firewalld vs iptables - quand utiliser lequel

Question

TL; DR Sur les nouvelles installations de serveur CentOS, dois-je utiliser firewalld ou simplement le désactiver et revenir à l'utilisation de /etc/sysconfig/iptables?

firewalld et iptables ont des objectifs similaires. Les deux font le filtrage de paquets - mais si je comprends bien, firewalld ne vide pas l'ensemble des règles à chaque fois qu'un changement est effectué.

Je connais beaucoup de choses sur iptables mais très peu sur firewalld.

Sur Fedora et RHEL/CentOS - la configuration traditionnelle d'iptables a été effectuée dans /etc/sysconfig/iptables. Avec firewalld, sa configuration se trouve dans /etc/firewalld/ et est un ensemble de fichiers XML. Fedora semble s'orienter vers firewalld en remplacement de cette configuration héritée. Je comprends que firewalld utilise iptables sous le capot, mais il a également sa propre interface de ligne de commande et son propre format de fichier de configuration comme ci-dessus - ce à quoi je fais référence en termes d'utilisation de l'un contre l'autre.

Existe-t-il une configuration/un scénario particulier pour lequel chacun d'entre eux est le mieux adapté? Dans le cas de NetworkMangaer vs réseau, il semble que bien que NetworkManager ait pu être destiné à remplacer les scripts réseau, en raison de son manque de prise en charge du pont réseau et de quelques autres choses, beaucoup de gens ne l'utilisent tout simplement pas sur les configurations de serveur à tout. Il semble donc y avoir un concept général de "utiliser NetworkManager si vous êtes sous Linux desktop/gui, et réseau si vous utilisez un serveur ". C'est exactement ce que je retiens de la lecture de divers articles - mais cela donne au moins un guide sur ce qui est une utilisation viable pour ces choses - au moins telles qu'elles se présentent dans leur version actuelle Etat.

Mais j'ai fait la même chose avec firewalld et je l'ai juste éteint et utilisé iptables à la place. (J'installe presque toujours linux sur un serveur, pas pour un bureau). Le pare-feu est-il un remplacement efficace pour iptables et devrais-je simplement l'utiliser sur tous les nouveaux systèmes?

vtorhonen · Answer

Comme firewalld est basé sur la configuration XML, certains pourraient penser qu'il est plus facile de configurer le pare-feu de manière programmatique. Ceci peut être réalisé par iptables tout aussi bien, mais d'une manière différente, qui n'est pas XML. Si vous connaissez déjà le fonctionnement de iptables, pourquoi migreriez-vous toute votre configuration vers firewalld?

Si vous considérez votre plus grand ensemble de règles de pare-feu iptables, à quelle fréquence pensez-vous que vous bénéficieriez de l'aspect dynamique de firewalld? Dans la plupart des cas, les performances de iptables ne sont jamais le problème. Dans la plupart des cas, lorsque les performances de iptables sont un problème, vous pouvez les résoudre en utilisant des ensembles IP source/destination basés sur ipset.

C'est un débat différent si vous devez ou non utiliser NetworkManager.