Score:0

ฉันจะแสดงสถานะไฟร์วอลล์ทั้งหมดได้อย่างไร

ธง cn

ฉันกำลังพยายามหาสาเหตุที่ไฟร์วอลล์ไม่ทำงานตามที่ฉันคิดว่าฉันได้ขอให้มันทำงาน และด้วยเหตุนี้จึงพยายามหาวิธีการรับ ไฟร์วอลล์ เพื่อแสดงกฎทั้งชุดในรูปแบบที่คล้ายกับ iptables ไฟล์การกำหนดค่า หรือรูปแบบอื่นๆ â ฉันไม่ค่อยสนใจเท่าไหร่ â ตราบใดที่สามารถอ่านได้น้อยที่สุด iptables หรือ พีเอฟ การกำหนดค่า (เช่น นี่เป็นแถบที่ค่อนข้างต่ำในการล้าง!)

  • คำสั่งเช่น ไฟร์วอลล์ cmd - รายการทั้งหมด âแสดงรายการทุกอย่างที่เพิ่มหรือเปิดใช้งานในโซนâ แต่นั่นเป็นเพียงรายการอินเทอร์เฟซ บริการ และอื่นๆ โดยไม่มีรายละเอียดเพิ่มเติม ฉันไม่เห็น --list-all-no-ready-ทุกอย่าง ตัวเลือก.
  • ฉันคิดว่าฉันได้พบมันเมื่อฉันอ่านเกี่ยวกับ โดยตรง กฎ แต่ฉันเห็นว่ามีผลเฉพาะกับกฎที่เพิ่มเป็นกฎ “ทางตรง” พิเศษเท่านั้น และไม่ใช่ประตูกลเข้าสู่ห้องเครื่องยนต์เหมือนที่ปรากฏครั้งแรก
  • ฉันเห็นไฟล์การกำหนดค่าใน /etc/firewalld และค่าเริ่มต้นใน /usr/lib/firewalld. แต่แม้ว่าสิ่งนี้จะดูสดใสในตอนแรกและให้ความเห็นอย่างสวยงาม แต่ดูเหมือนว่าจะไม่ได้บอกอะไรฉันมากนักเกี่ยวกับสถานะปัจจุบัน คำถามเช่น อันนี้ เกี่ยวกับกฎการส่งออก (สำหรับการย้ายไปที่อื่น) และแนะนำว่านี่คือทั้งหมดที่มี (ฉันเดาว่าพอร์ตที่กล่าวถึงในบริการที่กล่าวถึงในโซนสาธารณะถูกบล็อกสำหรับขาเข้า ... ?)

ความเข้าใจของฉัน (แก้ไขฉันถ้าฉันผิด) คือว่า ไฟร์วอลล์ มีบางอย่างที่เหมือน iptables อยู่ภายในซึ่งทำงานจริงทั้งหมด และมันก็มี บาง ประเภทของรัฐซึ่ง --โหลดใหม่ หาเจอแล้วก็...โหลดใหม่ นั่นคือสถานะที่ฉันหวังว่าจะพบ

บางทีฉันอาจดูมืดมน แต่ฉันพบระดับโดยรวมของทางอ้อมและความช่วยเหลือจาก ไฟร์วอลล์-cmd ไม่สามารถเข้าใจได้อย่างสมบูรณ์ ใช่ มีชื่อเสียงโด่งดังว่า “ทุกปัญหาในวิทยาการคอมพิวเตอร์สามารถแก้ไขได้โดยการเพิ่มการอ้อมอีกชั้นหนึ่ง” แต่บางครั้งก็อาจถึงขั้นสุดโต่งได้

ฉันอาจไม่มีปัญหาไฟร์วอลล์เลย แต่ฉันไม่สามารถทำงานเกี่ยวกับสถานะไฟร์วอลล์มากพอที่จะแยกแยะได้ มีกรณีสำหรับการเปลี่ยนไปใช้ iptables หรือไม่ (ฉันสงสัยในความสิ้นหวัง)? การตั้งค่ายุ่งยากกว่าและผิดพลาดได้ง่าย แต่อย่างน้อยฉันก็รู้ว่าเกิดอะไรขึ้น

