CentOS 7 firewalld NAT

[PAvel2]

Zkousel uz nekdo rozchodit Centos7 NAT? Ve virtualce mi to nejde za prase rozchodit. Iptables se snazim uz nepouzivat a pomoci firewalld mi to uprimne vubec nejde. Zkousel sem i par babskejch rad na google a nic :/ Nema s tim nekdo praxi?

[Reklama]

[j]

A proc pouzivas nestadardni sracky? Sem si schvalne nasel http://fedora.cz/firewalld-nahrada-iptables/ proc ze to tam je, a autor je totalni dement. Protoze iptables rozhodne netreba pri zmene restartovat, protoze se da pridavat/odebira nebo menit naprosto cokoli bez toho, aby se menila ostatni pravidla. Ze to nejakej trotl neumi ...

Stejne to ve finale nic jinyho nez pravidla pro iptables nevyrobi.

[Tuxik]

Kód: [Vybrat]

yum remove firewalld
yum install iptablesstejně to ve výsledku dělá to samý, jenom to podstrkuje konfiguraci jádru, který se postará o samotný zpracování paketů. Na iptables je miliarda návodů a nikdy jsem neměl důvod řešit něco jinýho.

[dubnik]

cela podstat firewalld je hlavne zonacia fw oproti old school iptables.Ak pouzivas linux ako router+fw pre velku siet s vela interfacami tak to vie sprehladnit celu konfiguraciu.Ak to pouzivas na blokovanie portov na servery tak je to zajedno.Kazdopadne nie je taky problem sa to naucit, dokumentacia je k tomu dobra. A treba si zvykat ze sa vyvijaju nove veci a to ze niekto je lenivy sa ich naucit este neznamena ze su to sracky.

A k tovojej otazke ano NAT mi tam funguje uplne normalne.

[Tuxik]

Ne, není problém se to naučit, ale když používáš iptables denně, nemáš k tomu důvod. Po pravdě, je to jakejsi podivnej výstřelek jedné distribuce a odvozenin, iptables je v repozitářích asi všech distribucí, což z něj dělá univerzální nástroj. Ačkoliv CentOS na serverech používáme, likvidace firewalld a instalace iptables je jeden z prvních standartních kroků.
Není to bezpečnější, možná to vypadá přehledněji, ale ze zápisu pomocí iptables jasně vyplývá nejen co to dělá, ale taky jak to přesně dělá - zápis je v podstatě stejný, jako výsledná packet route. Pro mě přidaná hodnota v podstatě nulová. Možná pro někoho, kdo nemá potřebu hlubšího pochopení a s iptables nemá zkušenosti je to celkem zajímavé usnadnění.

[Reklama]

[dubnik]

Pouzivam denno denne iptables na 6kach ale nove stroje pouzivam 7cku a snazim sa drzat standardu tak som si nastudoval aj firewalld a nesiel som cestou vymeny za iptables.Mozno svojho casu ani vymena  iptables za ipchain nemala pre niekoho pridanu hodnotu.Proste systemy sa vyvijaju ci chces ci nechces .

Univerzalnost medzi roznymi distrnuciami linuxov uz je davno prec.Hlavne co s tyke enterprise distribucii.Takze ked niekde nastupis kde bezia RH7 mozes na yum remove firewalld zabudnut

A v podstate chcem len povedat ze ked sa niekto pyta na pomoc s firewalld tak odpoved by nemala byt ze je to sracka, ale nereagujem lebo to nepouzivam.

[Tomáš Crhonek]

Iptables se snazim uz nepouzivat a pomoci firewalld mi to uprimne vubec nejde.

Přitom cesta iptables je ta nejjednodušší. Pokud člověk používá nějaký generátor pravidel, stejně iptables musí znát (takže musí znát syntax toho generátoru + iptables samotné). Pokud má ten generátor umět totéž, co iptables, tak bude i stejně složitý.

[Tuxik]

Tak abych se omluvil za blbý kecy, nahodil jsem si firewalld na Gentoo a v podstatě je to přesně tak, jak jsem si myslel...
samozřejmě je to závislý na iptables, není to nic jinýho, než pythoní wrapper.

k otázce:

Kód: [Vybrat]

sysctl net.ipv4.ip_forward=1
firewall-cmd --zone=pokus --add-masquerade
mi normálně fungovalo, možná bych hledal problém v nastavení sítě pro virtuál?

nicméně z uvedeného vyplývá, že se nejedná o žádný zásadní vývoj, ale pouze o "rozšíření iptables" o D-BUS a konfigurační nástroj. Takových utilit už si každá distribuce vymyslela nepočítaně a nikdy jsem v nich nenašel zásadní výhodu a považuju je za zbytečnej článek, kterýmu se snažím vyhnout - a v oblasti zabezpečení čehokoliv to platí dvojnásob.

