Про FireWallD
На взгляд небольшого специалиста по конфигурированию сетевых интерфейсов, новый сервис FireWallD - есть очень удобный механизм для управления сетевой активностью.
По крайней мере на уровне открытия/закрытия портов и протоколов для стандартных сервисов.
Не знаю, что там с более тонкой обработкой входящих/исходящих/транзитных пакетов, но мне это как бы и не сильно надо.
Но, на уровне "разрешить подключение к серверу Samba" вместо кучи невразумительных команд для iptables, нужно выполнить только две, написанные вполне понятным английским языком:
## Чтобы Samba заработала "прямщаз" (без перезагрузки файервола)
firewall-cmd --zone=public --add-service=samba
## Чтобы эти же настройки работали и после перезагрузки файервола
firewall-cmd --permanent --zone=public --add-service=samba
Сравним с тем, что нужно было сделать для этих же целей в iptables:
iptables -A INPUT -i eth1 -p udp -m multiport --ports 135,136,137,138,139,445 -j ACCEPT
iptables -A OUTPUT -o eth1 -p udp -m multiport --ports 135,136,137,138,139,445 -j ACCEPT
iptables -A INPUT -i eth1 -p tcp -m multiport --ports 135,136,137,138,139,445 -j ACCEPT
iptables -A OUTPUT -o eth1 -p tcp -m multiport --ports 135,136,137,138,139,445 -j ACCEPT
При этом, посмотреть какие же именно разрешаются протоколы и открываются порты можно посмотреть в файле соответствующего сервиса, для Samba это файл /usr/lib/firewalld/services/samba.xls
По крайней мере на уровне открытия/закрытия портов и протоколов для стандартных сервисов.
Не знаю, что там с более тонкой обработкой входящих/исходящих/транзитных пакетов, но мне это как бы и не сильно надо.
Но, на уровне "разрешить подключение к серверу Samba" вместо кучи невразумительных команд для iptables, нужно выполнить только две, написанные вполне понятным английским языком:
## Чтобы Samba заработала "прямщаз" (без перезагрузки файервола)
firewall-cmd --zone=public --add-service=samba
## Чтобы эти же настройки работали и после перезагрузки файервола
firewall-cmd --permanent --zone=public --add-service=samba
Сравним с тем, что нужно было сделать для этих же целей в iptables:
iptables -A INPUT -i eth1 -p udp -m multiport --ports 135,136,137,138,139,445 -j ACCEPT
iptables -A OUTPUT -o eth1 -p udp -m multiport --ports 135,136,137,138,139,445 -j ACCEPT
iptables -A INPUT -i eth1 -p tcp -m multiport --ports 135,136,137,138,139,445 -j ACCEPT
iptables -A OUTPUT -o eth1 -p tcp -m multiport --ports 135,136,137,138,139,445 -j ACCEPT
При этом, посмотреть какие же именно разрешаются протоколы и открываются порты можно посмотреть в файле соответствующего сервиса, для Samba это файл /usr/lib/firewalld/services/samba.xls