Tham gia Đăng nhập
Điểm:0
avatar Server

Làm cách nào để hiển thị toàn bộ trạng thái tường lửa?

lá cờ cn
Norman Gray

Tôi đang cố gắng tìm ra lý do tại sao tường lửa không hoạt động như tôi nghĩ rằng tôi đã yêu cầu nó hoạt động và do đó cố gắng tìm ra cách để có được tường lửa để hiển thị bộ quy tắc hoàn chỉnh của nó, ở một số định dạng giống như một iptables tập tin cấu hình. Hoặc một số định dạng khác Tôi không quan tâm lắm miễn là nó ít nhất có thể đọc được như một iptables hoặc pf cấu hình (tức là, đây là một thanh khá thấp để xóa!).

  • Các lệnh như tường lửa-cmd --list-all âLiệt kê mọi thứ được thêm vào hoặc kích hoạt trong vùng.â Nhưng đó chỉ liệt kê các giao diện, dịch vụ, v.v. mà không có thêm chi tiết. tôi không thể nhìn thấy một --list-all-no-thực sự-mọi thứ Tùy chọn.
  • Tôi nghĩ rằng tôi đã tìm thấy nó khi tôi đọc về thẳng thắn các quy tắc, nhưng tôi thấy rằng điều đó chỉ áp dụng cho các quy tắc được thêm vào dưới dạng quy tắc trực tiếpâ bổ sung và không phải là cửa sập vào phòng máy mà nó xuất hiện lần đầu.
  • Tôi thấy các tập tin cấu hình trong /etc/tường lửa và mặc định trong /usr/lib/tường lửa. Nhưng trong khi điều này thoạt nhìn đầy hứa hẹn và được bình luận đẹp đẽ, thì dường như nó không thực sự cho tôi biết nhiều về tình trạng hiện tại. câu hỏi như cái này là về các quy tắc xuất (để di chuyển đến nơi khác) và gợi ý rằng đây là tất cả những gì có (tôi đoán rằng các cổng được đề cập trong các dịch vụ được đề cập trong khu vực công cộng bị chặn khi đến...?).

Sự hiểu biết của tôi (sửa tôi nếu tôi sai) là tường lửa có thứ gì đó giống như iptables bên trong, thứ đang thực hiện tất cả công việc thực tế và nó có một số loại trạng thái mà --tải lại có thể tìm và... tải lại. Đó là trạng thái mà tôi hy vọng tìm thấy.

Có lẽ tôi lờ mờ, nhưng tôi thấy mức độ gián tiếp và hữu ích chung của tường lửa-cmd hoàn toàn khó hiểu. Vâng, nổi tiếng là mọi vấn đề trong khoa học máy tính đều có thể được giải quyết bằng cách thêm một lớp gián tiếp khác, nhưng đôi khi điều này có thể đi quá xa.

Tôi có thể không gặp vấn đề gì về tường lửa, nhưng tôi không thể hiểu đủ về trạng thái tường lửa để loại trừ vấn đề đó. Có trường hợp nào chuyển sang iptables không (tôi tự hỏi trong tuyệt vọng)? Việc thiết lập phức tạp hơn và dễ xảy ra sự cố, nhưng ít nhất tôi cũng biết được chuyện gì đang xảy ra.

Tôi rất cởi mở với những thách thức về khung hình, hoặc khi bị nói rằng tôi đang sủa nhầm cây.

73
0 + 0
Điểm:1
avatar Server
lá cờ cn
Bob

Nói chung, tôi khuyên bạn nên xem xét các bộ quy tắc tường lửa thực tế mà nhân Linux đang chạy, thay vì cố gắng chẩn đoán các sự cố tường lửa phức tạp hơn từ "thân thiện với người dùng" các công cụ như tường lửa (hoặc tương tự như UFW và các công cụ khác) và lớp trừu tượng mà nó cung cấp. Thông thường, khi bạn hiểu các vấn đề tiềm ẩn, bạn có thể dễ dàng giải quyết chúng trong một vấn đề được hỗ trợ bởi các công cụ đó.

Mặc dù một số người thích [sudo] iptables-save tốt hơn cho tôi lệnh [sudo] iptables -L -v -n là người bạn tốt nhất của bạn.
Thông thường, khi thảo luận về cấu hình, sẽ rất hữu ích khi sử dụng --line-số tùy chọn cũng như để xem các dòng số. quy tắc đề cập #X làm cho một cuộc thảo luận dễ dàng hơn một chút. Hãy nhớ rằng theo mặc định iptables chỉ hiển thị bảng LỌC và bạn chỉ định các bảng khác bằng -t [ tự nhiên | mangan | thô] công tắc điện.

Khi chương trình phụ trợ nftables được sử dụng bởi tường lửa, hãy sử dụng bộ quy tắc danh sách nft.

(Đối với tôi, tường lửa thực sự là một giao diện người dùng khác để tạo các bộ quy tắc sẽ được tải vào Linux bộ lọc mạng mô-đun hạt nhân. Bạn vẫn có thể thao tác với các chương trình phụ trợ đó bằng các công cụ gốc và cấp thấp hơn của chúng, chẳng hạn như iptables hoặc hiện đại hơn nftables công cụ kế nhiệm. Hình ảnh bên dưới cho thấy tường lửa phụ trợ nào khác có thể sử dụng và kết hợp với nhau.)

Từ https://firewalld.org/documentation/concepts.html

0 + 0
lá cờ cn
Norman Gray
Cảm ơn bạn! Đó chính xác là những gì tôi đang tìm kiếm. Tôi thấy từ `firewall.conf` rằng tôi đang sử dụng back-end `nftables`, vì vậy tôi hơi bối rối rằng `iptables-save` tạo ra đầu ra hay nó chỉ được thiết kế để hoạt động với cả hai back-end? Ngoài ra, sơ đồ đó đến từ đâu? Nó trông giống như một tài liệu mà tôi nên xem qua, ít nhất là trong thời gian ngắn. Tôi cho rằng tôi sẽ tiếp tục điều khiển tường lửa RH bằng cách sử dụng `firewall-cmd`, nhưng hãy tham khảo đầu ra này để kiểm tra xem tôi đã thực hiện thay đổi nào.
0
Hồi đáp
lá cờ cn
Bob
Nếu bạn nhìn vào đầu ra của `iptables -V`, bạn có thể thấy khả năng tương thích của nftables. Hình ảnh đến từ https://firewalld.org/documentation/concepts.html
1
Hồi đáp
lá cờ cn
Norman Gray
hoàn hảo cảm ơn
0
Hồi đáp
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.