Z toho vyplývá i moje reakce, protože když vidím, že někdo něco řeší dle mého zcela špatně, raději ho nakopnu správným směrem, než mu radit, jak dotáhnout špatné řešení do konce.

Samozřejmě, je to můj pohled na věc, pokud chce někdo firewall a nechce zabíhat do detailů, podobné utilitky mu ulehčí život, nicméně v případě problémů (jako například aktuální s NATem) to spíše znesnadní diagnostiku.

[Tomáš Crhonek]

Mozno svojho casu ani vymena  iptables za ipchain nemala pre niekoho pridanu hodnotu.Proste systemy sa vyvijaju ci chces ci nechces .

To je trochu rozdíl. Změna ipchain vs. iptables znamenala především změnu v jádře, jiný koncept, nejen jiné ovládání. Firewalld je jen nějaká služba, která nastavuje pravidla iptables a přímo volá:

COMMAND = {
    "ipv4": "/sbin/iptables",
    "ipv6": "/sbin/ip6tables",
}

(balíček python-firewall)

[dubnik]

viem ze firewalld je len vymena service-u ktory nahradil povodny iptables service a pouziva  rovnako ipatbles tooly ktore to posielaju dalej netfiltru.Ale ked si vybriem distribuciu ktora pouziva systemd a ma k tomu prisposobene aj service-y tak mam na to dovod.Pride mi cudne odistalovat povodne service-y a nahradzat nestandardnymi pre dany system.Proste si radsej pozriem dokumentaciu ako sa to ma robit.

A ked sa mi nepaci pristup RH tak pouzivam nieco ine.RH si ide svojou cestou a ked sa mi to paci tak to pouzivam, ked nie tak nie.

[Tomáš Crhonek]

Pride mi cudne odistalovat povodne service-y a nahradzat nestandardnymi pre dany system.

To je snad celkem běžné. CentOS (RHEL) 5 běžně instaloval věci jako bluetooth, isdn, službu čtečky karet, apod, tohle jistě na serveru nikdo nechce. Novější verze 6 a 7 už jdou ke větší minimalizaci a odinstalovat po instalaci už téměř není co (což je dobře) a naopak si admin instaluje věci, které potřebuje.

Pochopitelně pro více instalací si admini dělají vlastní odvozeninu distribuční instalačky (nebo dneska spíš věci jako puppet), která obsahuje přesně to, co potřebují.

Používat nějakou službu jen proto, že je v defaultní instalaci mi přijde přinejmenším zvláštní.

[Tuxik]

viem ze firewalld je len vymena service-u ktory nahradil povodny iptables service a pouziva  rovnako ipatbles tooly ktore to posielaju dalej netfiltru.Ale ked si vybriem distribuciu ktora pouziva systemd a ma k tomu prisposobene aj service-y tak mam na to dovod.Pride mi cudne odistalovat povodne service-y a nahradzat nestandardnymi pre dany system.Proste si radsej pozriem dokumentaciu ako sa to ma robit.

A ked sa mi nepaci pristup RH tak pouzivam nieco ine.RH si ide svojou cestou a ked sa mi to paci tak to pouzivam, ked nie tak nie.

nezkoumal jsem to zcela do hloubky, ale mám pocit, že firewalld nenahrazuje iptables, ale je to pouze konfigurátor používající iptables a vazba na DBUS. Teda takhle se to chová na Gentoo, na ostrý servery s CentOSem kvůli tomu sahat nebudu. Jestli to umí vše co iptables, logicky to bude pouze zbytečné studium další fičury. Jestli to umí míň, stejně se v některých případech iptables nevyhneš. Navíc použití iptables na RH a klonech rozhodně není nestandartní, ale pouze alternativní přístup. Za mě je to jen skript, který možná řeší pohodlné přepínání profilů na NB, ale na server k ničemu. Když budu potřebovat, pořeším si to samý za jedno nudné odpoledne jednoduchým bashovým skriptem a když k tomu přidám i nudný večer, udělám si k tomu primitivní konfigurátko v ncurses, nebo klidně qt. Přidaná hodnota bude v tomto případě jasná - vím přesně, co to dělá a jak to dělá a navíc to nebude obsahovat tuny nepotřebnýho balastu, ale pouze funkce, které opravdu potřebuju.
Ale znovu opakuju, jestli chce někdo nastavit jednoduše FW na desktopu, může to být cesta. Do produkčního prostředí bych to na servery netahal.