Даунгрейд на iptables/ufw з firewalld (Fedora 43)

[ps]

Довго збирався і нарешті наважився замінити таку відповідальну штуку, як фаєрвол. Свій досвід описав тут - ніби все працює так, як заплановано, але хотілось би дізнатись думку адміністраторів.

UPD. а це поскакав ставити на іншу федору, написав dnf install ufw - а на ній не просить залежність iptables-legacy, більше того - працює без нього, systemctl status iptables і ip6tables теж пусто. як це можливо? завжди вважав що ufw - це обгортка для iptables, може там якийсь api ядра.

і як воно могло при встановленні ufw на одній 43 федорі (щоправда kde) запитати залежність iptables-legacy, а на іншій (gnome) ні, при чому воно не встановлене якщо чекнути з dnf.

Вияснив: на першому компі я дропнув iptables-nft, а на іншому забув про нього. Коротше в мене працює і те і те, наплодилось чимало версій, навіть не знаю яку обрати, мабуть користуватимусь пакунком iptables-legacy.

[BeSiDa]

завжди вважав що ufw - це обгортка для iptables, може там якийсь api ядра.

То все "красивий інтерфейс для юзерів". Кернел працює з мовою програмування досить дивною і не дуже дружньою для адмінів задля виконання всіх тих правил роботи з мережею.

Тобто там декілька кернел апі, але то лише обгортка для нової реалізації всередині кернела для сумісності.

[ps]

То все "красивий інтерфейс для юзерів".

Так і є, сам почав користуватись ufw давним-давно, коли напартачив чогось з перманентними правилами, вже не пам'ятаю. ufw проста як двері, не дає вказати криве правило, зберігає налаштування при рестарі (якщо працює сервіс) ну короче, так і сижу, реально досі не розумію синтаксис iptables :shame: і боюсь щось там напряму чіпати.

З гугла вияснив, що легасі варіант все-таки не годиться вже, бо його починають всюди випилювати, і там як мінімум оновлення усіх правил в рамках транзакції, а iptables-nft працює атомарно, тобто не буде лагати стрім на сервері наприклад, коли я колупаю правила. Це така собі ще одна обгортка, для перекладу команд iptables, але для юзера ufw немає різниці бо ті "глибокі" питання його (мене) до своєї пори не бентежитимуть.

[BeSiDa]

Краще розібратися що то таке взагалі "обробка мережевих пакетів" (в кернелі). Воно не те чим здається з інтерфейсу утіліт

[yvs115]

Краще розібратися що то таке взагалі "обробка мережевих пакетів" (в кернелі). Воно не те чим здається з інтерфейсу утіліт

Some contemporary philosophers, particularly those engaging with web packet processing, consider the most irreducible network unit of reality as a züg of web-pages, which orthogonally fundamental to interface of their js-kernel perception and nature of ml-thought transmission.

[BeSiDa]

О, ще хтось не в курсі, що всередині кернел оперує "мессаджами", а не "пакетами" (що існують зовні в девайсах мережі та між ними).
І про те для чого там "ДжІТ" та що таке "програма БПФ" яку й компілює той ДжІТ