デスクトップにファイアウォールを設定しようとしています(現在Fedora 29 VMにパッチを適用しています)。私は「基本的にすべてを拒否します」に基づいてしたいと思います。デフォルトの構文を使用する以外に、発信パケットをドロップする方法がないfirewalld.serviceので、私はすぐに無効にしてブロックすることにしました。だから私はそれが電子の現代的な代替であるので、それに頼ることにしました。firewalldiptablesnftables
問題は、システムを再起動した後、iptablesチェーンに私が設定していないいくつかのルールがあることです(そして、そのルールがどこから来たのかわかりません)。一方、# nft list ruleset何も返されません。したがって、iptables私はルールがnft同時にアクティブになり、いくつかのnftルールを設定したときに(「どこでも」来ることができる)ルールがiptables介入できると仮定します。
削除しようとしましたが、削除を拒否し、それに応じて変わることがあると警告iptablesしました。dnfsystemd
では、ここで私の質問のいくつかに答えていただける方ですか?
- ここの概念を正しく理解していますか(
iptablesルールとチェーンは別々であり、nft同時に有効ですか?) - ルールの干渉なし
nftに安定して使用する方法は?iptables - それとも単に使用し
iptablesて削除する必要がありますかnft?
答え1
これが最善のアプローチであるかどうかはわかりませんが、起動後にiptablesが再ロードされるのを防ぐために私がしたことは次のとおりです。
rm /etc/sysconfig/iptables-config
rm /etc/sysconfig/ip6tables-config
systemctl disable firewalld
一番下の質問については、私は個人的にnftableを使用していませんが、同時に機能することを確認するために1つを設定してすべてを削除し、もう1つを開くことができます。両側でこの操作を繰り返します。どちらもpingできない場合はどちらもアクティブです。
2番目の質問は、公開されたコマンドで答えることができると思います。 3番目の質問はコメントに基づいています。学び、使いやすくなると思うことをしなさい。
答え2
質問自体に関しては、元の投稿の最後の2つの質問は次のとおりです。
- iptablesルールの干渉なしにnftを確実に使用する方法は?
- それとも単にiptablesを使用してnftを削除する必要がありますか?
これはnftables wiki説明する:
What happens when you mix Iptables and Nftables?
How do they interact?
nft Empty Accept Accept Block Blank
iptables Empty Empty Block Accept Accept
Results Pass Pass Unreachable Unreachable Pass
したがって、あるトラフィックがあるツールでは許可されますが、他のツールでは許可されていないため、許可されるものについて心配する必要はありません。
私が要求したiptablesルールについては、「システムを再起動した後、iptablesチェーンには私が設定していないいくつかのルールがあります(そして、そのルールがどこから来たのかわかりません)。」、それがから来たことが判明しましたlibvirtd.service。不要なので無効にしました。しかし、痛いことも悪いことはありません。