mirror of
https://codeberg.org/postscriptum/gemlog.git
synced 2026-02-19 14:32:40 +00:00
add downgrade-to-iptables-ufw-from-firewalld-on-fedora-linux.gmi
This commit is contained in:
postscriptum
parent
1ce4514d53
commit
c53f2e7d88
2 changed files with 89 additions and 0 deletions
|
|
@ -0,0 +1,88 @@
|
|||
# Даунгрейд на iptables/ufw з firewalld (Fedora/Linux)
|
||||
|
||||
На дистрибутив Fedora я перейшов приблизно рік тому і він мені сподобався майже усім. Усім, окрім мабуть навороченого firewalld, який досі не розумію та не маю наміру його вивчати, бо за роки адміністрування серверів на базі Debian, приловчився до формування правил з ufw, перевіривши їх часом та практикою.
|
||||
|
||||
Через свою лінь та страх щось міняти зі стандартних пресетів без розуміння теми, довгий час таки сидів на firewalld, налаштовував його засобами графічної утиліти firewall-config, вештаючись зонами та переключалками тимчасових/перманентних правил. Так, цей інструмент можливо зручний для корпоративної інфраструктури, де потрібні оновлення правил маршрутизації без обриву з'єднання та гнучкість їх налаштувань. Але на ПК чи невеличкому приватному сервері - це реально зайве.
|
||||
|
||||
До того ж, тільки днями на свіжій інсталяції помітив можливість підключатись до сусідньої машини Fedora на 22 порт, який від її встановлення не дозволяв там явно. Я користуюсь локальними мережами Yggdrasil та Mycelium, де "локальними" тут є тисячі анонімних користувачів цих мереж і будь хто з них може брутфорсити мій обліковий запис root не подаючи при цьому жодних ознак активності, а логи при цьому я не читаю. Хоч сам sshd не увімкнений з коробки, він може періодично пускатись вручну. Цей мій провтик у дебрях переключалок firewall-config став останньою краплею терпіння і я все таки вирішив повернутись назад, на iptables.
|
||||
|
||||
## Видалення залежностей firewalld
|
||||
|
||||
Попередньо спинив сервіси:
|
||||
|
||||
``` bash
|
||||
sudo systemctl stop firewalld
|
||||
sudo systemctl disable firewalld
|
||||
```
|
||||
|
||||
Видалив саму службу та її залежності, включно з firewall-config:
|
||||
|
||||
``` bash
|
||||
sudo dnf remove firewalld
|
||||
```
|
||||
* наскільки це правильно - я не знаю, можливо тут варто переглянути залежні служби, але сподіваюсь systemd все відрезольвить автоматично
|
||||
|
||||
## Встановлення iptables/ufw
|
||||
|
||||
На цьому кроці, я згідно гугло-інструкцій спочатку поставив iptables-services, а потім ufw. Але в мене сталась якась плутанина з iptables-nft, ip6tables та ще бог зна чим. Тому я це все діло дропнув та виконав встановлення лише одним пакунком ufw, який в свою чергу, підтягнув потрібний мені iptables-legacy:
|
||||
|
||||
``` bash
|
||||
sudo dnf install ufw
|
||||
```
|
||||
|
||||
### Базове налаштування ufw
|
||||
|
||||
Якщо глянути стандартні правила:
|
||||
|
||||
```
|
||||
sudo ufw status verbose
|
||||
```
|
||||
|
||||
то побачимо той само дозвіл на 22/tcp порт та 5353/udp, тому видалив це послідовністю нумерованих команд:
|
||||
|
||||
```
|
||||
sudo ufw delete 1
|
||||
sudo ufw delete 1
|
||||
...
|
||||
```
|
||||
* допоки не буде чисто.
|
||||
* можна видалити командами по ключу SSH але ті що з айпішниками реально не вийшло підібрати, тому видалення номерами - тут стало в нагоді.
|
||||
|
||||
Також, при перевірці статусу з verbose, буде показано стандартну політику фаєрволу: в мене заборонені всі вхідні та дозволені всі вихідні з'єднання. Тобто, стандартно, якщо список порожній - ніхто не зможе нікуди підключатись на вхідних, чого цілком достатньо для більшості юзерів ПК.
|
||||
|
||||
Інакше, додаємо ті порти, які кому потрібно. Деякі приклади для одного зі своїх асетів занотував тут:
|
||||
=> filter-outgoing-connections-with-ufw.gmi Обмеження вихідних з'єднань на Інтернет з ufw
|
||||
* це суто окремий сценарій бо я там блокую вихідний трафік для запобігання діркам в smtp/activity pub та інших балакучих протоколах.
|
||||
|
||||
Тепер, важливо запустити сервіс нашого високорівневого фаєрволу:
|
||||
|
||||
``` bash
|
||||
sudo systemctl start ufw
|
||||
```
|
||||
|
||||
Не менш важливо увімкнути сервіс, щоб запускався після ребуту системи:
|
||||
|
||||
``` bash
|
||||
|
||||
sudo systemctl enable ufw
|
||||
```
|
||||
|
||||
І власне увімкнути сам ufw:
|
||||
|
||||
``` bash
|
||||
sudo ufw enable
|
||||
```
|
||||
|
||||
Після першого ребуту, бажано перевірити чи все пішло як планувалось:
|
||||
|
||||
``` bash
|
||||
sudo systemctl status ufw
|
||||
```
|
||||
* active/enabled
|
||||
|
||||
``` bash
|
||||
sudo ufw status
|
||||
```
|
||||
* має бути активним (active)
|
||||
|
||||
Щоб переконатись що це дійсно працює, ще можна спробувати підключитись з іншої машини на неоголошений правилами порт.
|
||||
|
|
@ -16,6 +16,7 @@
|
|||
|
||||
### Нотатки
|
||||
|
||||
=> downgrade-to-iptables-ufw-from-firewalld-on-fedora-linux.gmi 2025-12-18 Даунгрейд на iptables/ufw з firewalld (Fedora/Linux)
|
||||
=> recycled-resistors-asset.gmi 2025-12-11 Олдовий асет Б/В резисторів
|
||||
=> diy-online-router-ups-based-on-interactive-pc-ups.gmi 2025-12-11 Саморобний online-UPS для роутера на базі 12В безперебійника для ПК
|
||||
=> ecokraft-water-ppm.gmi 2025-12-10 Заправив акумулятор питною водою
|
||||
|
|
|
|||
Loading…
Add table
Add a link
Reference in a new issue