Linux Workshop

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Zuletzt angesehen:
sammlung:firewall

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen RevisionVorhergehende Überarbeitung
sammlung:firewall [2026/01/06 10:30] – [Unterschiede] Branislav Zeljaksammlung:firewall [2026/01/31 23:03] (aktuell) – Externe Bearbeitung 127.0.0.1
Zeile 17: Zeile 17:
 Jedes Tool hat eigene Stärken und Einsatzzwecke – Details auf den jeweiligen Unterseiten. Jedes Tool hat eigene Stärken und Einsatzzwecke – Details auf den jeweiligen Unterseiten.
  
-{{tag>cli firewall netzwerk basics advanced}}+==== Zusammenhänge zwischen nftables, firewalld und ufw ====
  
 +=== nftables als Backend ===
 +
 +''nftables'' ist der moderne Kernel-Framework, der ''iptables'' als Backend ersetzt. Sowohl ''firewalld'' als auch ''ufw'' können nftables als Backend nutzen:
 +
 +**Architektur-Übersicht:**
 +<code>
 +┌───────────────────────────────────┐
 +│      Benutzer-Tools (Frontend)    │
 +│   ┌──────────┐     ┌──────────┐   │
 +│   │firewalld │     │    ufw   │   │
 +│   └─────┬────┘     └─────┬────┘   │
 +│         │                │        │
 +│         └────────┬───────┘        │
 +│                  ▼                │
 +│   ┌───────────────────────────┐   │
 +│   │  Backend-Auswahl          │   │
 +│   │  • iptables-nft (nftables)│   │
 +│   │  • iptables-legacy        │   │
 +│   └──────────┬────────────────┘   │
 +│              ▼                    │
 +│   ┌───────────────────────────┐   │
 +│   │   netfilter (Kernel)      │   │
 +│   │   • nf_tables Module      │   │
 +│   │   • ip_tables Module      │   │
 +│   └───────────────────────────┘   │
 +└───────────────────────────────────┘
 +</code>
 +
 +=== firewalld und nftables ===
 +
 +**firewalld** kann sowohl ''iptables'' als auch ''nftables'' als Backend nutzen:
 +
 +<code bash>
 +# Backend prüfen
 +sudo firewall-cmd --get-backend
 +
 +# Mögliche Backends:
 +# - nftables (Standard ab RHEL 9 / Fedora 32+)
 +# - iptables (Legacy)
 +
 +# Backend in /etc/firewalld/firewalld.conf ändern:
 +# FirewallBackend=nftables
 +# FirewallBackend=iptables
 +</code>
 +
 +**Vorteile von nftables-Backend:**
 +  * Bessere Performance bei vielen Regeln
 +  * Atomare Regel-Updates (keine kurze Firewall-Lücke)
 +  * Modernere Syntax und Flexibilität
 +  * Zukunftssicher (iptables wird deprecated)
 +
 +**Migration:**
 +  * Ab Fedora 32 und RHEL 9: nftables ist Standard-Backend
 +  * Automatische Migration beim Update
 +  * Regeln bleiben gleich (firewalld übersetzt automatisch)
 +
 +=== ufw und nftables ===
 +
 +**ufw** nutzt traditionell ''iptables'' als Backend, kann aber auch auf ''iptables-nft'' umgestellt werden:
 +
 +<code bash>
 +# Prüfen welches Backend aktiv ist
 +sudo update-alternatives --display iptables
 +
 +# Auf nftables-Backend umstellen (Ubuntu 20.04+)
 +sudo update-alternatives --set iptables /usr/sbin/iptables-nft
 +sudo update-alternatives --set ip6tables /usr/sbin/ip6tables-nft
 +
 +# ufw nutzt dann automatisch nftables über iptables-Kompatibilitäts-Layer
 +sudo ufw reload
 +</code>
 +
 +**iptables-nft Kompatibilitäts-Layer:**
 +  * ''iptables-nft'' übersetzt iptables-Befehle in nftables-Regeln
 +  * Vollständige Kompatibilität mit bestehenden ufw-Regeln
 +  * Transparent für den Benutzer (ufw merkt keinen Unterschied)
 +  * Performance-Vorteile von nftables bei gleicher Syntax
 +
 +**Hinweis:** Ab Ubuntu 22.04 ist iptables-nft das Standard-Backend.
 +
 +=== Interoperabilität und Konflikte ===
 +
 +**WICHTIG:** Verschiedene Firewall-Tools sollten nicht gleichzeitig verwendet werden!
 +
 +<code bash>
 +# Konflikte vermeiden:
 +
 +# Wenn firewalld aktiv:
 +sudo systemctl stop ufw
 +sudo systemctl disable ufw
 +
 +# Wenn ufw aktiv:
 +sudo systemctl stop firewalld
 +sudo systemctl disable firewalld
 +
 +# Direkter nftables-Zugriff (nur wenn kein anderes Tool aktiv):
 +sudo nft list ruleset
 +</code>
 +
 +**Warum Konflikte entstehen:**
 +  * Alle Tools schreiben in die gleichen Kernel-Tabellen
 +  * Überschreibende Regeln möglich
 +  * Unvorhersehbares Verhalten bei gleichzeitiger Nutzung
 +
 +**Best Practice:**
 +  * Ein Tool pro System wählen
 +  * Für Einfachheit: ''ufw'' (Desktop/einfache Server)
 +  * Für Zonen-Management: ''firewalld'' (Enterprise/komplexe Setups)
 +  * Für maximale Kontrolle: Direktes ''nftables'' (Experten)
 +
 +=== Zusammenfassung ===
 +
 +| **Tool** | **Backend** | **Einsatz** | **Einfachheit** |
 +| ''ufw'' | iptables/iptables-nft | Desktop, einfache Server | ★★★★★ Sehr einfach |
 +| ''firewalld'' | iptables/nftables | Enterprise, RHEL/Fedora | ★★★☆☆ Mittel |
 +| ''nftables'' | Direkt (Kernel) | Experten, Scripts | ★★☆☆☆ Komplex |
 +| ''iptables'' | iptables (Legacy) | Alt-Systeme (deprecated) | ★★☆☆☆ Komplex |
 +
 +**Migrationspfad:**
 +  * Alt: iptables → iptables-nft → nftables
 +  * ufw: Automatisch mit iptables-nft Umstellung
 +  * firewalld: FirewallBackend=nftables in Konfiguration
 +
 +----
 +
 +{{tag>cli topic firewall network basics advanced}}
 +
 +----
  
sammlung/firewall.txt · Zuletzt geändert: von 127.0.0.1