teltelの日記: centos 8 4
日記 by
teltel
ここにきて使ってるんだけど、いろいろ変わりすぎて新しいOSを学んでいる感じ。
systemctl とか、機能多い!
Firewall も勉強しなきゃだし。
とりあえず、ネット情報をコピッてる。
ここにきて使ってるんだけど、いろいろ変わりすぎて新しいOSを学んでいる感じ。
systemctl とか、機能多い!
Firewall も勉強しなきゃだし。
とりあえず、ネット情報をコピッてる。
人生の大半の問題はスルー力で解決する -- スルー力研究専門家
firewalldとかいう聳え立つクソ (スコア:0)
バックエンドがiptablesってだけでもクソなのに、そのiptablesの実体がiptables-nft
なにがしたいのかわからない
そもそもiptables-translate自体あまり賢くないのでiptables特有の無意味なチェーンや無意味なマークがそのまま使われる
firewalld→iptalbes変換の時点でかなり気持ち悪いルールになってるので相乗効果で吐きそう
たとえば特定のMACアドレスからの入力に対してだけ特定のアドレスにSNATしたいとする
するとiptablesの場合、いきなりPOSTROUTINGで判定することができないので、まずPREROUTING(mangle)で該当パケットをマークし、その後POSTROUTING(nat)でSNATする
ところがnftablesの場合、iptablesで云うところのテーブルは優先度に過ぎないので、ぶっちゃけ最後の最後に通過するPOSTROUTING(nat)に該当する場所ですら、いきなりMACアドレス判定できる
この場合、理想としてはiptalbes-translateは全てわかった上で、必要のないPREROUTING(mangle)の方を削除しPOSTROUTING(nat)に一元化して欲しいが、そんな賢い変換は期待できない
そして実はiptables直で書く場合であってもpreroutingでマークしpostroutingでSNATするような無駄なことをしなくとも、もっと効率よく書くことは可能であり、普通はそう書くが
そんなクソバカコードを吐いてくるのがfirewalld
firewalldというクソの吐き出したゴミコードを、これまた頭の悪いiptables-translateに翻訳させるので、結果として聳え立つクソとなる
CentOSは一体いつまでFirewalldというクソを採用し続けるのか
利用者全員に素のnftablesスクリプトの習得を徹底させろよ
むしろnftスクリプトも書けないようなのはネットに繋がせるな
あんなもん最低レベルの教養だ
Re: (スコア:0)
CentOS 8ではバックエンドはnftablesじゃないの?
Re: (スコア:0)
そもそもバックエンドは nftables
firewalld が嫌なら firewalld 消して /etc/nftables を直接編集すれば良い
教養とか関係ない
Re: (スコア:0)
ほんとそれ。