F18 és firewalld

Fedora 18-on futtatott KVM alatt akartam a virtuális guest-eknek engedélyezni a host-on a https portot. Libvirtd egy virbr0 nevű bridge interface-t hoz létre a host-on.

F18-on az új Firewalld cseréli le Iptables-t. Hoz több dolgot, például interface-enként lehet állítani a zónákat - melyek nem mások, mint külön profilok a tűzfal beállításokra. Alapértelmezett a public, de van pl. work. Mindegyikben más portokat és átirányításokat engedélyezhetünk. De ezek interface-ekhez vannak rendelve.

Nem találtam meg hogyan lehetne virbr0-hoz is beállítani a zónákat. Az "Options / Change Zones of Connections..." menü egy olyan ablakot dob fel, ahol a Network Manager-ben létező interface-ekhez lehet állítani.

Firewalld-nek van parancssori interface-e, a firewall-cmd. Ezzel megadható így:

firewall-cmd --zone internal --add-interface virbr0

Egyetlen gond van vele, hogy csak újraindításig fog élni, mivel a "--permanent" kapcsoló nem érvényes erre a beállításra. Habár létre lehet hozni az F18-on már nem élő "/etc/rc.d/rc.local" fájlt és bele lehet tenni a parancsot, mégis egy csúnya hack. Ezt szerintem biztos meg fogják majd változtatni a jövőben. Van még a "--direct" kapcsoló is, ahol Iptables szerű alacsony szintű szabályokat adhatunk meg. De mindez gányolásnak tűnik egyelőre. Ettől függetlenül eléggé tetszik a parancssori paraméterezése.

Lényeg hogy be lehet állítani a GUI-n is, csak nem interface-hez, hanem IP címhez subnet-tel. Ha ez is megfelel, akkor nem kell parancssor. A beállításaimról képek:

Hozzászólások

Az még senkinek nem jutott eszébe, hogy ha már könnyíteni akarják a tűzfalazást, akkor egy olyan grafikus frontendet hozzanak létre, amelyik nem egy saját nyelvet/konfigot használ, hanem teljesen szimpla iptables parancsok kényelmes előállítására alkalmas? (Mégis csak az lenne a lényeg, hogy ne kelljen kétféle "nyelvet" megtanulni - ha esetleg az aktuális grafikus agybaj funkcionalitásával nem vagyok megelégedve.)

Egyetértek. én is sokkal jobban örültem volna egy iptables frontend-nek. Nagyon iptables-re jár már az agyam.

Annyi pozitívum, hogy az ebtables nagyon hasonló ahogy látom, és mondhatni, a "--direct" kapcsolóval szinte iptables szabályokat lehet használni. Hogy mekkora a különbség ténylegesen, azt még nem volt időm megnézni.

Nekem ami azonnal szembetűnő negatívum volt, hogy rohadt kevés a konfig lehetőség. Nem hozza fel a már élő interface-eket, csak amik NM-ben látszanak - meg egyéb komplex szabályt nem igazán lehet gyúrni ahogy látom. De ez csak a sima desktop felhasználónak készült, ahhoz meg elég.