如何防止iptable和nftable规则同时运行?
我正试图在我自己的桌面上设置防火墙(目前我正在修补Fedora 29虚拟机)。我想要它的“否认-一切默认”的基础上。我几乎立即决定禁用和屏蔽firewalld.service,因为除了使用本机firewalld语法之外,D1无法丢弃传出的数据包。所以我决定使用nftables,因为它是前者的现代替代品。
问题是,在系统重新启动之后,iptables链有一些规则,我没有设置这些规则(而且我也不知道它们来自哪里)。另一方面,# nft list ruleset什么也不返回。因此,我假设,来自iptables和nft的规则将同时启用,当我设置一些nft规则时,来自iptables的规则(可能出现在“无处”)将能够进行干预。
我试图删除iptables,但是dnf拒绝这样做,并警告说systemd依赖于它。
有人能回答我的几个问题吗?
- 我是否正确地理解了这里的概念(
iptables规则和链与nft规则和链是分开的,并且它们同时有效)? - 如何在不受
nft规则干扰的情况下可靠地使用iptables? - 或者我应该简单地使用
iptables并删除nft?
回答 2
Unix & Linux用户
发布于 2019-07-12 06:25:30
就问题本身而言,以下是原文中的最后两个问题:
- 如何在没有iptables规则干扰的情况下可靠地使用nft?
- 还是我应该简单地使用iptable并删除nft?
nftables是这么说的:
What happens when you mix Iptables and Nftables?
How do they interact?
nft Empty Accept Accept Block Blank
iptables Empty Empty Block Accept Accept
Results Pass Pass Unreachable Unreachable Pass 因此,人们不应该担心某些流量会被允许,因为它在一个工具中被允许,而在另一个工具中被禁止。
至于那些iptables规则,正如我所问的,“在系统重新启动之后,iptables链有一些规则,我没有设置这些规则(我也不知道它们来自哪里)”,结果它们来自我禁用的libvirtd.service,因为我不需要它。但即使我没有伤害我也不会受伤。
Unix & Linux用户
发布于 2019-04-11 16:40:12
我不确定这是最好的方法,但是在启动后阻止iptables重新加载我所做的是
rm /etc/sysconfig/iptables-config
rm /etc/sysconfig/ip6tables-config
systemctl disable firewalld至于你在下面的问题,我没有亲自使用过nftable,但是为了看它们是否同时生效,您可以设置一个,例如,放下所有的东西,让另一个完全打开。在两边重复,如果ping不起作用,这意味着它们都是活动的。
我认为第二个问题是从张贴的命令中得到回答的。第三个问题,是基于意见的。做那些你发现更容易学习和工作的事情。
https://unix.stackexchange.com/questions/511940
复制相似问题
腾讯云开发者
