Я настраиваю Fail2ban для защиты ssh, и я использую firewalld, я видел много людей, рекомендующих использовать anaction = iptables-multiport и другие решения, использующие iptables вместо firewalld, утверждающие, что он быстрее или потребляет меньше ресурсов.
Как я уже сказал, я уже настроил firewalld (на самом деле я просто заблокировал все порты, кроме тех, которые я использую, что заняло у меня 3 минуты), и я хотел знать, следует ли мне использовать iptables или firewalld, установив firewallcmd-ipset вместо указанной выше конфигурации (в зависимости от того, что будет быстрее).
Также я заметил, что у меня установлен пакет iptables, даже если я не помню, как устанавливал его, однако он не работает и не может быть запущен.
Итак, чтобы уточнить:
Какой лучше по производительности?
Какой брандмауэр по умолчанию использует fail2ban на centos7?
Заменяет ли firewalld Iptables или это просто другой способ взаимодействия с ним?
Впереди спасибо!
Если вы уже используете firewalld, тогда у вас должен быть fail2ban, а также firewalld. Нет смысла использовать iptables напрямую в этом сценарии. Не говоря уже о том, что firewallcmd-ipset имеет гораздо лучшую производительность для больших списков запретов, чем iptables-multiport.
Я боролся с этим в течение нескольких дней, и мне было удобнее вообще не задействовать iptables.