Спасибо за видео! Хорошо объясняешь, всё по делу. Ценная информация. Было бы хорошо послушать ещё эту тему со стороны дебиан-подобных систем. Или ещё лучше безотносительно дистрибутива. Например, я сталкивался с командой iptables на CentOS и на Ubuntu. Но на видео есть схема из которой видно, что команда iptables - это только верхушка айсберга. А ещё запутывает то, что iptables - это не только команда так называется, а ещё какой-то user-space framework..... В общем, интерсно было бы послушать (или почитать если кто-то подскажет где) как это всё внутри работает, но без окунания по уши в ядро..... Ещё раз спасибо за все твои видео!
iptables и nftables как фреймворки относятся к ядру, а не к userspace. Они часть netfilter. Можете почитать по ссылке - wiki.archlinux.org/title/Iptables
Другой вопрос почему я могу подключиться по ssh на втором интерфейсе в trusted зоне?, если там нет сервиса ssh (в firewalld), или как я предполагаю наличье сэрвиса в firewalld дает больше гибкости настройки но его отсуствие не ограничивает никак?
когда блокируется ip хоста firewall-cmd --zone=block --add-source=192.168.1.5 как так получается что зона block и зона public взаимосвязаны, а зона trusted и зона block нет? потому что ping в зону trusted есть?
@@GNULinuxPro твои слова заставили меня усамница, и я перепроверил Я не смог изменить интерфейс в trusted зоне с параметром --permanent, своего рода ошибка, но в Интернете говорят, что это "фича", и надо менять через сетевой менеджер (nm-connection-editor) и пинг от хоста все равно есть в trusted зоне, даже если ip хоста находится в зоне block
@@GNULinuxPro Я понял, мы же создали другой интерфейс у хоста: vboxnet0 (192.168.56.1) и когда я пингую другой IP наверное меняется интерфейс, а когда конкретно пингую ping -I eno1 (другой интерфейс) то ответа не получаю.. но здесь другая проблема, которую я не ожидал получить, я ожидал увидеть ответ packet filtered
@nikit Насчёт возможности смены бэкэнда не знал, спасибо Да, есть неплохой гуи, но решил не рассматривать его в рамках курса, лучше показать вместе с cockpit
Спасибо огромное за то, что Вы делаете! Это очень ценно! Как стало мало полезного контента!
спасибо =)
Спасибо за такой разбор! Очень интересно смотреть ваш канал! 👍
Спасибо за ваш труд , за полезную инфо и за интересные материалы
Это спасибо. Лайк поставлю сейчас.. посмотрю позже, когда будет время.
Пока что ведём базовые курсы по Astra Linux.
Отличный курс!
Благодарствую. Все таки firewalld более удобен чем iptables, хотя сначала, очень скептически к нему отнёсся.
Спасибо за видео! Хорошо объясняешь, всё по делу. Ценная информация. Было бы хорошо послушать ещё эту тему со стороны дебиан-подобных систем. Или ещё лучше безотносительно дистрибутива. Например, я сталкивался с командой iptables на CentOS и на Ubuntu. Но на видео есть схема из которой видно, что команда iptables - это только верхушка айсберга. А ещё запутывает то, что iptables - это не только команда так называется, а ещё какой-то user-space framework.....
В общем, интерсно было бы послушать (или почитать если кто-то подскажет где) как это всё внутри работает, но без окунания по уши в ядро..... Ещё раз спасибо за все твои видео!
iptables и nftables как фреймворки относятся к ядру, а не к userspace. Они часть netfilter.
Можете почитать по ссылке - wiki.archlinux.org/title/Iptables
@@GNULinuxPro На схеме (1:32) изображено так, будто они в user space. Ок, спасибо за материал!
В тройке! :)
Другой вопрос
почему я могу подключиться по ssh на втором интерфейсе в trusted зоне?, если там нет сервиса ssh (в firewalld), или как я предполагаю наличье сэрвиса в firewalld дает больше гибкости настройки но его отсуствие не ограничивает никак?
Trusted зона разрешает любые подключения по любым портам
ну как минимум большой минус у telnet - поддержка только TCP, а часто бывает нужно и UDP
что лучше firewalld или iptables
так я и не понял. в чем фича то. чем это поделие лучше классического iptables. а уж про логику сего поделия вообще молчу.
Привет
На странице 536 два абзаца повторяются :)
Спасибо
когда блокируется ip хоста firewall-cmd --zone=block --add-source=192.168.1.5
как так получается что зона block и зона public взаимосвязаны, а зона trusted и зона block нет? потому что ping в зону trusted есть?
Не понял вопроса..
Если вы добавили айпи в зону block, то все пакеты, приходящие от этого IP, будут попадать под правила зоны block.
@@GNULinuxPro твои слова заставили меня усамница, и я перепроверил
Я не смог изменить интерфейс в trusted зоне с параметром --permanent, своего рода ошибка, но в Интернете говорят, что это "фича", и надо менять через сетевой менеджер (nm-connection-editor)
и пинг от хоста все равно есть в trusted зоне, даже если ip хоста находится в зоне block
@@GNULinuxPro Я понял, мы же создали другой интерфейс у хоста: vboxnet0 (192.168.56.1) и когда я пингую другой IP наверное меняется интерфейс, а когда конкретно пингую ping -I eno1 (другой интерфейс) то ответа не получаю.. но здесь другая проблема, которую я не ожидал получить, я ожидал увидеть ответ packet filtered
и ssh работает :(
надо ставить оба IP в block zone - это разрешило все
Я правильно понимаю, что firewalld это фактически тот-же iptables?
Ну, с одной точки зрения, оба настраивают файрвол
Но, технически, firewalld это фронтэнд для nftables, который является заменой для iptables
@@GNULinuxPro можно отключить firewalld и использовать iptables?
можно
@nikit Насчёт возможности смены бэкэнда не знал, спасибо
Да, есть неплохой гуи, но решил не рассматривать его в рамках курса, лучше показать вместе с cockpit
а в доменные имена firewalld умеет?
Нет