ฉันเปิดกว้างมากที่จะตีกรอบความท้าทาย หรือถูกบอกว่าฉันเห่าต้นไม้ผิดต้น

Score:1
ธง cn
Bob

ฉันมักจะแนะนำให้ดูที่กฎไฟร์วอลล์จริงที่ตั้งค่าเคอร์เนล Linux ทำงานอยู่ แทนที่จะพยายามวิเคราะห์ปัญหาไฟร์วอลล์ที่ซับซ้อนมากขึ้นจาก "เป็นมิตรกับผู้ใช้" เครื่องมือเช่น firewalld (หรือ UFW และอื่น ๆ ในทำนองเดียวกัน) และเลเยอร์นามธรรมที่มีให้ บ่อยครั้งเมื่อคุณเข้าใจปัญหาพื้นฐานแล้ว คุณสามารถแก้ไขได้อย่างง่ายดายในเรื่องที่สนับสนุนโดยเครื่องมือเหล่านั้น

แม้ว่าบางคนจะชอบ [sudo] iptables-บันทึก ดีกว่าสำหรับฉันคำสั่ง [sudo] iptables -L -v -n เป็นเพื่อนที่ดีที่สุดของคุณ
บ่อยครั้งเมื่อพูดถึงการกำหนดค่า จะเป็นประโยชน์ในการใช้ --line-ตัวเลข ตัวเลือกเช่นกันเพื่อดูเส้นจำนวน กฎการกล่าวถึง #X ทำให้การสนทนาง่ายขึ้น โปรดจำไว้ว่าโดยค่าเริ่มต้น iptables จะแสดงเฉพาะตาราง FILTER และคุณระบุตารางอื่นด้วย -t [ แนท | ยุ่งเหยิง | ดิบ] สวิตซ์.

เมื่อไฟร์วอลล์ใช้แบ็กเอนด์ nftables ให้ใช้ ชุดกฎรายการ nft.

(สำหรับฉันไฟร์วอลล์เป็นอีกหนึ่งส่วนหน้าที่มีประสิทธิภาพในการสร้างชุดกฎที่จะโหลดลงใน Linux ตัวกรองสุทธิ โมดูลเคอร์เนล คุณยังสามารถจัดการแบ็กเอนด์เหล่านั้นได้ด้วยเครื่องมือดั้งเดิมและเครื่องมือระดับต่ำเช่น iptables หรือสมัยใหม่มากขึ้น nftable เครื่องมือสืบทอด ภาพด้านล่างแสดงให้เห็นว่าไฟร์วอลล์แบ็กเอนด์อื่น ๆ สามารถใช้และนำมารวมกันได้อย่างไร)

จาก https://firewalld.org/documentation/concepts.html

cn flag
ขอขอบคุณ! นั่นคือสิ่งที่ฉันกำลังมองหา ฉันเห็นจาก `firewall.conf` ว่าฉันกำลังใช้ส่วนหลังของ `nftables` ดังนั้นฉันจึงสับสนเล็กน้อยว่า `iptables-save` สร้างเอาต์พุตหรือออกแบบมาให้ทำงานกับส่วนหลังทั้งสองหรือไม่ นอกจากนี้ไดอะแกรมนั้นมาจากไหน ดูเหมือนว่าเอกสารที่ฉันควรดู อย่างน้อยก็สั้นๆ ฉันคาดว่าฉันจะจัดการไฟร์วอลล์ RH ต่อไปโดยใช้ `firewall-cmd` แต่ลองศึกษาผลลัพธ์นี้เพื่อตรวจสอบการเปลี่ยนแปลงที่ฉันได้ทำไป
cn flag
Bob
หากคุณดูผลลัพธ์ของ `iptables -V` คุณอาจเห็นความเข้ากันได้ของ nftables ภาพมาจาก https://firewalld.org/documentation/concepts.html
cn flag
สมบูรณ์แบบ â ขอบคุณ

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา