙이 어디서 왔는지 모르겠습니다). 반면에 # nft list ruleset아무것도 반환되지 않습니다. 따라서 iptables나는 의 규칙이 nft동시에 활성화되고 몇 가지 nft규칙을 설정할 때 ("어디서나" 올 수 있는) 규칙이 iptables개입할 수 있다고 가정합니다 .
삭제를 시도했지만 삭제를 거부하고 이에 따라 달라질 수 있다고 경고 iptables했습니다 .dnfsystemd
그럼 여기에서 제 질문 몇 가지에 답변해 주실 수 있는 분 계십니까?
- 여기의 개념을 올바르게 이해하고 있습니까(
iptables규칙과 체인은 별개이며nft동시에 유효합니까)? - 규칙의 간섭
nft없이 안정적으로 사용하는 방법은 무엇입니까 ?iptables - 아니면 단순히 사용
iptables하고 삭제 해야 합니까nft?
답변1
이것이 최선의 접근 방식인지는 확실하지 않지만 부팅 후 iptables가 다시 로드되는 것을 막기 위해 내가 한 일은 다음과 같습니다.
rm /etc/sysconfig/iptables-config
rm /etc/sysconfig/ip6tables-config
systemctl disable firewalld
하단에 있는 질문에 관해서는 저는 개인적으로 nftable을 사용하지 않았지만 동시에 작동하는지 확인하기 위해 하나를 설정하여 모든 것을 삭제하고 다른 하나를 열 수 있습니다. 양쪽에서 이 작업을 반복합니다. 어느 쪽도 핑을 할 수 없으면 둘 다 활성 상태입니다.
두 번째 질문은 게시된 명령에서 답변할 수 있다고 생각합니다. 세 번째 질문은 의견 기반입니다. 배우고 사용하기가 더 쉽다고 생각하는 것을 하십시오.
답변2
질문 자체에 관해서는 원래 게시물의 마지막 두 질문은 다음과 같습니다.
- iptables 규칙의 간섭 없이 nft를 안정적으로 사용하는 방법은 무엇입니까?
- 아니면 단순히 iptables를 사용하고 nft를 제거해야 합니까?
이것은nftables 위키설명하다:
What happens when you mix Iptables and Nftables?
How do they interact?
nft Empty Accept Accept Block Blank
iptables Empty Empty Block Accept Accept
Results Pass Pass Unreachable Unreachable Pass
따라서 특정 트래픽이 한 도구에서는 허용되지만 다른 도구에서는 허용되지 않기 때문에 허용되는 것에 대해 걱정할 필요가 없습니다.
제가 요청한 iptables 규칙에 관해서는,"시스템을 다시 시작한 후 iptables 체인에는 내가 설정하지 않은 몇 가지 규칙이 있습니다(그리고 그 규칙이 어디서 왔는지 모르겠습니다).", 그것이 에서 온 것으로 밝혀졌습니다 libvirtd.service. 필요하지 않았기 때문에 비활성화했습니다. 하지만 안 아파도 나쁠 건 없어요.