Я занимаюсь пилотным развертыванием Fedora 20, и, несмотря на наличие внешней защиты брандмауэра, правила здесь говорят, что мне нужно, чтобы отдельные брандмауэры были активны на каждом хосте.
Теперь приходит этот firewalld - новый король здесь, так что я изучаю его пути.
Теперь у меня есть очищенный список портов, после объявления (непубличной) зоны по умолчанию и некоторых типичных служб, а также конкретной службы, которая, похоже, работает нормально.
Однако при применении любых изменений (--постоянный режим) и перезагрузке брандмауэра:
# firewall-cmd --reload
занимает слишком много времени, порядка 10+ минут, чтобы завершить команду, что весело заканчивается "успехом". В течение всего этого времени компьютер практически не используется, так как происходит потеря связи.
Но после этого все работает, как ожидалось.
Журналы пока бесполезны ...
Запуск / остановка службы работает нормально, выполняется в течение 1-2 секунд, чего и можно было ожидать.
Могу ли я что-нибудь упустить / упустить? Как можно было устранить это раздражающее поведение?
Спасибо
Что касается устранения неполадок, здесь объясняется, как включить отладочную информацию в firewalld:
https://lists.fedorahosted.org/pipermail/firewalld-users/2013-Feb February/000049.html
Возможно, вы также могли бы попробовать:
# firewall-cmd --complete-reload
из firewall-cmd
страница руководства:
Полностью перезагрузите брандмауэр, даже модули ядра netfilter. Скорее всего, это приведет к прекращению активных соединений, поскольку информация о состоянии будет потеряна. Этот параметр следует использовать только в случае серьезных проблем с брандмауэром. Например, при наличии проблем с информацией о состоянии невозможно установить соединение с правильными правилами брандмауэра.
Если --complete-reload
оказывается шустрее, может быть в пользу вашей теории зависания коннекта.