Migrando do iptables para o firewalld: regras de comentários

A partir de 2/2020, acho que firewalldo uso é suficientemente difundido para que a facilidade de anotação de regras seja firewall-cmdmuito firewall-configimportante , por motivos discutidos no OP.

Sugestões para documentar regras em um CMS , via firewall-cmd --direct, via ipsets , ou editar arquivos de zona manualmente, todas complicam o gerenciamento e anulam o objetivo firewalldde tornar a configuração do firewall mais transparente .

Portanto, até que firewall-cmd --commentesteja disponível, anotarei minhas regras através da log prefixopção firewall-cmd --add-rich-rule. Por exemplo,

firewall-cmd --add-rich-rule="rule family=ipv4 source address=192.168.103.225 reject log prefix='Onsite NIDS'"
firewall-cmd --permanent --add-rich-rule="rule family=ipv4 source address=192.168.103.225 reject log prefix='Onsite NIDS'"

A anotação resultante aparece no log do meu sistema como um efeito colateral, mas agora a saída firewall-cmd --list-all-zonesé autodocumentada:

public (active)
  target: default
  icmp-block-inversion: no
  interfaces: ens160
  sources:
  services: dhcpv6-client http https ssh
  ports: 1515/tcp 1514/tcp
  protocols:
  masquerade: no
  forward-ports:
  source-ports:
  icmp-blocks:
  rich rules:
        rule family="ipv4" source address="192.168.103.225" log prefix="Onsite NIDS" reject

O comentário também é registrado no meu arquivo de zona como:

# cat /etc/firewalld/zones/public.xml
<?xml version="1.0" encoding="utf-8"?>
<zone>
  <short>Public</short>
  <description>For use in public areas. You do not trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.</description>
  <service name="ssh"/>
  <service name="dhcpv6-client"/>
  <service name="http"/>
  <service name="https"/>
  <port protocol="tcp" port="1515"/>
  <port protocol="tcp" port="1514"/>
  <rule family="ipv4">
    <source address="192.168.103.225"/>
    <log prefix="Onsite NIDS"/>
    <reject/>
  </rule>
</zone>

Percebo que mesmo essa abordagem complica excessivamente a configuração ao introduzir regras ricas, mas acredito que o benefício da anotação vale a pena por enquanto.

Embora na página de manual do firewall-cmd, haja uma seção sobre Opções Diretas, que permite fornecer parâmetros, para que você possa fazer algo como:

firewall-cmd --direct --add-rule <table> <chain> <priority> <args> -c <some comment>

Embora, como disse Michael Hampton, provavelmente não seja a melhor coisa.

Pensando bem, estou achando essa firewalld-cmdcoisa um pouco boba. Afinal, os arquivos de configuração XML são editáveis ​​por humanos. Faz pouco sentido para mim, ter que aprender uma camada extra de comandos (bem, um comando, mas com toneladas de argumentos ) apenas para editar alguns arquivos XML simples e organizados (*).

eu caí um pouco estúpido digitando

firewall-cmd --permanent --zone=work --add-port=445/tcp

apenas para adicionar a seguinte linha a/etc/firewalld/zones/work.xml

<port protocol="tcp" port="445"/>

Assim, pelo menos por enquanto, e considerando que os elementos XML não incluem atributos de comentários (há alguns pedidos nesse sentido) estou inclinado para a seguinte estratégia: apenas esqueça firewalld-cmd(talvez até exclua), edite o XML arquivos você mesmo e adicione comentários XML livremente.

(*) É verdade que firewalld-cmdpermite também adicionar regras dinâmicas (não permanentes). Mas aposto que esse não é um cenário muito frequente.