Documentación de Oracle Cloud Infrastructure

Configuración de firewalls de filtros de paquetes

Un firewall se puede configurar para:
  • Filtrar los paquetes de red entrantes y salientes en función de la información del encabezado del paquete.
  • Redirigir paquetes, como con la traducción de direcciones de red (NAT),
  • Realizar duplicación de paquetes,
  • Realizar inspección profunda de paquetes,
  • Paquetes aceptados o rechazados basados en reglas.

El núcleo de Oracle Linux utiliza la función Netfilter para proporcionar la funcionalidad de filtrado de paquetes para IPv4, IPv6, inet, arp, bridge y netdev.

Netfilter consta de los siguientes componentes:

  • Un componente del núcleo netfilter que consta de un juego de tablas en la memoria para las reglas que el núcleo utiliza para controlar el filtrado de paquetes de red.

  • Utilidades para crear, mantener y mostrar las reglas que almacena netfilter. La utilidad de firewall predeterminada es firewall-cmd, que es proporcionada por el paquete firewalld.

Los marcos de filtrado de paquetes predeterminados varían según la versión. Utilice la guía específica de la versión en las siguientes fichas.

El firewall basado en firewalld tiene las siguientes ventajas:

  • La utilidad firewalld-cmd no reinicia el firewall ni interrumpe las conexiones TCP establecidas.

  • firewalld admite zonas dinámicas, lo que le permite implementar diferentes conjuntos de reglas de firewall para sistemas como computadoras portátiles que pueden conectarse a redes con diferentes niveles de confianza. Sin embargo, esta función no se suele utilizar en sistemas de servidor.

  • firewalld admite D-Bus para una mejor integración con los servicios que dependen de la configuración del firewall.

  • firewalld abarca la mayoría de los casos de uso básicos

Para escenarios más complejos, considere crear y configurar nftables directamente en lugar de utilizar firewalld. Por ejemplo, puede configurar nftables directamente para escenarios como:
  • Donde usted necesita el control directo sobre netfilter,
  • Donde se requiere un alto rendimiento,
  • Cuando se utilizan reglas complejas,
  • Cuando se trata de requisitos de red específicos o avanzados.

Desactive el servicio firewalld antes de configurar y utilizar nftables directamente para evitar situaciones en las que cada servicio pueda influir entre sí.

  • En Oracle Linux 8, firewalld utiliza la estructura iptables como su backend de filtrado de paquetes por defecto.

  • El marco nftables es el backend de filtrado de paquetes por defecto para firewalld y sustituye el marco iptables utilizado en versiones anteriores. nftables se integra con netfilter e incluye utilidades de clasificación de paquetes, mayor comodidad y un rendimiento mejorado con respecto a iptables.

  • La estructura nftables es el backend de filtrado de paquetes por defecto para firewalld. Se integra con netfilter e incluye instalaciones de clasificación de paquetes, mayor comodidad y mejor rendimiento.