Migrando do iptables para o firewalld: regras de comentários

1

Estou migrando do iptables para o firewalld, usando o Centos 7. Nos velhos tempos, eu costumava escrever as regras (iptables) permanentes no /etc/sysconfig/iptables , que também servia para colocar comentários prefixados por # (para nos lembrar por que restringimos este ou aquele ip, etc).

Agora, parece que a configuração atual (permanente) é lida dos arquivos /etc/firewalld/ (especialmente /etc/firewalld/zones/*.xml ). Eu acho que eu poderia adicionar comentários xml lá, mas parece que a boa prática não é editar esses arquivos diretamente, mas via firewall-cmd (não?).

Por isso, não sei qual é a maneira padrão ou recomendada de adicionar comentários às regras.

Alguma sugestão?

Editado: para registro, verifiquei que os comentários do xml não sobrevivem a firewall-cmd de modificações.

    
por leonbloy 19.01.2018 / 20:24

2 respostas

0

Pensando nisso, estou achando essa coisa de firewalld-cmd um pouco boba. Afinal, os arquivos de configuração XML são humanos editáveis. Faz pouco sentido para mim, ter que aprender uma camada extra de comandos (bem, um comando, mas com toneladas de argumentos ) apenas para editar alguns arquivos XML simples e puros (*).

Eu fiquei com uma digitação um pouco estúpida

firewall-cmd --permanent --zone=work --add-port=445/tcp

apenas para adicionar a seguinte linha a /etc/firewalld/zones/work.xml

<port protocol="tcp" port="445"/>

Portanto, pelo menos por enquanto, e considerando que os elementos XML não incluem atributos de comentário (há alguns solicita nessa direção) Estou me inclinando para a seguinte estratégia: apenas esqueça sobre firewalld-cmd (talvez mesmo apagá-lo), edite os arquivos XML e adicione comentários XML livremente.

(*) É verdade que firewalld-cmd também permite adicionar regras dinâmicas (não permanentes). Mas eu aposto que esse não é um cenário muito frequente.

    
por 22.01.2018 / 12:18
0

Embora na página de manual do firewall-cmd, há uma seção sobre Opções diretas, que permite que você forneça parâmetros, para que você possa fazer algo como:

firewall-cmd --direct --add-rule <table> <chain> <priority> <args> -c <some comment>

Embora, como Michael Hampton disse, provavelmente não é a melhor coisa.

    
por 19.01.2018 / 21:50