Во всех мануалах по firewalld пишут, что для проброса портов надо сделать firewall-cmd [--zone=<zone>] --add-forward-port=port=<port>[-<port>]:proto=<protocol> { :toport=<port>[-<port>] | :toaddr=<address> | :toport=<port>[-<port>]:toaddr=<address> }. Круто. Сделано: port=22058:proto=tcp:toport=22:toaddr=192.168.122.58. Не работает. В iptables-save есть среди прочего такое:
Беру свои слова обратно, виновником оказался не firewalld, а libvirt,
Если вы сейчас возитесь с firewalld, то выскажите (своё) мнение относительно того, чем firewalld лучше (или не лучше) более привычного (пока?) iptables?
(или не мвоё мнение, а ссылки на публикации в тему, если вы такие знаете)
Учитывая, что это одна из многочисленных обёрток поверх iptables, как он может быть лучше? Может быть, что-то с ним чуть проще настраивается, но при умении обращаться с iptables он больше мешается. Вот гуёвые морды к нему, наверное, намного удобнее писать.
Учитывая, что это одна из многочисленных обёрток повер iptables, как он может быть лучше?
Он действительно работает поверх iptables, но он вводит новую модель и терминологию: использует сетевые зоны для определения уровня доверия сетевого соединения.
Это другая схема, поэтому не верно говорить, что это "обёртка".
Кроме того, во всех публикациях по firewalld имеется такой разделец типа "Избавляемся от FirewallD", т.е. вопрос ставится так: кому нравится - использует firewalld, кому не нравится - перенастраивает работу фойервола с традиционным iptables, т.е. это альтернативы: или то, или это.
Ну да, вводит новую модель, которая в абсолютном большинстве случаев избыточна.
Ну хотите — назовите не обёрткой, а дополнительным уровнем абстракции, как по мне — разница небольшая, только букв много набирать. Суть-то в том, что нельзя сказать, что он лучше или хуже iptables, потому что iptables он не заменяет.
Суть-то в том, что нельзя сказать, что он лучше или хуже iptables, потому что iptables он не заменяет.
Ну не "лучше-хуже", я неправильно задал вопрос, а что удобнее и для каких случаев? (ведь настроив работу с firewalld вы просто так командами iptables пользоваться не сможете).
Какой смысл преследовался, когда они ввели этот дополнительный уровень.
firewalld - кусок дерьма и вместо упрощения жизни админам, делает ее сложнее. приходится им пользоваться, потому что центос7 встроил его по умолчанию в минимал образ. его конечно же можно удалить, но некоторый софт на него уже завязан, например когда ставишь fail2ban из репозитариев, он тянет firewalld как зависимость. нашел удобный способ (через --direct) им пользоваться, если надо добавлять/удалять простые правила. например так
firewalld - кусок дерьма и вместо упрощения жизни админам, делает ее сложнее. приходится им пользоваться, потому что центос7 встроил его по умолчанию в минимал образ.
И не только CentOS: Fedora, RedHat ... Scientific, наверное.
[olej@dell 23]$ dnf list kdesu*
Последняя проверка окончания срока действия метаданных: 3 days, 18:27:16 назад, Sun May 22 23:18:30 2016.
Доступные пакеты
kdesu.x86_64 1:5.6.4-1.fc23 updates
[olej@dell 23]$ dnf info kdesu*
Последняя проверка окончания срока действия метаданных: 3 days, 18:27:34 назад, Sun May 22 23:18:30 2016.
Доступные пакеты
Имя : kdesu
Архитектура : x86_64
Эпоха : 1
Версия : 5.6.4
Релиз : 1.fc23
Размер : 54 k
Репозиторий : updates
Краткое опи : Runs a program with elevated privileges
URL : https://quickgit.kde.org/?p=kde-cli-tools.git
Лицензия : GPLv2+
Описание : Runs a program with elevated privileges.