Qual é a cadeia INPUT_direct no firewalld?

TL;DR:

• se regras diretas forem realmente necessárias, use sempre INPUTem vez de INPUT_direct: sempre funcionará.

• se você não souber qual valor de prioridade usar, apenas aumente o valor de prioridade em um para cada nova regra direta a ser adicionada.

Essa cadeia é (às vezes) usada pela interface de regras diretas do firewalld . Esta interface/recurso permite armazenar regras iptables personalizadas (e sempre iptables mesmo quando o back-end do firewalld é nftables ) usando firewalld e garantir que essas regras sejam as primeiras vistas por qualquer pacote (aqui na filtertabela e INPUTcadeia). Normalmente, você deve usá-lo apenas se algo não puder ser tratado pelo firewalld , incluindo a linguagem avançada do firewalld .

E este é um recurso obsoleto :

descontinuada

A interface direta foi preterida. Ele será removido em uma versão futura. Ele foi substituído por políticas, consulte firewalld.policies(5) .

De qualquer forma, não tenho certeza se foi substituído por políticas para todos os seus usos ...

Igualmente obsoleto é o back-end do iptables . Uma instalação típica em um sistema recente também inclui /etc/firewalld/firewalld.conf:

# FirewallBackend
# Selects the firewall backend implementation.
# Choices are:
# - nftables (default)
# - iptables (iptables, ip6tables, ebtables and ipset)
# Note: The iptables backend is deprecated. It will be removed in a future
# release.
FirewallBackend=nftables

firewalld pode usar iptables ou nftables como back-end, mas as regras diretas estão sempre usando iptables . Não há conceito de regra direta nftables , mesmo quando o back-end é nftables : essa é provavelmente uma das razões que tornaram as regras diretas obsoletas.

• quando o back-end é iptables

  • firewalld cria a INPUT_directcadeia e adiciona como primeira regra em INPUTum salto INPUT_directpara que seja sempre a primeira cadeia a ver os pacotes (no INPUTcaminho).

  • qualquer referência a INPUTuma regra direta é alterada para uma referência aINPUT_direct

• quando o back-end é nftables

  • O firewalld não cria por si só nenhuma cadeia ou regra de iptables , mas garante que suas próprias regras de nftables sejam conectadas ao Netfilter na prioridade que o iptables teria usado +10.

  Portanto, INPUTele se conecta à prioridade 10 em vez de 0. Isso garante novamente que qualquer coisa que o iptables fizer, o fará primeiro

  • as regras diretas que fazem referência a cadeias integradas não são alteradas. Este tempo INPUTé usado.

Essa peculiaridade pode ser vista no código python fw_direct.py:

        # if nftables is in use, just put the direct rules in the chain
        # specified by the user. i.e. don't append _direct.
        if not self._fw.nftables_enabled \
           and backend.is_chain_builtin(ipv, table, chain):
            _chain = "%s_direct" % (chain)

Em ambos os casos, qualquer coisa criada usando firewall-cmd --direct --add-rule ipv4 filter INPUT 0(seguida pela mesma sintaxe que seria fornecida a um iptablescomando sem incluir a tabela e a cadeia) será vista por um pacote antes que o próprio firewalld o veja.

Para o valor de prioridade: isso afeta a ordem das regras que você deseja usar caso a ordem seja importante. Se, pela forma como as regras foram escolhidas pelo administrador, uma regra não depende de regras anteriores, então sua prioridade não importa e pode até permanecer a mesma. Para garantir que uma regra seja adicionada após outras regras, aumente sua prioridade:

Se você quiser ter certeza de que uma regra será adicionada após a outra, use uma prioridade baixa para a primeira e uma prioridade mais alta para as seguintes.