Огненный мир Федоры против iptables

Question

Я на Fedora 19. Верно ли мое понимание того, что пока firewalld запущен (и правильно настроен с помощью firewall-config), содержимое /etc/sysconfig/iptables не имеет смысла?

Я спрашиваю, потому что когда я запускаю «iptables -L», я вижу:

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             anywhere            
INPUT_direct  all  --  anywhere             anywhere            
INPUT_ZONES_SOURCE  all  --  anywhere             anywhere            
INPUT_ZONES  all  --  anywhere             anywhere            
ACCEPT     icmp --  anywhere             anywhere            
REJECT     all  --  anywhere             anywhere             reject-with icmp-host-prohibited

Мне не очень нравится этот, в частности:

"ACCEPT     all  --  anywhere" 

Answer 1

Эта конкретная строка может быть только для интерфейса обратной связи. Это не видно в этом выводе. Попробуйте заглянуть в /etc/sysconfig/iptables или запустить iptables-save чтобы получить полную конфигурацию, включая интерфейсы.

Answer 2

Это может сбивать с толку , потому что есть iptables инструмент, служба iptables и /etc/sysconfig/iptables файл/конфигурации.

Средство iptables напрямую связывается с фильтром пакетов ядра, и эта команда работает независимо от того, используете ли вы service iptables или firewalld .

Исходя из приведенной здесь документации, firewalld не использует (и, вероятно, игнорирует) /etc/sysconfig/iptables . Этот файл обычно не существует в системе, настроенной на использование firewalld . Вместо этого firewalld использует "различные файлы XML" для постоянного сохранения конфигурации брандмауэра.

ACCEPT all -- anywhere отчет от iptables -L может вызывать тревогу без опции -v , которая отображает полное правило. В этом случае второе правило ограничено интерфейсом lo loopback:

$ sudo iptables -L -v
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target     prot opt in     out     source               destination
38844   20M ACCEPT     all  --  any    any     anywhere             anywhere             ctstate RELATED,ESTABLISHED
0     0 ACCEPT     all  --  lo     any     anywhere             anywhere
...