방화벽과 iptables-사용시기 [폐쇄]


29

TL; DR 새로운 CentOS 서버 설치에서 방화벽을 사용하고 있거나 비활성화하고 다시 사용 /etc/sysconfig/iptables합니까?


방화벽과 iptables도 비슷한 목적으로 사용됩니다. 둘 다 패킷 필터링을 수행하지만 방화벽을 올바르게 이해하면 변경 될 때마다 전체 규칙 세트를 플러시하지 않습니다.

나는 iptables에 대해서는 많이 알고 있지만 방화벽에 대해서는 거의 모른다.

Fedora 및 RHEL / CentOS에서는 전통적인 iptables 구성이에서 이루어졌습니다 /etc/sysconfig/iptables. 방화벽을 사용하면 구성 /etc/firewalld/이 유지되며 일련의 XML 파일입니다. Fedora는이 레거시 구성을 대신하여 방화벽으로 이동하는 것 같습니다. 방화벽은 후드 아래에서 iptables를 사용하지만 위와 같이 자체 명령 줄 인터페이스와 구성 파일 형식을 가지고 있음을 이해합니다. 이것은 하나를 사용하는 것과 다른 것을 사용하는 관점에서 참조하는 것입니다.

각각에 가장 적합한 특정 구성 / 시나리오가 있습니까? NetworkMangaer 대 네트워크의 경우 NetworkManager가 네트워크 브릿지 지원 부족 및 기타 몇 가지로 인해 네트워크 스크립트를 대체하기위한 것으로 보이지만 많은 사람들이 서버 설정에서 사용하지 않고 있습니다. 모든. 따라서 "Linux를 사용하는 경우 NetworkManager를 사용 desktop/gui하고 서버를 실행하는 경우 네트워크를 사용"이라는 일반적인 개념이있는 것 같습니다 . 그것은 다양한 게시물을 읽음으로써 얻은 것입니다. 그러나 적어도 현재 상태에 서있을 때 적어도 그 일에 사용할 수있는 것에 대한 지침을 제공합니다.

그러나 나는 방화벽으로 동일한 일을하고 있었고 그것을 끄고 대신 iptables를 사용했습니다. (거의 항상 데스크탑이 아닌 서버에 리눅스를 설치하고 있습니다). 방화벽은 iptables를 효과적으로 대체합니까? 그리고 모든 새로운 시스템에서 방화벽을 사용해야합니까?


10
방화벽은 아래의 iptables를 사용합니다.
user9517은 GoFundMonica를 지원합니다.

물론 그렇습니다. 그러나 분명히 설정을 저장하는 방법과 사용하는 도구 사이에는 큰 차이가 있습니다-iptables vs firewall-cmd, / etc / sysconfig / iptables vs /etc/firewalld/.../*.xml 질문을 수정하겠습니다. 좀 더 명확하게
bgp

를 사용하여 "기회가있을 때마다 전체 규칙 세트를 플러시"할 필요는 없습니다 iptables. 그것은 당신이 그것을 말했기 때문에 테이블을 플러시하는 경우 단지 프론트 엔드 도구 일뿐입니다.
gparent

명확히하기 위해 규칙을 제거하고 다시 추가하는 "service iptables restart"를 참조하고 있습니다. (여전히 연결 상태에 영향을 미치지는 않지만 좋습니다.) 물론 개별 규칙을 수정하기 위해 명령 줄에서 iptables 명령을 실행할 수는 있지만 일반적으로 / etc / sysconfig / iptables 및 배포판에서 제공하는 도구가 제안한 규칙을 따르려면 "service"명령을 사용하십시오.
bgp

답변:


12

firewalldXML 구성에 기반한 것처럼 일부는 프로그래밍 방식으로 방화벽을 구성하는 것이 더 쉽다고 생각할 수 있습니다. 이것은 iptablesXML뿐만 아니라 다른 방법으로도 달성 할 수 있습니다 . iptables작동 방식에 이미 익숙하다면 왜 모든 구성을 firewalld?

가장 큰 iptables방화벽 규칙 집합 을 고려할 때 동적 측면의 이점을 얼마나 자주 활용할 것이라고 생각 firewalld하십니까? 대부분의 경우 성능 iptables은 결코 문제가되지 않습니다. 성능이 iptables문제가되는 대부분의 경우 ipset기반 소스 / 대상 IP 세트를 사용하여 수정할 수 있습니다 .

NetworkManager를 사용해야하는지 여부는 다른 논쟁입니다.


3
iptables이 경우 규칙이 도구 를 통해 삽입되는지 firewalld또는 iptables도구 를 통해 직접 삽입되는지에 관계없이 속도 저하가 발생하기 때문에 성능 은 관련이 없습니다 .
gparent
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.