Oracle Cloud Infrastructure-Dokumentation

Konfigurieren von Paketfilter-Firewalls

Eine Firewall kann wie folgt konfiguriert werden:
  • Filtern von eingehenden und abgehenden Netzwerkpaketen basierend auf Paket-Header-Informationen,
  • Umleitungspakete, z. B. mit Network Address Translation (NAT),
  • Paketspiegelung durchführen,
  • Durchführung einer umfassenden Paketprüfung,
  • Akzeptierte oder abgelehnte Pakete basierend auf Regeln.

Der Oracle Linux-Kernel verwendet die Netfilter-Funktion, um Paketfilterfunktionen für IPv4, IPv6, inet, arp, bridge und netdev bereitzustellen.

Netfilter besteht aus folgenden Komponenten:

  • Eine netfilter-Kernelkomponente, die aus einer Gruppe von Tabellen im Speicher für die Regeln besteht, mit denen der Kernel die Netzwerkpaketfilterung kontrolliert.

  • Utilitys zum Erstellen, Verwalten und Anzeigen der Regeln, die netfilter speichert. Das Standardfirewallutility ist firewall-cmd, das vom Package firewalld bereitgestellt wird.

Die standardmäßigen Paketfilter-Frameworks variieren je nach Release. Verwenden Sie die Release-spezifische Anleitung in den folgenden Registerkarten.

Die firewalld-basierte Firewall bietet die folgenden Vorteile:

  • Das firewalld-cmd-Utility startet die Firewall nicht neu und unterbricht die hergestellten TCP-Verbindungen.

  • firewalld unterstützt dynamische Zonen, mit denen Sie verschiedene Gruppen von Firewallregeln für Systeme implementieren können, wie Laptops, die eine Verbindung zu Netzwerken mit unterschiedlichen Vertrauensstufen herstellen können. Diese Funktion wird jedoch in der Regel nicht auf Serversystemen verwendet.

  • firewalld unterstützt D-Bus für eine bessere Integration mit Services, die von der Firewallkonfiguration abhängen.

  • firewalld deckt die meisten grundlegenden Anwendungsfälle ab

Bei komplexeren Szenarios sollten Sie nftables direkt erstellen und konfigurieren, anstatt firewalld zu verwenden. Beispiel: Konfigurieren Sie nftables direkt für Szenarios wie:
  • Wo Sie die direkte Kontrolle über netfilter benötigen,
  • Wo Sie hohe Leistung benötigen,
  • Bei der Verwendung komplexer Regeln
  • Beim Umgang mit spezifischen oder erweiterten Netzwerkanforderungen.

Deaktivieren Sie den firewalld-Service, bevor Sie nftables direkt konfigurieren und verwenden, um Situationen zu vermeiden, in denen sich jeder Service gegenseitig beeinflussen kann.

  • In Oracle Linux 8 verwendet firewalld das iptables-Framework als Standard-Backend für die Paketfilterung.

  • Das nftables-Framework ist das standardmäßige Paketfilter-Backend für firewalld und ersetzt das iptables-Framework, das in früheren Releases verwendet wurde. nftables lässt sich in netfilter integrieren und umfasst Funktionen zur Paketklassifizierung, zusätzlichen Komfort und verbesserte Performance über iptables.

  • Das nftables-Framework ist das standardmäßige Paketfilter-Backend für firewalld. Es lässt sich in netfilter integrieren und umfasst Funktionen zur Paketklassifizierung, zusätzlichen Komfort und verbesserte Performance.