TL; DR При установке нового сервера CentOS должен ли я использовать firewalld или просто отключить его и вернуться к использованию /etc/sysconfig/iptables ?
firewalld и iptables служат аналогичным целям. Оба выполняют фильтрацию пакетов, но, если я правильно понимаю, firewalld не сбрасывает весь набор правил при каждом изменении.
Я много знаю об iptables, но очень мало знаю о firewalld.
В Fedora и RHEL / CentOS - традиционная конфигурация iptables выполнялась в /etc/sysconfig/iptables. В firewalld его конфигурация живет в /etc/firewalld/ и представляет собой набор файлов XML. Fedora, похоже, движется к firewalld в качестве замены этой устаревшей конфигурации. Я понимаю, что firewalld использует iptables под капотом, но у него также есть собственный интерфейс командной строки и формат файла конфигурации, как указано выше - это то, что я имею в виду с точки зрения использования одного по сравнению с другим.
Есть ли конкретная конфигурация / сценарий, для которых лучше всего подходит каждый из них? В случае NetworkMangaer vs network кажется, что, хотя NetworkManager мог быть задуман как замена для сетевых сценариев, из-за отсутствия поддержки сетевого моста и некоторых других вещей многие люди просто не используют его при настройке серверов на все. Таким образом, похоже, существует общая концепция «использовать NetworkManager, если вы используете Linux. desktop/gui, и сеть, если вы используете сервер ". Это то, что я уловил, читая различные сообщения, - но он, по крайней мере, дает представление о том, как можно использовать эти вещи - по крайней мере, в том виде, в каком они находятся в их текущем состоянии.
Но я проделал то же самое с firewalld и просто отключил его и вместо этого использовал iptables. (Я почти всегда устанавливаю Linux на сервер, а не на настольный компьютер). Является ли firewalld эффективной заменой iptables, и следует ли мне просто использовать его во всех новых системах?
Так как firewalld основан на конфигурации XML, некоторые могут подумать, что проще настроить брандмауэр программным способом. Это может быть достигнуто iptables точно так же, но другим способом, который не является XML. Если вы уже знакомы с способом iptables работает, зачем вам переносить всю свою конфигурацию на firewalld?
Если вы считаете своим самым большим iptables набор правил брандмауэра, как часто, по вашему мнению, вы могли бы получить пользу от динамического аспекта firewalld? В большинстве случаев производительность iptables никогда не проблема. В большинстве случаев, когда производительность iptables проблема может быть решена с помощью ipset на основе наборов IP источника / назначения.
Другой вопрос, стоит ли вам использовать NetworkManager или нет.