Bezpieczeństwo

Od teraz firewalld używa nftables jako domyślnego backendu

Od tego wydania, subsystem filtrujący nftables zostaje domyślną implementacją firewalla dla usługi firewalld. Aby zmienić implementację, użyj opcji FirewallBackend w pliku /etc/firewalld/firewalld.conf. Ta zmiana wprowadza następujące różnice w zachowaniu podczas używania nftables:

  • Reguły zdefiniowane w iptables wykonują się zawsze przed regułami z firewalld.

    • DROP w iptables oznacza, że pakiet nigdy nie zostanie zaobserwowany przez firewalld.

    • ACCEPT w iptables oznacza, że pakiet i tak zostanie przefiltrowany na podstawie reguł firewalld.

  • Bezpośrednie wykonanie reguł dzieje się przed ogólną akceptacją ustanowionego połączenia firewalld.